アカウント名:
パスワード:
クライアント間で公開鍵をセキュアに受け渡しする必要があるわけですが、どうやって実装してるんですかね?公開鍵の所有者確認をLINE側しかできないのであればメッセージだけ暗号化してもLINEが中間者になれるのは変わらないのですが。
クライアント間で公開鍵をセキュアに受け渡しする必要があるわけですが、どうやって実装してるんですかね? 公開鍵の所有者確認をLINE側しかできないのであればメッセージだけ暗号化してもLINEが中間者になれるのは変わらないのですが。
「公開鍵」を悪意のある第三者の公開鍵にすり替えるなりすまし攻撃を防ぐためには、信頼できる第三者機関(Trusted Third party)が各人のID(LINE の場合、LINE ID)と公開鍵を対応付けて認証する必要があります。
SSL/TLS の場合には VeriSign などの認証局(CA)がそれを行っているため、VeriSign の中の人であれば(通
認証局(LINEの場合、LINE株式会社)がなりすまし攻撃をすることは、技術的に防ぎようがないので、自分や会話相手の公開鍵のフィンガープリントを表示・確認できる機能を実装していただきたいものです。
LINE側が信用できない状況で、LINEアプリが表示したフィンガープリントを信用するんですか?確認する意味が無いので最初から使わないのがよいと思います。
LINE側が信用できない状況で、LINEアプリが表示したフィンガープリントを信用するんですか? 確認する意味が無いので最初から使わないのがよいと思います。
ごもっとも。
おっしゃる通りでした。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
その鍵はどうやって検証したの? (スコア:2)
クライアント間で公開鍵をセキュアに受け渡しする必要があるわけですが、どうやって実装してるんですかね?
公開鍵の所有者確認をLINE側しかできないのであればメッセージだけ暗号化してもLINEが中間者になれるのは変わらないのですが。
LINEの中の人は 「なりすまし」 が可能 (スコア:4, 興味深い)
「公開鍵」を悪意のある第三者の公開鍵にすり替えるなりすまし攻撃を防ぐためには、信頼できる第三者機関(Trusted Third party)が各人のID(LINE の場合、LINE ID)と公開鍵を対応付けて認証する必要があります。
SSL/TLS の場合には VeriSign などの認証局(CA)がそれを行っているため、VeriSign の中の人であれば(通
Re:LINEの中の人は 「なりすまし」 が可能 (スコア:2)
認証局(LINEの場合、LINE株式会社)がなりすまし攻撃をすることは、技術的に防ぎようがないので、自分や会話相手の公開鍵のフィンガープリントを表示・確認できる機能を実装していただきたいものです。
LINE側が信用できない状況で、LINEアプリが表示したフィンガープリントを信用するんですか?
確認する意味が無いので最初から使わないのがよいと思います。
Re:LINEの中の人は 「なりすまし」 が可能 (スコア:2)
ごもっとも。
おっしゃる通りでした。