アカウント名:
パスワード:
LINEってアプリ上での表記としては、エンドツーエンドの暗号化(Letter Sealing)をやってるというふうに書いてあるがスマホのアプリ上でLINEにメールアドレスとパスワードを登録、Letter Sealingを有効化、新しく用意したPCで、LINEアプリをインストール、その登録したメールアドレスとパスワードでログイン、で特別な操作なしに普通に「エンドツーエンドの暗号化」されてるメッセージが読めるからね特に意味ないってことはわかってた。
これどういうことや?パスワードでログインしても自分のメッセージが見られないなら困るじゃんそれがエンドツーエンド暗号化できていないってことなの?
親コメはE2EEの概念を知ってはいても、ログインパスワードがE2EEの暗号鍵になっている実装を知らないんではないかと
> ログインパスワードがE2EEの暗号鍵なんかおかしくないですかそれ?
何がおかしいんでしょう?LastPassもProtonMailも巷のE2EEサービスは大抵そういう実装ですよ?事業者が生のパスワードを握ってるならE2EEたりえないですけど、ログイン時にブラウザ上でパスワードをハッシュ化して送信する限り成立します
「暗号鍵」と「暗号鍵にアクセスするためのワード」とは別だと思うけど、おかしいってそういうことなんではないかな。
厳密に言えばそうね
> ログイン時にブラウザ上でパスワードをハッシュ化して送信する限り成立しますブラウザ上?ハッシュ化?間に業者サーバが居るようなSaaS系の話ならハッシュ化するしないは成立するしないに何も関係ないぞだって兎にも角にもサーバに届いた情報で暗号化・復号できんだから
まずE2EEの仕組みから勉強しよっか徳丸先生のコメントも参考になるかもしれないねhttps://teratail.com/questions/76309#reply-120143 [teratail.com]
君は間違っている例えばログイン認証と暗号化キーの元ネタを同じパスワードから作ったとしても、ハッシュ関数を変えたらどうか?ま、もうちょっと考えるか諦めて受け入れろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
Anonymous Coward (スコア:1)
LINEってアプリ上での表記としては、エンドツーエンドの暗号化(Letter Sealing)をやってるというふうに書いてあるが
スマホのアプリ上でLINEにメールアドレスとパスワードを登録、Letter Sealingを有効化、
新しく用意したPCで、LINEアプリをインストール、その登録したメールアドレスとパスワードでログイン、で特別な操作なしに普通に「エンドツーエンドの暗号化」されてるメッセージが読めるからね
特に意味ないってことはわかってた。
Re: (スコア:0)
これどういうことや?
パスワードでログインしても自分のメッセージが見られないなら困るじゃん
それがエンドツーエンド暗号化できていないってことなの?
Re: (スコア:0)
親コメはE2EEの概念を知ってはいても、ログインパスワードがE2EEの暗号鍵になっている実装を知らないんではないかと
Re: (スコア:0)
> ログインパスワードがE2EEの暗号鍵
なんかおかしくないですかそれ?
Re:Anonymous Coward (スコア:0)
何がおかしいんでしょう?
LastPassもProtonMailも巷のE2EEサービスは大抵そういう実装ですよ?
事業者が生のパスワードを握ってるならE2EEたりえないですけど、ログイン時にブラウザ上でパスワードをハッシュ化して送信する限り成立します
Re: (スコア:0)
「暗号鍵」と「暗号鍵にアクセスするためのワード」とは別だと思うけど、おかしいってそういうことなんではないかな。
Re: (スコア:0)
厳密に言えばそうね
Re: (スコア:0)
> ログイン時にブラウザ上でパスワードをハッシュ化して送信する限り成立します
ブラウザ上?ハッシュ化?
間に業者サーバが居るようなSaaS系の話ならハッシュ化するしないは成立するしないに何も関係ないぞ
だって兎にも角にもサーバに届いた情報で暗号化・復号できんだから
Re: (スコア:0)
まずE2EEの仕組みから勉強しよっか
徳丸先生のコメントも参考になるかもしれないね
https://teratail.com/questions/76309#reply-120143 [teratail.com]
Re: (スコア:0)
君は間違っている
例えばログイン認証と暗号化キーの元ネタを同じパスワードから作ったとしても、ハッシュ関数を変えたらどうか?
ま、もうちょっと考えるか諦めて受け入れろ