アカウント名:
パスワード:
おれがFBIだったら、やっぱり要求する。当然、もらえない。そこで諦める。
以降、テロが起こってマスコミが「実はテロリストは暗号化された通信で頻繁にやりとりしていた!ほらこの企業のサーバにこんなログが!FBIはこれを見抜けなかった!」と騒ごうが何しようが「だって暗号解けないもん仕方ないじゃん」で済ませる。
追記。
というか、「暗号が解けなかったせいでテロが!これFBIが無能なせいだ!金さえあれば暗号解けるだろ?いくらかかるか見積もれよ!解けよ!」なーんて騒ぐようなリテラシの低い社会であってはならないんだけどいつか、なんか騒がれそうなんだよなあ。。。特に「金あるだろ?解けよ!」みたいなノリで騒がれそうな。。。
※ 個人の感想であり、なんら根拠があるものではりません
インターネットの監視はやるだけ無駄だ。諦めよう。と、常識で考えれば、そうなるわけだが、それでも諦めきれない理由はなんなんですかねえ。日本人が言えたことじゃないが、アメリカの政府債務はひどいことになってるんだから、無駄なことにカネ使ってる場合じゃない。
暗号解読で敵国の先制攻撃を防いだ、みたいな夢物語をいまだに思い描いてるなら、恥ずかしいとしかいいようがない。
テロ、或いは、速度違反の取締りと同じ。
「監視しようとしてる」姿勢を見せることが重要。これが、(特に一般市民の)行動を制限させて、結果として、テロリストの識別に繋がる。
ま、市民同士の抗争で、一般市民自体がテロリストとなる場所では無意味な作業になるが。
はなから出来ないなんて思考停止に陥ることのほうが拙いと思うのですがね。暗号を解く場合、正攻法だけでなく脆弱性を探しているのかもしれません。また、正攻法にせよ、そういう研究結果が今後の暗号開発に生かされていくものじゃないですか。なので無駄なことではないはず。
倫理的な問題は別として、情報を得る努力を怠っていないだけだと思いますがね。情報の価値をそれだけ高くみてるのでしょう。恥ずかしくなんてちっともない。
無駄だっつーでも、実際にネット使って犯罪おきたりテロ計画やらが立てられたりしてるんだから仕方ないでしょ。人がいる以上犯罪はなくならないし、火事もなくならない。やるだけ無駄だからとか言い出したら警察も消防も警察も金の無駄ってことになりかねない。政府が国民生活に対してなんの義務も負わないって言うのならそれでも良いんでしょうけどね。
まぁ、「ネット上ならなにがあっても仕方ないし、それに絡んだ犯罪やテロがおきても気にしないし、責任も問わない」というならやめるんじゃないですかね。
実際は政府の言い分としては、防いでますよ、ただし9/11以降10年ぐらいで数百件ほど数千人死ぬのが防げるのであれば、何百億ドルもの予算を積み込む価値があるって考えの人がいますからね実際この監視システムで儲けてるのは誰なのかな
映画とかドラマなんかでいとも簡単に解いているシーンが多いので、リテラシが低いというよりも、そもそも金さえあれば簡単に解けるという先入観はあるかも。
莫大に金があれば、解けますよ。ただし簡単ではない。難易度に応じてかかる金が指数関数的?に増加していく。
時間がかるとしても、すごいスパコンを大量に用意して、すごい研究者を大量に雇えば良い。それで時間は省略できる。
費用対効果を考えなくて良いのならば、莫大な金をかけて解決できない問題ってのは世の中ほとんど存在しない。
搦め手では Google とかを買収してもいいし。ほら、金で解決できるじゃんと。
ないないwもし解読できたら(解読できる可能性があるというだけでも)脆弱性があるってことになる。
AESだと、毎秒10兆回の計算が出来るには0.3mmの回路が作れねばならず(光速度の壁らしい)、それを使っても鍵を掘るのに317年かかるとか。http://senderek.de/security/secret-key.protection.html [senderek.de]
数百年後に2000年ごろの暗号化技術ということで、お前らがSSLでエロサイトを見た履歴を解読したものがサンプルとして博物館で展示されるかもしれない
そのエロサイトそのものが発掘されていなければ大丈夫じゃない?
