パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LINEアプリ、エンドツーエンドの暗号化を実装」記事へのコメント

  • クライアント間で公開鍵をセキュアに受け渡しする必要があるわけですが、どうやって実装してるんですかね?
    公開鍵の所有者確認をLINE側しかできないのであればメッセージだけ暗号化してもLINEが中間者になれるのは変わらないのですが。

    • クライアント間で公開鍵をセキュアに受け渡しする必要があるわけですが、どうやって実装してるんですかね?
      公開鍵の所有者確認をLINE側しかできないのであればメッセージだけ暗号化してもLINEが中間者になれるのは変わらないのですが。

      「公開鍵」を悪意のある第三者の公開鍵にすり替えるなりすまし攻撃を防ぐためには、信頼できる第三者機関(Trusted Third party)が各人のID(LINE の場合、LINE ID)と公開鍵を対応付けて認証する必要があります。

      SSL/TLS の場合には VeriSign などの認証局(CA)がそれを行っているため、VeriSign の中の人であれば(通

      • 信頼されている認証局が公的に発行するのとLINEがLINEのために発行するのでは大違いです。

        公的なCAも不正な証明書を発行すればなりすましできますが、それは現実的ではありません。CAがまがりなりにも信頼されているのは不正が技術的に可能・不可能ではなく、不正を第三者が検証できると考えられていることと、不正によって信頼を失ってブラウザベンダやユーザに失効させられるリスクを背負っているからです。

        LINEがLINEの発行したIDに対してLINEのクライアントアプリでのみ検証可能な公的でない証明を与えるのでは意味がありません。またLINE以外による盗聴を防ぐだけであればエンドツーエンド暗号化は不要です。

        親コメント
        • >またLINE以外による盗聴を防ぐだけであればエンドツーエンド暗号化は不要です。

          そうかな。LINE以外による盗聴を防ぐためにも、公開鍵暗号利用したエンドツーエンド暗号化が一番簡単で効果的な気がするけど。

          LINEアプリのリバースエンジニアリングなども考慮すると、他の方式で簡単に盗聴を防げる気がしない。

          親コメント
          • 問題なのは"簡単で効果的な"公開鍵の交換手段が無いことです。
            まともな実装と信頼できる鍵交換手段さえあればリバースエンジニアリングで現代暗号の通信は盗聴できません。

            親コメント
          • by Anonymous Coward

            LINEアプリのリバースエンジニアリングなども考慮すると、他の方式で簡単に盗聴を防げる気がしない。

            メッセージはすべてLINEのサーバ経由と思うので、それにTLS使えば良いだけでしょう。
            つーか鍵交換までのサーバとの通信は暗号化する必要あって、どうせそれに使うんだろうからそれで必要十分って事になる。
            メッセージがP2Pならしょうがないけど。

            • by Anonymous Coward

              事故れす
              メッセージは一定期間ラインサーバに保管されてるんだったけなたしか。
              それの流出時の対策には有効だねそういえば。

        • by Anonymous Coward

          え、他社を信用するなんてもってのほかでしょ? クラウドサービスで情報流出があるたびにみんなそう言ってるんだけど。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...