パスワードを忘れた? アカウント作成

漏洩」記事へのコメント

  • by Anonymous Coward on 2021年03月17日 12時24分 (#3995611)

    LINEってアプリ上での表記としては、エンドツーエンドの暗号化(Letter Sealing)をやってるというふうに書いてあるが
    スマホのアプリ上でLINEにメールアドレスとパスワードを登録、Letter Sealingを有効化、
    新しく用意したPCで、LINEアプリをインストール、その登録したメールアドレスとパスワードでログイン、で特別な操作なしに普通に「エンドツーエンドの暗号化」されてるメッセージが読めるからね
    特に意味ないってことはわかってた。

    ここに返信
    • Re:Anonymous Coward (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2021年03月17日 12時43分 (#3995627)

      > パスワードでログイン

      してるじゃん、特別な操作

      • by Anonymous Coward

        横だがここで「エンドツーエンドの暗号化」と言ってるのは
        1,サーバに蓄積しないで
        2,その時間に端末と端末が直結し
        3,その経路が暗号化されている
        で、

        別途PCで読めるということはサーバに蓄積してるでしょ
        (そのサーバの情報は運営者は読めるのかなぁ...?)
        という意味では。

        • by Anonymous Coward

          1が誤解(短期間ではあってもサーバには暗号化されて保存されている)だから話はおしまい
          # 相手がオフラインだったら届かないとか思ってんの?

          サーバの情報は運営者も読めない。ハズ。ちゃんと実装されてればね

        • by Anonymous Coward

          サーバに蓄積されるEメールだってPGPとかでエンドツーエンド暗号化はできるよ。
          肝心なのは暗号鍵がエンド(端末)のみに保存されているかどうか。

          仮にエンドツーエンド暗号化であるとすれば、
          ログインパスワードから公開鍵暗号の秘密鍵を生成するか、
          ログインパスワードで暗号化した鍵をサーバに置いていないと
          元コメの挙動は再現できない筈。しかしその場合、前者は強度が低く後者は定義上疑問の余地がある。
          さらにこれらの場合、パスワード変更時やパスワードリセットの際にメッセージが失われる筈。
          パスワード変更なら変更時に全メッセージを暗号化し直す事も不可能ではないが……

    • by Anonymous Coward on 2021年03月17日 13時00分 (#3995640)

      公式HPの解説で「第三者のみならず当社のサーバー管理者であっても、通信上及びサーバー上でのメッセージ内容を閲覧することは出来ないことを保証します。」と書いてあったけど全く嘘だったわけだね。まあ初めから信じてはいなかったけどお咎め無しで終わったら不快だな。

      • by Anonymous Coward

        総務省や金融庁の怒られ案件になりそうだって話が流れてきていてますね...

      • by Anonymous Coward

        データセキュリティ [linecorp.com]
        これかな?

      • by Anonymous Coward

        経営者が低能だから、自分たちの会社が何やってるか把握できないんだよ。

      • by Anonymous Coward

        このあたりの資料を見ても、他の暗号化と変わらないので閲覧できないのは間違いないかと。
        「どんなデータにアクセスしていたかは確認中」と矛盾するので(平文で)トークが見れるというのは誤報な気がする。

        メッセージの安全性新時代:Letter Sealing
        https://engineering.linecorp.com/ja/blog/new-generation-of-safe-messag... [linecorp.com]

        嘘をついてバックドアを作り込んで覗いていた可能性も無くはないがちょっと妄想が過ぎる。

        • by Anonymous Coward on 2021年03月17日 14時20分 (#3995715)

          ■Letter Sealingに関する補足 [linecorp.com]

          Letter Sealingによるメッセージの暗号化は、通信を行う双方(グループの場合はグループ参加者全員)のクライアントがLetter Sealingに対応し、Letter Sealingを有効にしている必要があります。Letter Sealingが無効化されている場合、通信経路上での暗号化のみが行われます。

          利用者がLetter Sealingをオフにしている場合や、51人以上のグループはトークが平文で保存されるので、それが閲覧可能だったとすれば発表とは矛盾しない。

          • by Anonymous Coward

            発表にはメッセージが読めたなんて書いて無くね?
            LINEは履歴殆ど保存してくれないしなぁ メッセージDBにもそんなに残ってる気がしない

            • by Anonymous Coward

              ごめんなさい「トーク」が見えてなかったわ
              (#3995725) によれば通報された「トーク」ってことで、
              こいつらは別で保存されてたんだろうな

              • by Anonymous Coward

                真相が判明したので解散

        • by Anonymous Coward

          毎日みたいなド素人に書かすからや。

          >利用者がやりとりするメッセージ機能「トーク」のうち、
          >内容が不適切としてLINEに通報した会話や写真も閲覧できる環境だった。

          こういうのなら委託先で見れても不思議じゃない。いやいいのか?

