パスワードを忘れた? アカウント作成
478 story

プライバシが筒抜けWindowsアクティベーションが解析される 35

ストーリー by Oliver
どうせ破られるならROT13で十分 部門より
本家より: "ドイツのFully Licensed GmbHという会社がマイクロソフトの新しい違法コピー防止のメカニズムWindows Product Activation (WPA)の解析に成功した。ソースと実行ファイルおよび仕組みに関する論文が公開されている"

暗号は破られる為にあるのは当然として、恐いのはマイクロソフトに送られる情報にネットワークカードのMACアドレスを筆頭に各種ハードウェアの固有シリアル番号やRAMの容量まで含まれている事。しかも、その事実はどこにも告知されない。ちなみにドイツでは類似品を作らない限りはリバースエンジニアリンが法律で許されていて、ライセンス契約のそういう条項は公序良俗違反として無効になる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by tarosuke (2403) <webmaster@tarosuke.net> on 2001年07月10日 17時58分 (#6296) 日記
    で、RMSが走ってきてハンマー投げつけて画面を叩き割る...
    って色気がねぇぞ、色気が。

    そういや未来世紀ブラジルって明日あたりにWOWOWでやる
    みたいだねぇ...
  • 三つ以上変更があるとリアクティベートが必要、ということは、
    「ドッキングステーションのない」ノートPCで、
    NICとSCSI接続のCD-ROMを引っこ抜いてさあ出かけよう、ってやると
    その時点でMSに電話掛けなくちゃいけなくなる、という話なんですよね?
    (解釈を間違ってるかな?)

    この解釈が正しければ、外出から帰ってきて元通りNICとSCSIを挿した時点でもう一回…。
  • ISPにダイヤルアップするには電話代がかかる(こともある)から、
    フリーダイヤルなら最初から電話にしたいよねえ。
    まあもっとも延々と待たされる気がするけど。
    というか出かける間際にそんなこと言われても…
  • by novastyli (3559) on 2001年07月10日 21時42分 (#6336)
    > 恐いのはマイクロソフトに送られる情報にネットワークカードのMACアドレスを筆頭に各種ハードウェアの固有シリアル番号やRAMの容量まで含まれている事。

    誰も論文を読んでないようなので指摘させてもらえば、これらのハードウェアIDはMD5でハッシュされた上に全てのビットではなく一部のビットをとっているだけなので、送られる情報からMACアドレスその他を復元することはできません。

  • それは仰せの通りなのですが、
    もっと根本的に「Dockable」なPCであるかないかの判定を
    どうやってるのか、がわからないんですよね。
    ドッキングステーションのないノートPCは常識的には「Undockable」だと思います。
    最近はPCMCIAスロットのあるデスクトップPCもそこら中に存在してますし。
    「Dockable」だったらグラフィックは除外、っていうロジックも不思議。

    PCMCIA、USB、IEEE1394、問題になりそうなI/Fばっかりなんですけどね。
    せめてそのH/WノードがどのI/Fの先に繋がってるか判断しているというのならわかるのですが…
  • この話、ずーっと思ってるんですけど、リアクティベートが必要になってしまった人が「窃盗犯ではない」ということをどうやって証明するのでしょう。
    Windows 2000 Magazineのサイトに、メーカーから借りていたマシンの記事を書き終えたのでマシンを返却した後、 あらためて自分のマシンにOffice XPをインストールしようとした人の話 が載ってますが、この人は(もしMSDNを購読していなかったら)最終的にアクティベーションキーをもらうことは可能だったのでしょうか。あるいは、古いPCを捨てて新しいPCにもう一度インストールするためにはライセンスをもう一個買わないといけない?
  • 個人情報をM$に送るってのは古くはw95Beta2ぐらいから何度も話題になっていて、その都度猛反対を受けて取り下げていたように思うけど、「海賊版防止のため」という建前のもとについに念願がかなったのね。

    おめでとうといっておこう。

    私?・・・んー、使わなくてすむならそれでいいんですが。

  • オープンライセンスを購入すると,アクチベーション不要なマスターがもれなく1つついてくると聞いています.
  • by giuko (3578) on 2001年07月10日 17時41分 (#6285)
    つか、M$はそんな情報集めてどうしようっつーんだろうね?

