アカウント名:
パスワード:
ICカードの低レベルの物理層は規格が公開されているシリアル・インターフェースですツールを使って簡単にデータのロギングが可能です自分でプログラミング可能なプロセッサ内蔵のブランクカードが市販されているので、話の上ではリバース・エンジニアリングした情報を元に自分で偽造カードを作成することが可能です国内でそれに近いことが起こったのが例のB-CASです
いくらログを取っても攻撃者が秘密鍵を推測できず、メッセージに署名ができず、認証を突破できないように設計すればよいだけです。ICクレジットカードと互換の自作カードを作ることはもちろん可能でしょう。しかし、既存カードから秘密鍵と署名アルゴリズムを盗み出すことができなければ、それは偽造カードにはなりません。「新しいカード会社を作って、自分で認証できる」というだけですから、何の脅威にもならないでしょう。
既に指摘されていますが、B-CASカードの場合は秘密鍵が実際のカードから盗み出されたことが突破の原因でした。放送波の復号アルゴリズムは公開されていましたし、ブランクカードも簡単に買えましたが、カードから持ち出されることのない秘密鍵(Km)が直接抜き出されるまでは、変造B-CASカードが登場することはありませんでした。
それやろうとすると、宇宙の終わりまででも足りないぐらいの長い計算時間がかかる。IC内部に記録された暗号鍵はログやらの外部には出てこないので。
改造無しに外部から観察できるのは、認証に使われる一時的な乱数とか、その乱数と暗号鍵からIC内で計算された計算結果とかのみ。計算結果から、暗号鍵を逆算するのは、途方もない時間がかかる。以前のログの結果を再度使おうにも、認証に使われる乱数は毎回変わるので、まず不可能。
B-CASの話は、設計がタコなカードがあって、内部ICのデバッグモードから暗号鍵を吐き出させることが出来るセキュリティーホールがあったから出来ただけ。
クレカには、そんなセキュリティホールないでしょ。もしあっても、そのカードだけ改良品に交換すれば済む話なので、対策されないはずがない。
だから、盗んだり拾ったりした他人のクレジットカードを改造して、暗証番号入力をパスして決済に使うことができるという話だよね。
ブランクカードで自分のカードを偽造できるとか言う話ではないと思う。
とはいえ、改造しなくても盗難や紛失届がでていなければネットでの決済には使われるので、ちゃんと管理していないとだめだね。あまり何枚もクレジットカードを持っていると、1枚盗まれても気づかないかもしれないので、年会費無料という言葉に乗せられて無暗に作るべきではないね。
法的にアウトかどうかなんて話してないだろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
物理的改造すら必要ない (スコア:1)
ICカードの低レベルの物理層は規格が公開されているシリアル・インターフェースです
ツールを使って簡単にデータのロギングが可能です
自分でプログラミング可能なプロセッサ内蔵のブランクカードが市販されているので、話の上ではリバース・エンジニアリングした情報を元に自分で偽造カードを作成することが可能です
国内でそれに近いことが起こったのが例のB-CASです
Re:物理的改造すら必要ない (スコア:3)
いくらログを取っても攻撃者が秘密鍵を推測できず、メッセージに署名ができず、認証を突破できないように設計すればよいだけです。
ICクレジットカードと互換の自作カードを作ることはもちろん可能でしょう。しかし、既存カードから秘密鍵と署名アルゴリズムを
盗み出すことができなければ、それは偽造カードにはなりません。「新しいカード会社を作って、自分で認証できる」という
だけですから、何の脅威にもならないでしょう。
既に指摘されていますが、B-CASカードの場合は秘密鍵が実際のカードから盗み出されたことが突破の原因でした。放送波の復号アルゴ
リズムは公開されていましたし、ブランクカードも簡単に買えましたが、カードから持ち出されることのない秘密鍵(Km)が直接抜き
出されるまでは、変造B-CASカードが登場することはありませんでした。
Re: (スコア:0)
それやろうとすると、宇宙の終わりまででも足りないぐらいの長い計算時間がかかる。
IC内部に記録された暗号鍵はログやらの外部には出てこないので。
改造無しに外部から観察できるのは、認証に使われる一時的な乱数とか、その乱数と暗号鍵からIC内で計算された計算結果とかのみ。
計算結果から、暗号鍵を逆算するのは、途方もない時間がかかる。
以前のログの結果を再度使おうにも、認証に使われる乱数は毎回変わるので、まず不可能。
B-CASの話は、設計がタコなカードがあって、内部ICのデバッグモードから
暗号鍵を吐き出させることが出来るセキュリティーホールがあったから出来ただけ。
クレカには、そんなセキュリティホールないでしょ。
もしあっても、そのカードだけ改良品に交換すれば済む話なので、対策されないはずがない。
Re: (スコア:0)
だから、盗んだり拾ったりした他人のクレジットカードを改造して、暗証番号入力をパスして決済に使うことができるという話だよね。
ブランクカードで自分のカードを偽造できるとか言う話ではないと思う。
とはいえ、改造しなくても盗難や紛失届がでていなければネットでの決済には使われるので、ちゃんと管理していないとだめだね。
あまり何枚もクレジットカードを持っていると、1枚盗まれても気づかないかもしれないので、年会費無料という言葉に乗せられて無暗に作るべきではないね。
Re: (スコア:0)
法的にアウトかどうかなんて話してないだろ