# Internet Archiveは健在だったりして(怖)
理屈上、時間やコストが無限だと考えると解けない暗号はないですが、「今」現在の水準として、映画で見られるような暗号解読は不可能です。(もちろん実装のまずい暗号化を使用していればまた別の話ですが、今日日まともな実装の暗号ソフトは無料で簡単に手に入ります。)
もちろん時間やコストは有限ですので、例え全世界のリソースを動員した所でもそれなりの時間がかかります。(この場合でも短くとも年単位が必要になり、一晩で解読できるようなことはまずないでしょう。)反対にいうと、暗号はそれなりのマージンを持たせた設計になってますから、すぐに解けるような暗号は広く利用されていないということにもつながります。(政府自身も使用しているわけですから。)
#もちろん何らかの技術的ブレークスルーが発見されれば高速化される可能性はありますが、あくまでもそれが発見されればの話です。
> Amazon EC2を大量に稼働させればスパコン並みの処理能力になるから、時間の問題で楽に出来るだろう。
まあ、NSA はスパコンたくさん持ってますけどね。表に出れば Top500 に乗ってくるやつをいくつも持ってたとしても、全然不思議におもいません。
金があったら、暗号化のキーを購入すれば良いだけの話。暗号を正面から解く必要はどこにもないよ。一種のソーシャルな手段と思ってくれ。
本当に何でも莫大な金があれば解決ですよ。暗号なんて。SSLのマスターキーを保有しているところを丸ごと買い取れば良いし。そういうところに物理的に侵入する人を雇えば良いし。
たとえば、政治家を動かして政治的に圧力をかけてもらって手に入れれば良い。金は万能です。
金で解決できないと思っているのは想定している額が少ないが、金と社会と政治を知らないだけ。
技術万能を夢見る中二病は卒業しましょう。
一般的な暗号化の話として暗号化のキーが購入できると考えているのであればそれは全くの的外れです。ただ、SSLの場合公開鍵に対する秘密鍵を手に入れようとしているというところではまさにこのトピックでしようとしていることでしょうから。
NSAなんかのシステムは正に金と政治で解決しようとする試みですよ。ただ、中核の暗号技術自体は解くのが現実的ではないから経路分析などの大掛かりなシステムが必要になってくるんです。
大きく見た場合、暗号化も時間をかければ壊すことができるということでは完璧ではないけど、正しく運用される限りにおいて、(その時点において)限りなく万能とはなりうる。実際暗号(何らかの技術解決がもたらされるまで)が漏れる部分というのは技術以外の部分。
技術とその運用はごっちゃにしてはいけない。
>SSLのマスターキーを保有しているところを丸ごと買い取れば良いし。
SSL のことをあまりご存知ないようですが、「SSLのマスターキーを保有しているところ」がどこかにまとまってあるわけではありません。ここで言われているのは、SSL 用の秘密鍵のことで、通常これはサーバ内にしか存在しないものです。タンパプルーフな暗号化装置なんかだと、その装置から簡単には取り出せないような仕様のものもあります。
Google のサーバのものなら、Google を買い取っちゃえばいいでしょうが、Verisign を買い取っても、個々の企業・サーバの鍵がわかるわけではないです。
>本当に何でも莫大な金があれば解決ですよ。>暗号なんて。
なんて、まさに中二病的で、実体経済もテクノロジも、「莫大な金があれば解決」なんて簡単なものじゃありません。ラノベやマンガじゃないんだから、「世界を裏で支配する大企業、資産総額は200兆ドル」なんてありえないのです。(そもそもそんな量のドルは流通してない)
金が万能だと思っているわけでもなかろうに。
金銭というのは交換価値にすぎないから、値札の無いものは買えない。本件に立ち戻れば、インターネット企業は(大方の予想に反して)、顧客のプライバシーを売ることで利益を得てきたわけではない。
実際その手の描写が多い24では暗号化されたファイルを復元するのにバックドアを利用してましたよ。その他の手段でも、これまた定番な司法取引を持ちかけて複合用の情報(パスコードだったり解除手段だったり)を買収。純粋に計算だけで解読してるシーンって実は少ないと思う。
現実的にっていうよりはやっぱり演出的な問題で、ソーシャルな手段で入手するシーンの方が受けがいいんでしょうね。ジャック・バウアーの脅しシーンは米兵達が真似して困るって苦情がくるぐらい人気があるし。
SSLのマスターキーがすでに無くなっているような、過去の暗号通信パケットの買得には無意味では。
地球上のコンピュータの1億倍のコンピュータを買えばいいってだけの話だよね。お金があるんだったら。
というか、SSLだったらブラウザに登録されているどこか適当な認証局の鍵を一つでも持っていればいいんじゃないの?
