アカウント名:
パスワード:
パスワードの使い回しと似たような側面を持つ話ですかね?
ちょっと違うような気がするな。この手の機器で使われている証明書ってのは、サーバ証明書のことだよね。
この手の機器のサーバ証明書は、デフォルトのもの(多分オレオレ証明書)が組み込まれていて、同一機種(もしくは同一OS)であれば、どれも同じものが使われている。だとすると、同一機種を買って来れば、その中から当該サーバ証明書に対応する秘密鍵を取り出すことができるかもしれない。
秘密鍵を取り出せれば、後は機器とウェブブラウザとの通信経路の間に入れてしまえば、好き放題に中間者攻撃できる。パスワードも盗めるので、設定は弄れるし、ユーザサービスのHTTPSを愁嘆している機器であれば、クレジットカード番号みたいな秘密情報も盗めるかもしれない。
まあ、結果的には、パスワードの使いまわしで、機器にアクセスされてしまう危険と同じではあるけど。
ただ、機器とウェブブラウザとの通信経路の間に入れるか、ってのは一つのハードルにはなるんじゃないかな。インターネット経由で機器を管理するとかなら、深刻な問題になり得る。
この手の機器のサーバ証明書は、デフォルトのもの(多分オレオレ証明書)が組み込まれていて、同一機種(もしくは同一OS)であれば、どれも同じものが使われている。
これはあるサーバーにアクセスするクライアントデバイスのことに付いて話してます?あるサーバーからそこにアクセスする各クライアントに配られるサーバー証明書は、同じサーバーからのものなら同じ証明書が配られているのは当然で、その中には公開鍵しか入っていないので、同じ証明書をいくら持っていたところで、そこから該当サーバーの秘密鍵を取り出すのは(現実的には)不可能では?
その中には公開鍵しか入っていないので、同じ証明書をいくら持っていたところで、そこから該当サーバーの秘密鍵を取り出すのは(現実的には)不可能では?
その通りです。しかし、そんな話はしてません。
HTTPSでサーバ証明書が配られることが問題になっているわけではありませんよね。同一の(サーバ証明書、秘密鍵)を持っている機器が、普通に販売されていて、誰でも入手できることが問題になっています。
複数のクライアント機器が同じサーバー証明書を持っていることは、別におかしいことでもなんでもないんじゃないの?サーバー証明書ってサーバーがアクセスしてくる先に配りまくるものでしょ。
複数のクライアント機器が同じサーバー証明書を持っていることは、別におかしいことでもなんでもないんじゃないの?
そうです。だから、あなた以外誰もそのことを問題にしていません。
問題は、当該ネットワーク機器と同一機種を買えば、同じ秘密鍵が入っている、ってことです。
ん?じゃ「同一機種を買って来れば、その中から当該サーバ証明書に対応する秘密鍵を取り出すことができる」ってどういう意味でいってるの?
じゃ「同一機種を買って来れば、その中から当該サーバ証明書に対応する秘密鍵を取り出すことができる」ってどういう意味でいってるの?
別途買ってきた同一機種の中に含まれている秘密鍵を取り出す、って意味です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
これって要するに (スコア:0)
パスワードの使い回しと似たような側面を持つ話ですかね?
Re: (スコア:1)
ちょっと違うような気がするな。
この手の機器で使われている証明書ってのは、サーバ証明書のことだよね。
この手の機器のサーバ証明書は、デフォルトのもの(多分オレオレ証明書)が組み込まれていて、同一機種(もしくは同一OS)であれば、どれも同じものが使われている。
だとすると、同一機種を買って来れば、その中から当該サーバ証明書に対応する秘密鍵を取り出すことができるかもしれない。
秘密鍵を取り出せれば、後は機器とウェブブラウザとの通信経路の間に入れてしまえば、好き放題に中間者攻撃できる。
パスワードも盗めるので、設定は弄れるし、ユーザサービスのHTTPSを愁嘆している機器であれば、クレジットカード番号みたいな秘密情報も盗めるかもしれない。
まあ、結果的には、パスワードの使いまわしで、機器にアクセスされてしまう危険と同じではあるけど。
ただ、機器とウェブブラウザとの通信経路の間に入れるか、ってのは一つのハードルにはなるんじゃないかな。
インターネット経由で機器を管理するとかなら、深刻な問題になり得る。
Re: (スコア:0)
この手の機器のサーバ証明書は、デフォルトのもの(多分オレオレ証明書)が組み込まれていて、
同一機種(もしくは同一OS)であれば、どれも同じものが使われている。
これはあるサーバーにアクセスするクライアントデバイスのことに付いて話してます?
あるサーバーからそこにアクセスする各クライアントに配られるサーバー証明書は、
同じサーバーからのものなら同じ証明書が配られているのは当然で、
その中には公開鍵しか入っていないので、同じ証明書をいくら持っていたところで、
そこから該当サーバーの秘密鍵を取り出すのは(現実的には)不可能では?
Re: (スコア:1)
その中には公開鍵しか入っていないので、同じ証明書をいくら持っていたところで、そこから該当サーバーの秘密鍵を取り出すのは(現実的には)不可能では?
その通りです。
しかし、そんな話はしてません。
HTTPSでサーバ証明書が配られることが問題になっているわけではありませんよね。
同一の(サーバ証明書、秘密鍵)を持っている機器が、普通に販売されていて、誰でも入手できることが問題になっています。
Re: (スコア:0)
複数のクライアント機器が同じサーバー証明書を持っていることは、
別におかしいことでもなんでもないんじゃないの?
サーバー証明書ってサーバーがアクセスしてくる先に
配りまくるものでしょ。
Re: (スコア:1)
複数のクライアント機器が同じサーバー証明書を持っていることは、別におかしいことでもなんでもないんじゃないの?
そうです。
だから、あなた以外誰もそのことを問題にしていません。
問題は、当該ネットワーク機器と同一機種を買えば、同じ秘密鍵が入っている、ってことです。
Re:これって要するに (スコア:0)
ん?
じゃ「同一機種を買って来れば、その中から当該サーバ証明書に対応する秘密鍵を取り出すことができる」
ってどういう意味でいってるの?
Re:これって要するに (スコア:1)
じゃ「同一機種を買って来れば、その中から当該サーバ証明書に対応する秘密鍵を取り出すことができる」ってどういう意味でいってるの?
別途買ってきた同一機種の中に含まれている秘密鍵を取り出す、って意味です。