          LINE、個人データ管理に不備 中国委託先で閲覧可能に
          https://www.nikkei.com/article/DGXZQODZ1709O0X10C21A3000000/ [nikkei.com]

        • トークが見れるというのが誤報なら速攻反論するところが、アクセスできない措置を取ったというだけだからねぇ
          普通なら調査中という前に、メッセージ内容を閲覧することは出来ないことを言うはず。
          もう少し待って反論なければ…確実アウトだろ

      • by Anonymous Coward

        嘘じゃなかったようだが

        さて、嘘と決めつけたことをどうやってお詫びするんだろう
        おとがめなしで終わったら不快だよなぁ
        期待して待ってるぞ

      • by Anonymous Coward

        Line: 「委託先は第三者には当たりません。当社のサーバー管理者は、閲覧する能力がないことは保証できます。したがって嘘ではありません」
        だったりして。

      • by Anonymous Coward

        サーバー管理してるのは当社のサーバー管理者じゃないし、サーバーを管理してる以上第三者でもないから、嘘ではない

    • by Myrrh (49275) on 2021年03月17日 14時05分 (#3995703)

      トーク履歴を持っている端末が、新規端末のログインを検知して、新規端末の公開鍵(あるいはそれを用いてやり取りした共通鍵)を用いて暗号化したトーク履歴を新規端末へ送信していれば、lineサーバーの盗聴は防げているよ。

    • by Anonymous Coward

      これどういうことや?
      パスワードでログインしても自分のメッセージが見られないなら困るじゃん
      それがエンドツーエンド暗号化できていないってことなの?

      • by Anonymous Coward

        親コメはE2EEの概念を知ってはいても、ログインパスワードがE2EEの暗号鍵になっている実装を知らないんではないかと

        • by Anonymous Coward

          > ログインパスワードがE2EEの暗号鍵
          なんかおかしくないですかそれ?

          • by Anonymous Coward

            何がおかしいんでしょう?
            LastPassもProtonMailも巷のE2EEサービスは大抵そういう実装ですよ?
            事業者が生のパスワードを握ってるならE2EEたりえないですけど、ログイン時にブラウザ上でパスワードをハッシュ化して送信する限り成立します

            • by Anonymous Coward

              「暗号鍵」と「暗号鍵にアクセスするためのワード」とは別だと思うけど、おかしいってそういうことなんではないかな。

            • by Anonymous Coward

              > ログイン時にブラウザ上でパスワードをハッシュ化して送信する限り成立します
              ブラウザ上?ハッシュ化?
              間に業者サーバが居るようなSaaS系の話ならハッシュ化するしないは成立するしないに何も関係ないぞ
              だって兎にも角にもサーバに届いた情報で暗号化・復号できんだから

              • by Anonymous Coward

                まずE2EEの仕組みから勉強しよっか
                徳丸先生のコメントも参考になるかもしれないね
                https://teratail.com/questions/76309#reply-120143 [teratail.com]

              • by Anonymous Coward

                君は間違っている
                例えばログイン認証と暗号化キーの元ネタを同じパスワードから作ったとしても、ハッシュ関数を変えたらどうか?
                ま、もうちょっと考えるか諦めて受け入れろ

        • by Anonymous Coward

          E2EEって端末同士が直接やりとりする経路が暗号化されてるんじゃないの?
          他の端末からログインしてデータが落ちてくるとしたら、
          最初にやりとりした端末から?途中にサーバが挟まってるの?

          • by Anonymous Coward on 2021年03月17日 14時11分 (#3995707)

            その通り。途中にサーバが挟まっている。
            E2EEは端末同士が「直接」やりとりすることを意味するものではない。
            「間接的に」やりとりするからこそ、間者に見えないようにするためのもの。

    • by Anonymous Coward

      エンドツーエンドっていってもクライアント同士なのだろうか?
      単にTLSみたいな方法でクライアント-サーバ間を暗号化してるだけなんだろうね。
      経路の暗号化はなされていると言い訳するんだろう。
      なし崩し的に許されるんだろうな…楽な方へと流れていくんだ。
      電子マネーとかも…

      • by Anonymous Coward

        何周遅れの話をしてるんだ
        他のACが提示してるリンク先くらい読めばいいのに

日々是ハック也 -- あるハードコアバイナリアン

処理中...