ブラウザでSSLで暗号化されたページ見るのにいちいちこのページはどこの認証局に登録されているのか確認する人はそんなにいないでしょ
もっと手っ取り早く、FBIがルートCAになっている証明書をバンドルするように、ブラウザベンダに要求したりとか。
完全ななりすましではないにせよ、中間者攻撃で警告が出ないくらいの効果はあります。
そういや、昔、日本の自治体がオレオレ証明書を配布してたね。
www.google.comはGoogleが自ら認証局やってますがこれってGoogle内で改竄されてたら意味ないじゃん
企業向けにhttps対応プロキシサーバ(ウィルススキャンつき)というのがあってどうやってるのかと思ったらそのファイアウォールの証明書をクライアントPCに仕込んでおくんだとさMITMの正しい?応用
なるほどと思ったね~
その仕組みのソフトウェアはいくつもありますが、サイトごとの初回アクセス時オンデマンド証明書でっちあげるわけで、相当負荷が高いんですよね。個人的な意見としては大した効果はないのですが、その割にはサーバ台数が必要でライセンス売れて、社員の事細かく監視したい(肥大化し官僚的で無能な)間接部門につけこんだ良い商売だとおもいます。
FBIのCA局がクラッカに狙われて、万一秘密鍵が漏洩した日には目も当てられないので、そんなリスクの高いことはやらないと思います。
そんなあなたに certficate pinning
といってみたものなぜ何がどうよくなるのかわかっていない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
おれがFBIだったら (スコア:0)
おれがFBIだったら、やっぱり要求する。
当然、もらえない。
そこで諦める。
以降、テロが起こってマスコミが「実はテロリストは暗号化された通信で頻繁にやりとりしていた!
ほらこの企業のサーバにこんなログが!FBIはこれを見抜けなかった!」と騒ごうが何しようが
「だって暗号解けないもん仕方ないじゃん」で済ませる。
Re: (スコア:0)
追記。
というか、「暗号が解けなかったせいでテロが!これFBIが無能なせいだ!金さえあれば暗号解けるだろ?いくらかかるか見積もれよ!解けよ!」
なーんて騒ぐようなリテラシの低い社会であってはならないんだけど
いつか、なんか騒がれそうなんだよなあ。。。
特に「金あるだろ?解けよ!」みたいなノリで騒がれそうな。。。
※ 個人の感想であり、なんら根拠があるものではりません
あきらめが肝心 (スコア:3)
インターネットの監視はやるだけ無駄だ。諦めよう。と、常識で考えれば、そうなるわけだが、それでも諦めきれない理由はなんなんですかねえ。日本人が言えたことじゃないが、アメリカの政府債務はひどいことになってるんだから、無駄なことにカネ使ってる場合じゃない。
暗号解読で敵国の先制攻撃を防いだ、みたいな夢物語をいまだに思い描いてるなら、恥ずかしいとしかいいようがない。
Re:あきらめが肝心 (スコア:1)
テロ、或いは、速度違反の取締りと同じ。
「監視しようとしてる」姿勢を見せることが重要。
これが、(特に一般市民の)行動を制限させて、結果として、テロリストの識別に繋がる。
ま、市民同士の抗争で、一般市民自体がテロリストとなる場所では無意味な作業になるが。
-- Buy It When You Found It --
Re:あきらめが肝心 (スコア:1)
はなから出来ないなんて思考停止に陥ることのほうが拙いと思うのですがね。
暗号を解く場合、正攻法だけでなく脆弱性を探しているのかもしれません。
また、正攻法にせよ、そういう研究結果が今後の暗号開発に生かされていくものじゃないですか。
なので無駄なことではないはず。
倫理的な問題は別として、情報を得る努力を怠っていないだけだと思いますがね。
情報の価値をそれだけ高くみてるのでしょう。恥ずかしくなんてちっともない。
Re: (スコア:0)