    昔からやってるつー話は聞いた事あったけど、何が目的で集めてんだろう?

    シリアルNo.も収集してデータベース化して、共通のシリアルNo.が使われてる割合とか調べてんだろうか?

    それこそ、Napstarのネタの所と同じ議論になってくるんだけど、M$が「私達の所はこんなにコピられて損してんですよ~ (実際の所、そんなの関係なく儲かってんだけどね)」って言いたいだけのような・・・
    --

    --
    10 beep
    20 goto 10
  •  OEM、企業の両方がアクチベーション不要ということは、何を申そう,みんなが登録をすると,MSのデータベースがパンクするのであった,なんてね.
  • by yt (2748) on 2001年07月10日 17時45分 (#6289)
    > ちなみにドイツでは類似品を作らない限りはリバースエンジニアリンが法律で許されていて、ライセンス契約のそういう条項は公序良俗違反として無効になる。

    すばらしいっつーかあたりまえな法律ですよね.
    ってか工業製品だったらライバルメーカの製品を
    かならず分解して研究するっていいますし.
    もうすこし言うと, ソフトウェアの特許がいいかわるいかは置いといて
    特許に触れなければぱくってよしっていう考え方には
    むりがあるかな?

    あとこういった法律があるのはドイツだけなのだろうか?
  • by znc (2768) on 2001年07月10日 17時51分 (#6294)
    ええと,馬鹿正直にWPAのテストに参加している人です(爆).

    ハードウェア情報はキーとして使っている(いた?)らしいのですが,
    やはりプライバシーの侵害には充分なレベルだったのね・・・

    ちなみに,WPAの突破そのものは時間の問題だと確信していました(ぉ.
    もっとも,ここまでおおっぴらになるとは思いませんでしたが・・・・・
    PC-8801/9801時代のコピープロテクト破り競争を見ている私としては, この程度のプロテクトが突破できないとはとても思えないのです・・・・・

    ただ, マイクロソフト側もRTMが出るまでにはまだ若干の時間があります.
    その気になればRTMまでにアルゴリズムを変える可能性は充分にあるでしょう.
    この点では"Fully Licensed GmbH"側もちょっと勇み足かなと言う気がします.

    # 注:ライセンスを破ってもいいと言う訳ではないですよ.
    --
    『今日の屈辱に耐え明日の為に生きるのが男だ』
    宇宙戦艦 ヤマト 艦長 沖田十三氏談
    2006/06/23 JPN 1 - 4 BRA
  • 登録開始から何時間もつかなぁ?>M$のサーバ
  • IEのどのバージョンか忘れたけどM$のどこかのページを見ると
    個人情報やらレジストリ情報やらを知らぬうちに送信していたという
    過去もありましたね(そういう記事をZDNETで見た気がする)

    まぁネスケもダウンロード情報とか収集していたらしいし
    ブラウザに色々仕込まれたらそれこそやられ放題ですね。

    パフォーマンスを落とさずに通信を監視して怪しい情報を
    チェックするソフトって作ったら売れるかな・・・?
    もしかしてすでにあり?

    重蔵。
  • みんなで電話すれば怖くない.
    #意味不明.
    インターネットにアクセスできないときは,通話料無料の電話が用意されているのですよね.
  • 奇跡的に電話が即座に繋がって、待たされずにアクティベーションのコードを教えて貰えたとして、
    44桁(桁数変わってなければ)のキーコードを手入力しなくちゃならないんですよね。
    やはり恐ろしく時間がかかることになりますね。
    しかも、「じゅもんがちがいます」が大発生する事うけあい。
  • 個人情報なんてM$に限らず収集してるところは
    してるんでしょうね。山のように届くダイレクト
    メールを見るとそう思いますよ。
    悪いことしてないんだからM$にマシン情報
    にぎられても別にいいじゃんって思うんだけど、
    PC自作派の自分にとってはヘボパーツの購入
    履歴がM$のサーバーに残るのかと思うと
    ちょっと恥ずかしいんだけど。
  • Conclusionにも、
    別に情報が漏れるわけでも危険でもなし、そんなに問題じゃなかべー、のような記述がある。
    解析したうえでの結論なので信頼したいのだが。

