パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成」記事へのコメント

  • コンピュータというのは本質的に同じプログラムは同じ結果を返すものなので、乱数を生成するのは難しいのです。

    暗号論的擬似乱数生成器とよばれるものでさえも、得にOS自体を仮想環境で動かしていた場合など、環境ノイズの不足により信頼性に疑問を述べている専門家もいます。
    セキュリティ意識が高い人は、普段使いの環境も用途毎に仮想化していたりするので、パスワードマネージャも仮想環境を考慮しなくてはなりません。
    TPMの暗号論的擬似乱数生成器も仮想環境からだとうまく利用できないし、それだけならよいのですがTPM必須の仮想OSを動かすために偽物のTPMを仮想化

    • > 信頼できるパスワードマネージャーは、ユーザーにマウスをグリグリさせるべきです。

      パスワードマネージャじゃなくても
      OS自体がすでに「マウスのグリグリ」を利用していますよ

      https://en.wikipedia.org/wiki/Entropy_(computing) [wikipedia.org]

      もっと言うと「マウスのぐりぐり」だけでは不十分で
      - ネットワークのパケットの受信タイミングとかパケット長
      - ハードウェアの割り込みタイミング(マウスやキーボードの割り込みなどを含む)
      - CPU内部のハードウェア乱数生成器(電子回路が受ける外来ノイズから乱数を生成しているので予測が困難)
      - BIOS(firmware)に書き込まれているデバイス固有のIDやビット列

      • >信頼性・保守性・実用性を考えると,わざわざ手作りのモジュールを使うより
        >OS標準のモジュールを使ったほうがメリットが多いと思います

        システム時刻(秒)を毎回シードに、乱数取り出し回数も固定、1秒のアニメ

        これ、セキュリティの専門家たちが作ったんですよね
        ここまでくると、事実上のバックドアに思えて仕方ない
        親コメント

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...