パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成」記事へのコメント

  • コンピュータというのは本質的に同じプログラムは同じ結果を返すものなので、乱数を生成するのは難しいのです。

    暗号論的擬似乱数生成器とよばれるものでさえも、得にOS自体を仮想環境で動かしていた場合など、環境ノイズの不足により信頼性に疑問を述べている専門家もいます。
    セキュリティ意識が高い人は、普段使いの環境も用途毎に仮想化していたりするので、パスワードマネージャも仮想環境を考慮しなくてはなりません。
    TPMの暗号論的擬似乱数生成器も仮想環境からだとうまく利用できないし、それだけならよいのですがTPM必須の仮想OSを動かすために偽物のTPMを仮想化

    • by Anonymous Coward on 2021年07月13日 1時55分 (#4069464)

      > 信頼できるパスワードマネージャーは、ユーザーにマウスをグリグリさせるべきです。

      パスワードマネージャじゃなくても
      OS自体がすでに「マウスのグリグリ」を利用していますよ

      https://en.wikipedia.org/wiki/Entropy_(computing) [wikipedia.org]

      もっと言うと「マウスのぐりぐり」だけでは不十分で
      - ネットワークのパケットの受信タイミングとかパケット長
      - ハードウェアの割り込みタイミング(マウスやキーボードの割り込みなどを含む)
      - CPU内部のハードウェア乱数生成器(電子回路が受ける外来ノイズから乱数を生成しているので予測が困難)
      - BIOS(firmware)に書き込まれているデバイス固有のIDやビット列
      などを組み合わせるのが現在の主流の方法です

      そしてそれらの方法は,OSの標準機能になっていて
      LinuxやBSDなら /dev/urandom あたりを
      Windowsなら Cryptography API あたりを使えば簡単に利用でき,質の良い乱数が得られます.

      また移植性を考えるなら openssl のライブラリを使う方法などもあります.

      > 乱数の種は、手作りが一番です。

      手作りの結果,カスペルスキー製パスワードマネージャーにはセキュリティホールが生まれています.

      そもそも乱数はパスワード生成時だけでなく,SSLの通信など様々な処理で必要になります.
      例えばブラウザでhttpsを使うたびに,マウスをグリグリしているようでは,話になりません.
      パスワード生成時だけ別処理にする意味がありません.

      信頼性・保守性・実用性を考えると,わざわざ手作りのモジュールを使うより
      OS標準のモジュールを使ったほうがメリットが多いと思います

      親コメント
      • >信頼性・保守性・実用性を考えると,わざわざ手作りのモジュールを使うより
        >OS標準のモジュールを使ったほうがメリットが多いと思います

        システム時刻(秒)を毎回シードに、乱数取り出し回数も固定、1秒のアニメ

        これ、セキュリティの専門家たちが作ったんですよね
        ここまでくると、事実上のバックドアに思えて仕方ない
        親コメント
      • by Anonymous Coward

        > - CPU内部のハードウェア乱数生成器(電子回路が受ける外来ノイズから乱数を生成しているので予測が困難)
        外来ノイズじゃなくて熱雑音とか量子的なノイズをソースにしてたはず
        そこに暗号向けのハッシュだか擬似乱数機を組み合わせて一様で高ビットレートな乱数を生成する
        外来ノイズだとサブチャンネル攻撃に繋がる余地が出るので宜しくない

      • by Anonymous Coward

        > 手作りの結果,カスペルスキー製パスワードマネージャーにはセキュリティホールが生まれています.

        これ、元コメはシードの手作りの話なわけですが、シードに「秒単位の時刻」という既製品を使ったことが原因で生じたセキュリティホールは手作りが原因ではないよ。

      • by Anonymous Coward

        それ使うに当たり問題になるのが高度IT要介護者ですなぁ…
        「自分に分かるように噛み砕いて説明しろ」の。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...