アカウント名:
パスワード:
そもそもこれ、公開鍵暗号方式であるECC(ECDSA)で、秘密鍵が漏洩したという状況でしょう?安全性と従来のアップデート並みの利便性を担保するなら、別な非公開の秘密鍵を使った署名で入替をしなければならない。それも、従来の秘密鍵で署名された既存ソフトには、一切影響を与えないようなアップデート内容で。普通の公開鍵暗号方式での鍵入替なら自分の所だけやれば済みますが、これは入替対象が全世界に数百数千万台もあり、しかも公開鍵も入替が不可能(署名という形でblu-ray Disc上のデータに焼き付けられてしまっていますから)というソリューションです。オンライン認証を必須にしようにも、オフラインで稼働している本体は無数にあります。彼らを見捨てるわけにも行かないでしょうし。
個人的には、現実的な話として、これまで出ている分はもう対策は出来ないように思えます。今後対策するとしたら、かつてのPCソフトや今DSソフトがやっているように、不法コピーであるかどうかソフト側でチェックするようにするしかないと思われます。究極的な対策としては、それこそPS3を諦めるしかないのでは…と思うのですが、他にどのような対策ができるでしょうか? 諸氏のご意見を伺いたく。
> 従来の秘密鍵で署名された既存ソフトには、一切影響を与えないようなアップデート内容で。
古いキーが必要な全ソフトのホワイトリストを作っておけばいいんじゃないでしょうか。リストにあるソフトはそのまま旧キーの元で動作可能だけど、そのリストに無いソフト(=新しいソフト/非正規ソフト)は新しいキーじゃないと動かないようにする。
問題は、そういうファームに「アップデータを解析されない」ようにしつつ更新するにはどうすればいいのか、ですね。アップデータは旧キーで署名しないといけないから今回漏洩したキーで解析可能なので、そこから新キーが読みとられたらアウト。
ソニーが必要としているのは、(PS3以外での)コンテンツの復号禁止と、(PS3での)不正コンテンツ実行禁止です。真っ当な公開鍵認証なら、問題部分を修正して新しい公開鍵を配布すれば"認証部分"は修正できるかと思います。鍵を更新するアップデータを解析される事で破られるのは、コンテンツの復号禁止だけではないでしょうか。
PSPのCFWよろしく正規ファームを避けて常に最新版を改造した不正規ファームに差し替え続けるってことが可能にはなりましたが、そのサイクルから外れた個体は常に増え続ける筈なのでソニーの完敗というほどではないかと思います。
確かにそうなのですが、どうも今回、秘密鍵と公開鍵が同時に漏れたか、根本的にECDSAの処理になっていなかったか、あるいは鍵の一方からもう一方の鍵が突き止められたか、そのいずれかに相当するように見えてなりません。実際には公開鍵暗号では、鍵の一方で符号化した場合、符号化に使った鍵では復号化できない筈ですから。そうでなければ公開鍵暗号方式が根本的に成り立ちません。なので、本来はPS3内部の鍵を見られた所で、何も出来ない筈です。にも関わらず、既にカスタムファームを始めとした非正規ソフトが動き始めている。対応する鍵が突き止められていなけれ
古い鍵がひとつ知られないまま残ってないと、新しい鍵は安全に配れないですよ。新しい鍵を配った後に古い鍵が無効化されないのでは更新の意味がないですし。
なんか知らないですけど、秘密鍵が漏れたんなら秘密鍵を入れ替えなきゃいけないんじゃないでしょうか。
>オンライン認証を必須にしようにも、オフラインで稼働している本体は無数にあります。彼らを見捨てるわけにも行かないでしょうし。
他OSのインストール機能をばっさり切ったように、オフライン稼働のPS3もばっさり切り落とせばいいのに
#簡単に切り落とした他OSのインストール機能って何のために入れたの?#「おまけ機能」な位置づけだったから簡単に切り落としたって事なのかな
いっそゲーム機能をばっさりと
PS3の価格に被害額を上乗せすれば良いんですよ
USB端子にカードリーダーでもくっつけてB-CASカードみたいのでも挿しますかねえ?古いソフトはともかく、新しいソフトはそっちの鍵使うよー、みたいなでもリーダーとカードの配布が問題ですが
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
真面目に聞くけど、対策できるの? (スコア:1, 興味深い)
そもそもこれ、公開鍵暗号方式であるECC(ECDSA)で、秘密鍵が漏洩したという状況でしょう?