    でもまあ生理的に嫌だけど。
  • 件の論文によれば、ドッキング可能なラップトップの場合はSCSIホストアダプター、IDEコントローラー、およびグラフィックスカードが変わったかどうかはチェックしないそうです。
  • by Gill (2958) on 2001年07月10日 23時34分 (#6353)
    >どうせならもっとがむばって、ビッグブラザーへの道をひた走ってほしいもんだ。 ビックブラウザ-と読んでしまった…けど…違和感がない(^^;
  • ならば、何故M$はそんな役立たずの情報を欲しがるのだろうか?

    結局いかなる形であれ、M$に情報を与えたら、それらがどう使われるのかわからない所にこの問題があるのでは?
  • by novastyli (3559) on 2001年07月11日 0時39分 (#6369)
    アクティベーションキーが必要で、それはハードウェアIDとライセンスIDから生成される。だからたとえばWinXPをひとつ買ってきて家のデスクトップと携帯用のラップトップ両方で使うというようなことができないようになる。

    これを実現するにはひとつのライセンスIDから作れるアクティベーションキーを制限する必要があり、それはMSサイドでやる必要がある。だからハードウェアIDとライセンスIDをMSに送ってアクティベーションキーをもらうというプロセスが必要になるわけですね。

    もうみんなWindowsをつかうのをやめる潮時でしょう。

  • 多分、あたしたちが心配しなくても、間違いなく世界中のクラッカーが標的にすると思われ(^^; セキュリティに関しては輝かしい実績をお持ちのMicrosoft様ですもの☆
    --
    _ to boldly go where no man has gone before!
  • これだけならVMwareで全部回避できるから大丈夫。
    ・・・と思ったものの、ただでさえ重いOSをエミュ上で動かしたら救いようがないですね。
  • なにがいいたいのかいまいち解らんが、ここではなぜMSがアクティベーションなどということ始めるかという話をしているんで、こういうことを始めるということは、「ふつー2つ買って」ないとMSが思っていることの証拠でしょう。

    逆にいえばあなたのいう基本をまもっている人に手間をかけさせてでもそうする必要があるとMSが思っているということですよ。そんなことまでさせられて、もうWindowsなんて使いたくないと思いませんか?別に勝手だけど。

  • by knabe (178) on 2001年07月11日 11時18分 (#6432)
    >ビックブラウザ-と読んでしまった…けど…違和感がない(^^;

    Windowsってよくできたドキュメントブラウザだと思ってたけど、
    違うの!?
  • β版配布にして既に転びましたね。タダでダウンロードさせてしまうなんて、何て太っ腹。
  • リバースエンジニアリングは認められると思います。
    ソフトウェアの著作権という意味で侵害になるのは
    デッドコピーであり、ソース/バイナリを盗んで同じ製品を作る以外の行為、
    逆アセンブルをはじめとした解析行為自体は著作権法上は問題ないはずです。

    逆アセンブルを禁じるライセンス契約が有効かどうか、
    それは有効なんじゃないですか。

    ソフトウェア特許上はどうなのかなあ。製品として
    同じアルゴリズムで機能を実現していたらまずいのかな?
    --
    _________________________________________ Kinoko, Deep Interactive>>Communication.
  • 今回のXPのアクチベイトの一件は、MSからすれば「プライバシー侵害」にはならない、と独自に考えたことに問題があると思います。(もちろんそれなりに調査もしたであろうが)