無駄だっつーでも、実際にネット使って犯罪おきたりテロ計画やらが立てられたりしてるんだから仕方ないでしょ。
人がいる以上犯罪はなくならないし、火事もなくならない。
やるだけ無駄だからとか言い出したら警察も消防も警察も金の無駄ってことになりかねない。
政府が国民生活に対してなんの義務も負わないって言うのならそれでも良いんでしょうけどね。
まぁ、「ネット上ならなにがあっても仕方ないし、それに絡んだ犯罪やテロがおきても気にしないし、責任も問わない」というならやめるんじゃないですかね。
Re: (スコア:0)
実際は政府の言い分としては、防いでますよ、ただし9/11以降10年ぐらいで数百件ほど
数千人死ぬのが防げるのであれば、何百億ドルもの予算を積み込む価値があるって考えの人がいますからね
実際この監視システムで儲けてるのは誰なのかな
Re: (スコア:0)
Re:おれがFBIだったら (スコア:1)
映画とかドラマなんかでいとも簡単に解いているシーンが多いので、リテラシが低いというよりも、そもそも金さえあれば簡単に解けるという先入観はあるかも。
Re: (スコア:0)
莫大に金があれば、解けますよ。
ただし簡単ではない。
難易度に応じてかかる金が指数関数的?に増加していく。
時間がかるとしても、
すごいスパコンを大量に用意して、
すごい研究者を大量に雇えば良い。
それで時間は省略できる。
費用対効果を考えなくて良いのならば、
莫大な金をかけて解決できない問題ってのは世の中ほとんど存在しない。
搦め手では Google とかを買収してもいいし。
ほら、金で解決できるじゃんと。
Re:おれがFBIだったら (スコア:1)
ないないw
もし解読できたら(解読できる可能性があるというだけでも)脆弱性があるってことになる。
AESだと、毎秒10兆回の計算が出来るには0.3mmの回路が作れねばならず(光速度の壁らしい)、
それを使っても鍵を掘るのに317年かかるとか。
http://senderek.de/security/secret-key.protection.html [senderek.de]
Re: (スコア:0)
数百年後に2000年ごろの暗号化技術ということで、お前らがSSLでエロサイトを見た履歴を解読したものがサンプルとして博物館で展示されるかもしれない
Re: (スコア:0)
そのエロサイトそのものが発掘されていなければ大丈夫じゃない?
# Internet Archiveは健在だったりして(怖)
Re:おれがFBIだったら (スコア:1)
理屈上、時間やコストが無限だと考えると解けない暗号はないですが、「今」現在の水準として、映画で見られるような暗号解読は不可能です。(もちろん実装のまずい暗号化を使用していればまた別の話ですが、今日日まともな実装の暗号ソフトは無料で簡単に手に入ります。)
もちろん時間やコストは有限ですので、例え全世界のリソースを動員した所でもそれなりの時間がかかります。(この場合でも短くとも年単位が必要になり、一晩で解読できるようなことはまずないでしょう。)
反対にいうと、暗号はそれなりのマージンを持たせた設計になってますから、すぐに解けるような暗号は広く利用されていないということにもつながります。(政府自身も使用しているわけですから。)
#もちろん何らかの技術的ブレークスルーが発見されれば高速化される可能性はありますが、あくまでもそれが発見されればの話です。
Re:おれがFBIだったら (スコア:1)
Re:おれがFBIだったら (スコア:1)
> Amazon EC2を大量に稼働させればスパコン並みの処理能力になるから、時間の問題で楽に出来るだろう。
まあ、NSA はスパコンたくさん持ってますけどね。
表に出れば Top500 に乗ってくるやつをいくつも持ってたとしても、全然不思議におもいません。
Re: (スコア:0)
金で解決可能なんですが?
もしかしてお金さえあれば物理法則ねじまげたり、一瞬で科学が発展したりするの?
