パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PS3で任意のプログラム実行を可能とするルートキー、発見される」記事へのコメント

  • by Anonymous Coward

    そもそもこれ、公開鍵暗号方式であるECC(ECDSA)で、秘密鍵が漏洩したという状況でしょう?
    安全性と従来のアップデート並みの利便性を担保するなら、別な非公開の秘密鍵を使った署名で入替をしなければならない。
    それも、従来の秘密鍵で署名された既存ソフトには、一切影響を与えないようなアップデート内容で。
    普通の公開鍵暗号方式での鍵入替なら自分の所だけやれば済みますが、これは入替対象が全世界に数百数千万台もあり、しかも公開鍵も入替が不可能(署名という形でblu-ray Disc上のデータに焼き付けられてしまっていますから)というソリューションです。
    オンライ

    • > 従来の秘密鍵で署名された既存ソフトには、一切影響を与えないようなアップデート内容で。

      古いキーが必要な全ソフトのホワイトリストを作っておけばいいんじゃないでしょうか。
      リストにあるソフトはそのまま旧キーの元で動作可能だけど、
      そのリストに無いソフト(=新しいソフト/非正規ソフト)は新しいキーじゃないと動かないようにする。

      問題は、そういうファームに「アップデータを解析されない」ようにしつつ更新するにはどうすればいいのか、ですね。
      アップデータは旧キーで署名しないといけないから今回漏洩したキーで解析可能なので、そこから新キーが読みとられたらアウト。

      • by Anonymous Coward

        ソニーが必要としているのは、(PS3以外での)コンテンツの復号禁止と、(PS3での)不正コンテンツ実行禁止です。
        真っ当な公開鍵認証なら、問題部分を修正して新しい公開鍵を配布すれば"認証部分"は修正できるかと思います。
        鍵を更新するアップデータを解析される事で破られるのは、コンテンツの復号禁止だけではないでしょうか。

        PSPのCFWよろしく正規ファームを避けて常に最新版を改造した不正規ファームに差し替え続けるってことが可能にはなりましたが、そのサイクルから外れた個体は常に増え続ける筈なのでソニーの完敗というほどではないかと思います。

        • by Anonymous Coward on 2011年01月08日 23時50分 (#1885374)

          確かにそうなのですが、どうも今回、秘密鍵と公開鍵が同時に漏れたか、根本的にECDSAの処理になっていなかったか、あるいは鍵の一方からもう一方の鍵が突き止められたか、そのいずれかに相当するように見えてなりません。
          実際には公開鍵暗号では、鍵の一方で符号化した場合、符号化に使った鍵では復号化できない筈ですから。そうでなければ公開鍵暗号方式が根本的に成り立ちません。
          なので、本来はPS3内部の鍵を見られた所で、何も出来ない筈です。
          にも関わらず、既にカスタムファームを始めとした非正規ソフトが動き始めている。対応する鍵が突き止められていなければおかしい状況です。
          確かにECCは、特定の楕円曲線では暗号の根拠になっている離散対数問題を解決できる多項式時間が発見されているため、突破される危険性があるようですが…

          本来なら送信時に適当な乱数を使わなければならないものを定数で運用していた(そして、それが漏洩の原因になった)とのことですが、この辺りが何かキーになっているのでしょうか?
          この辺りはあまり詳しくなく、Wikipediaの聞きかじりとPGPの運用の感覚のため、正直勘違いしている可能性が非常に高いと思われます。その辺りも含めて、詳しい方の突っ込みお願いします。

          親コメント

物事のやり方は一つではない -- Perlな人

処理中...