パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

暗唱番号認証を無効化するよう改造されたクレジットカードが確認される」記事へのコメント

  • by Anonymous Coward on 2015年10月23日 12時15分 (#2905169)

    ICカードの低レベルの物理層は規格が公開されているシリアル・インターフェースです
    ツールを使って簡単にデータのロギングが可能です
    自分でプログラミング可能なプロセッサ内蔵のブランクカードが市販されているので、話の上ではリバース・エンジニアリングした情報を元に自分で偽造カードを作成することが可能です
    国内でそれに近いことが起こったのが例のB-CASです

    • いくらログを取っても攻撃者が秘密鍵を推測できず、メッセージに署名ができず、認証を突破できないように設計すればよいだけです。
      ICクレジットカードと互換の自作カードを作ることはもちろん可能でしょう。しかし、既存カードから秘密鍵と署名アルゴリズムを
      盗み出すことができなければ、それは偽造カードにはなりません。「新しいカード会社を作って、自分で認証できる」という
      だけですから、何の脅威にもならないでしょう。

      既に指摘されていますが、B-CASカードの場合は秘密鍵が実際のカードから盗み出されたことが突破の原因でした。放送波の復号アルゴ
      リズムは公開されていましたし、ブランクカードも簡単に買えましたが、カードから持ち出されることのない秘密鍵(Km)が直接抜き
      出されるまでは、変造B-CASカードが登場することはありませんでした。

      親コメント
    • by Anonymous Coward

      それやろうとすると、宇宙の終わりまででも足りないぐらいの長い計算時間がかかる。
      IC内部に記録された暗号鍵はログやらの外部には出てこないので。

      改造無しに外部から観察できるのは、認証に使われる一時的な乱数とか、その乱数と暗号鍵からIC内で計算された計算結果とかのみ。
      計算結果から、暗号鍵を逆算するのは、途方もない時間がかかる。
      以前のログの結果を再度使おうにも、認証に使われる乱数は毎回変わるので、まず不可能。

      B-CASの話は、設計がタコなカードがあって、内部ICのデバッグモードから
      暗号鍵を吐き出させることが出来るセキュリティーホールがあったから出来ただけ。

      クレカには、そんなセキュリティホールないでしょ。
      もしあっても、そのカードだけ改良品に交換すれば済む話なので、対策されないはずがない。

    • by Anonymous Coward

      だから、盗んだり拾ったりした他人のクレジットカードを改造して、暗証番号入力をパスして決済に使うことができるという話だよね。

      ブランクカードで自分のカードを偽造できるとか言う話ではないと思う。

      とはいえ、改造しなくても盗難や紛失届がでていなければネットでの決済には使われるので、ちゃんと管理していないとだめだね。
      あまり何枚もクレジットカードを持っていると、1枚盗まれても気づかないかもしれないので、年会費無料という言葉に乗せられて無暗に作るべきではないね。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...