安全性と従来のアップデート並みの利便性を担保するなら、別な非公開の秘密鍵を使った署名で入替をしなければならない。
それも、従来の秘密鍵で署名された既存ソフトには、一切影響を与えないようなアップデート内容で。
普通の公開鍵暗号方式での鍵入替なら自分の所だけやれば済みますが、これは入替対象が全世界に数百数千万台もあり、しかも公開鍵も入替が不可能(署名という形でblu-ray Disc上のデータに焼き付けられてしまっていますから)というソリューションです。
オンライン認証を必須にしようにも、オフラインで稼働している本体は無数にあります。彼らを見捨てるわけにも行かないでしょうし。
個人的には、現実的な話として、これまで出ている分はもう対策は出来ないように思えます。
今後対策するとしたら、かつてのPCソフトや今DSソフトがやっているように、不法コピーであるかどうかソフト側でチェックするようにするしかないと思われます。
究極的な対策としては、それこそPS3を諦めるしかないのでは…と思うのですが、他にどのような対策ができるでしょうか? 諸氏のご意見を伺いたく。
Re:真面目に聞くけど、対策できるの? (スコア:1)
> 従来の秘密鍵で署名された既存ソフトには、一切影響を与えないようなアップデート内容で。
古いキーが必要な全ソフトのホワイトリストを作っておけばいいんじゃないでしょうか。
リストにあるソフトはそのまま旧キーの元で動作可能だけど、
そのリストに無いソフト(=新しいソフト/非正規ソフト)は新しいキーじゃないと動かないようにする。
問題は、そういうファームに「アップデータを解析されない」ようにしつつ更新するにはどうすればいいのか、ですね。
アップデータは旧キーで署名しないといけないから今回漏洩したキーで解析可能なので、そこから新キーが読みとられたらアウト。
Re: (スコア:0)
ソニーが必要としているのは、(PS3以外での)コンテンツの復号禁止と、(PS3での)不正コンテンツ実行禁止です。
真っ当な公開鍵認証なら、問題部分を修正して新しい公開鍵を配布すれば"認証部分"は修正できるかと思います。
鍵を更新するアップデータを解析される事で破られるのは、コンテンツの復号禁止だけではないでしょうか。
PSPのCFWよろしく正規ファームを避けて常に最新版を改造した不正規ファームに差し替え続けるってことが可能にはなりましたが、そのサイクルから外れた個体は常に増え続ける筈なのでソニーの完敗というほどではないかと思います。
Re: (スコア:0)
確かにそうなのですが、どうも今回、秘密鍵と公開鍵が同時に漏れたか、根本的にECDSAの処理になっていなかったか、あるいは鍵の一方からもう一方の鍵が突き止められたか、そのいずれかに相当するように見えてなりません。
実際には公開鍵暗号では、鍵の一方で符号化した場合、符号化に使った鍵では復号化できない筈ですから。そうでなければ公開鍵暗号方式が根本的に成り立ちません。
なので、本来はPS3内部の鍵を見られた所で、何も出来ない筈です。
にも関わらず、既にカスタムファームを始めとした非正規ソフトが動き始めている。対応する鍵が突き止められていなけれ
Re: (スコア:0)
その鍵を安全にPS3に書きこむ方法は分からないが
少なくとも新たなソフトには対応できる。
旧ソフトの対策は不可能じゃないかな。
Re:真面目に聞くけど、対策できるの? (スコア:2)
古い鍵がひとつ知られないまま残ってないと、新しい鍵は安全に配れないですよ。新しい鍵を配った後に古い鍵が無効化されないのでは更新の意味がないですし。
Re: (スコア:0)
Re:真面目に聞くけど、対策できるの? (スコア:2)
なんか知らないですけど、秘密鍵が漏れたんなら秘密鍵を入れ替えなきゃいけないんじゃないでしょうか。
Re: (スコア:0)
配布するアップデータに秘密鍵を入れるの?なんかおかしいような。
Re: (スコア:0)
>オンライン認証を必須にしようにも、オフラインで稼働している本体は無数にあります。彼らを見捨てるわけにも行かないでしょうし。
他OSのインストール機能をばっさり切ったように、オフライン稼働のPS3もばっさり切り落とせばいいのに
#簡単に切り落とした他OSのインストール機能って何のために入れたの?
#「おまけ機能」な位置づけだったから簡単に切り落としたって事なのかな
Re:真面目に聞くけど、対策できるの? (スコア:1)
EU諸国あたりのゲーム機に掛けられる高い関税をすり抜けようとしたって聞ような。
おまけ機能だしSonyにとって美味しいところが全くない機能だったから、
簡単に切り捨てたんだろうね。
他のOS機能でLinux動いたとしても、ライセンス料が一切入ってこないし
Geohotみたいなクラッカーがバグ見つけて、セキュリティに問題が出てきたし。
秘密キーが漏れてしまった今となっては、それでも足りなかったんだろうけど。
Re: (スコア:0)
いっそゲーム機能をばっさりと
Re: (スコア:0)
PS3の価格に被害額を上乗せすれば良いんですよ
Re: (スコア:0)
USB端子にカードリーダーでもくっつけてB-CASカードみたいのでも挿しますかねえ?
古いソフトはともかく、新しいソフトはそっちの鍵使うよー、みたいな
でもリーダーとカードの配布が問題ですが