    現実論から言えば、例えばMACアドレスの一部が漏れていたとしても、全部が漏れない限り「完全な一致」は無いのですが、MSからすれば、違う時期にアクチベイトのリクエストを受けたときに、確率的に「この2つのリスエスにおいて、ソフトのシリアルとハードはら生成されたキーの内容は同一、故にピーコではないのでOK」と判断するに足りる情報が欲しいだけだと考えます。

    ある確率で、シリアルが同じでハードウェアの情報の一部から生成されたキーも同じ、ということもあり得ます。が、それはピーコされる数に比べれば、きわめて少ないと考えているのでしょう。
    また、「ピーコくさいよ。NG」となったとき、サポートに連絡させるというやり方は賛成です。そういうプロセスについて、多くのクラッカーは苦手と思われるからです。
    それよりも、このキーの生成アルゴリズムを他社に売ることが無い様にMSを監視することが重要かと思われます。それこそ「かなりの確率で一致する」と思えばそれで十分と思う企業はいっぱいあるでしょうから。

    その点から考えると、企業と消費者双方に一定の基準作り、それにコンセンサスが得られれば良いと考えます。
    企業の側には、ハードウェアの構成からキーを生成するという手法自体に、一定の業界のガイドラインをつくって、それを逸脱しないように消費者が監視する、という方法を取るのはどうでしょうか。アルゴリズムは共通化してはならない、みたいな。
    消費者の側には、サブジェクトにあるように、どこまでを「侵害となるならない」の共通意識という基準を消費者が決めるべきだと思います。一つの基準を全員に適用するのが困難であれば、「公開レベル3」みたいなのはどうでしょうか。公開レベルを選択するのは消費者の自由ですが、企業も要求する「公開レベル」を自由に選択できるようにすれば、最初は混乱がありそうですが、そのうち自然に「一般的」と思われる公開レベルが決まってくるのではと考えます。

    この案、いま即興で考えたのがミエミエでアレゲかもしれませんが、いかがでしょうか。
    --
    _/-/ Zantei _/-/
  • by Anonymous Coward on 2001年07月10日 17時28分 (#6281)
    ああ、どうせならもっとがむばって、ビッグブラザー への道をひた走ってほしいもんだ。そうすれば、B級 SFな未来で、未来世紀ブラジルごっこができるのに。
  • by Anonymous Coward on 2001年07月10日 17時45分 (#6288)
    >つか、M$はそんな情報集めてどうしようっつーんだろうね?

    そりゃ、売るんでしょ(多分)。
  • by Anonymous Coward on 2001年07月10日 20時13分 (#6321)
    日本の法律ではどうなのでしょう?
  • by Anonymous Coward on 2001年07月11日 5時45分 (#6394)
    いや・・・役立たずってわけでなくて、その程度の情報があれば、少なくとも近くにあるマシンとそれなりの確立で「違う」という区別はつくから、それで十分なんでそ。世界中から特定する必要はなくて、「たぶん違うマシン」ってのがわかれば十分なのよ
  • by Anonymous Coward on 2001年07月11日 5時50分 (#6395)
    ?ふつー2つ買ってくると思うんだが・・・
    >デスクトップ用とラップトップ用

    マシンの数だけライセンスそろえるのは基本やで?
    その価値が無いと思うならそもそも買わないのが
    仁義やろう。

  • by Anonymous Coward on 2001年07月11日 14時37分 (#6495)
    うん。わしもそーおもう>MSがそう思ってる

    「ソフトを作る側」の論理として、MSのやりたいこ
    とってのはよくわかるんで、どっちかっつーと、わしが
    MSに同意的なのは否定しない(苦笑)

    んで、言いたかったことは、2台にいれられないことを
    理由に文句いうのは変でしょ? ってことね。二つ
    ライセンスキー持ってるのは*あたりまえ*のこと
    なんだから。「使いにくいからやめれー」ってのなら
    わかる。

    まあ、実際のとこどのくらい使いにくいものかってのは、
    さわってみてないから、わしにはわからん。
    それについてはまたさわってみてから考えるよ。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...