そんな莫大な金があったら、暗号解くよりテロの背景壊せるよ。
Re: (スコア:0)
金があったら、暗号化のキーを購入すれば良いだけの話。
暗号を正面から解く必要はどこにもないよ。
一種のソーシャルな手段と思ってくれ。
本当に何でも莫大な金があれば解決ですよ。
暗号なんて。
SSLのマスターキーを保有しているところを丸ごと買い取れば良いし。
そういうところに物理的に侵入する人を雇えば良いし。
たとえば、政治家を動かして政治的に圧力をかけてもらって手に入れれば良い。
金は万能です。
金で解決できないと思っているのは想定している額が少ないが、
金と社会と政治を知らないだけ。
技術万能を夢見る中二病は卒業しましょう。
Re:おれがFBIだったら (スコア:1)
一般的な暗号化の話として暗号化のキーが購入できると考えているのであればそれは全くの的外れです。
ただ、SSLの場合公開鍵に対する秘密鍵を手に入れようとしているというところではまさにこのトピックでしようとしていることでしょうから。
NSAなんかのシステムは正に金と政治で解決しようとする試みですよ。
ただ、中核の暗号技術自体は解くのが現実的ではないから経路分析などの大掛かりなシステムが必要になってくるんです。
大きく見た場合、暗号化も時間をかければ壊すことができるということでは完璧ではないけど、正しく運用される限りにおいて、(その時点において)限りなく万能とはなりうる。実際暗号(何らかの技術解決がもたらされるまで)が漏れる部分というのは技術以外の部分。
技術とその運用はごっちゃにしてはいけない。
Re:おれがFBIだったら (スコア:1)
>SSLのマスターキーを保有しているところを丸ごと買い取れば良いし。
SSL のことをあまりご存知ないようですが、「SSLのマスターキーを保有しているところ」がどこかにまとまってあるわけではありません。
ここで言われているのは、SSL 用の秘密鍵のことで、通常これはサーバ内にしか存在しないものです。
タンパプルーフな暗号化装置なんかだと、その装置から簡単には取り出せないような仕様のものもあります。
Google のサーバのものなら、Google を買い取っちゃえばいいでしょうが、Verisign を買い取っても、個々の企業・サーバの鍵がわかるわけではないです。
>本当に何でも莫大な金があれば解決ですよ。
>暗号なんて。
なんて、まさに中二病的で、実体経済もテクノロジも、「莫大な金があれば解決」なんて簡単なものじゃありません。
ラノベやマンガじゃないんだから、「世界を裏で支配する大企業、資産総額は200兆ドル」なんてありえないのです。
(そもそもそんな量のドルは流通してない)
Re: (スコア:0)
金が万能だと思っているわけでもなかろうに。
金銭というのは交換価値にすぎないから、値札の無いものは買えない。
本件に立ち戻れば、インターネット企業は(大方の予想に反して)、
顧客のプライバシーを売ることで利益を得てきたわけではない。
Re: (スコア:0)
実際その手の描写が多い24では暗号化されたファイルを復元するのにバックドアを利用してましたよ。
その他の手段でも、これまた定番な司法取引を持ちかけて複合用の情報(パスコードだったり解除手段だったり)を買収。
純粋に計算だけで解読してるシーンって実は少ないと思う。
現実的にっていうよりはやっぱり演出的な問題で、ソーシャルな手段で入手するシーンの方が受けがいいんでしょうね。
ジャック・バウアーの脅しシーンは米兵達が真似して困るって苦情がくるぐらい人気があるし。
Re: (スコア:0)
SSLのマスターキーがすでに無くなっているような、
過去の暗号通信パケットの買得には無意味では。
Re: (スコア:0)
地球上のコンピュータの1億倍のコンピュータを買えばいいってだけの話だよね。
お金があるんだったら。
Re: (スコア:0)
というか、SSLだったらブラウザに登録されているどこか適当な認証局の
鍵を一つでも持っていればいいんじゃないの?
ブラウザでSSLで暗号化されたページ見るのにいちいちこのページはどこの認証局に
登録されているのか確認する人はそんなにいないでしょ
Re:おれがFBIだったら (スコア:1)
もっと手っ取り早く、
FBIがルートCAになっている証明書をバンドルするように、ブラウザベンダに要求したりとか。
完全ななりすましではないにせよ、中間者攻撃で警告が出ないくらいの効果はあります。
Re: (スコア:0)
そういや、昔、日本の自治体がオレオレ証明書を配布してたね。
Re: (スコア:0)
www.google.comはGoogleが自ら認証局やってますが
これってGoogle内で改竄されてたら意味ないじゃん
Re: (スコア:0)
企業向けにhttps対応プロキシサーバ(ウィルススキャンつき)というのがあって
どうやってるのかと思ったら
そのファイアウォールの証明書をクライアントPCに仕込んでおくんだとさ
MITMの正しい?応用
なるほどと思ったね~
Re:おれがFBIだったら (スコア:1)
その仕組みのソフトウェアはいくつもありますが、サイトごとの初回アクセス時オンデマンド証明書でっちあげるわけで、
相当負荷が高いんですよね。
個人的な意見としては大した効果はないのですが、その割にはサーバ台数が必要でライセンス売れて、
社員の事細かく監視したい(肥大化し官僚的で無能な)間接部門につけこんだ良い商売だとおもいます。
Re: (スコア:0)
FBIのCA局がクラッカに狙われて、
万一秘密鍵が漏洩した日には目も当てられないので、
そんなリスクの高いことはやらないと思います。
Re: (スコア:0)
そんなあなたに certficate pinning
といってみたものなぜ何がどうよくなるのかわかっていない