パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ソフトウェアキーボードを使用した入力を監視する新たなスパイウエア」記事へのコメント

  • 究極的には、公開鍵暗号の暗号・複合化をユーザの手作業にゆだねるしかないでしょう。

    PCの画面には複合前のメッセージと、それを解読する計算式が表示され、 各ユーザは手帳などに安全に記録した秘密鍵を使って、筆算もしくは関数電卓(PCの電卓ソフトは不可)などで解読、コマンドを同じく暗号化してからキーボードから入力して送信。

    全てのスパイウェアを原理的に排除するにはここまでやるしか無いはずです。逆に言えば、ここまでやっておけば、ネットカフェやら信用できない友人宅やらからのアクセスでも安全です。

    #なので、中途半端なセキュリティキーボードやらの押しつけは止めて欲しい。
    #パスワードは半分ぐらい手の動きで覚えてるので、マウスでぽちぽちやると間違えます。
    • >全てのスパイウェアを原理的に排除するにはここまでやるしか無いはずです。

      MSのNGSCBなどの、所謂セキュア・コンピューティングというのは、そこまでやらなくても十分な対抗力を持つためのフレームワークと言えます。
      例えば、キーボードドライバとPC本体のセキュリティチップが連携して情報を保護していれば、怪しいソフトウェアがそれを抜き出すことはもとより、ケーブルの電気信号を途中でキャプチャしても入力内容を抜き出すことは出来ないようになります。

      ところで、公開鍵暗号は計算の面倒な処理なので手でやるのはとても大変ですが、それ以前に一つ問題があります。

      公開鍵で暗号化するのは「パスワードそのもの」か、「そのセッションで使用するランダムなセッション鍵」のどちらかでしょうが、

      ・パスワードそのものの場合は、計算した結果をPC(悪いプログラムが)覚えていれば再利用できてしまう。

      ・PCから提供されたセッション鍵(共通鍵)の場合でも、こっそり裏でセッションを継続されていたら。

      とか考える必要があります。まあ、セキュリティというのはどこか一ヶ所だけを極端に強くしても、次の「最も弱い輪」のところまでしかレベルが上がらないので、ICカード等を使ってサーバから手元までしっかり保護される仕組みを全体で考えるのが効率よいと思います。
      親コメント

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...