パスワードを忘れた? アカウント作成

Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開」記事へのコメント

  • by Anonymous Coward

    タレコミ主の

    1.ハッシュをユーザー側の暗号鍵で暗号化したものを送信
    2.暗号文をGoogleの暗号鍵でさらに暗号化した暗号文を返信
    3.この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。

    という説明は正しい?1のユーザー側の暗号鍵で暗号化したものに戻るんじゃない?

    • by Anonymous Coward

      その場合1.で送信する意味がないし、(ハッシュ化された流出リストはGoogle側の暗号鍵で暗号化されてるので)照合できない。
      詳細はよく分からないけど数学的にそういう構造を持つように設計された暗号方式なんだと思うよ。

      • by Anonymous Coward on 2019年02月10日 21時11分 (#3562881)

        ユーザー側ではハッシュをGoogleの暗号鍵で暗号化した一覧から照合させたい
        しかしユーザーはGoogleの暗号鍵を持っていないのでその暗号化ができない

        GoogleにはIDパスワードをハッシュ化した状態でも送らないようにしたい
        なのでユーザー側でユーザーの鍵で暗号化してから送る。

        DESやAES等の方式だと暗号化を別々の鍵で2回したあと一定の順序で2回復号化しなければいけないが
        可換暗号(楕円曲線暗号はこの条件を満たす)を使うとどちらの順序でも復号化できる

        1. で送信する理由はGoogleにGoogle側の暗号鍵で暗号化してもらうため

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...