アカウント名:
パスワード:
https://kirigakure.net/?p=214 [kirigakure.net]
このページに書いてあるのは、公開鍵から秘密鍵を導出できるから非公開にすべきという話ですね。そんなことあるんでしょうかね。ないと思いますけど。
なので、PKIってのはそう言う万一の事があった時にどうするかも予め想定して運用するんだよね。秘密鍵が公開鍵から計算されてしまう可能性は非常に低いけど、それに比べれば、ミスやソーシャルエンジニアリングなんかで流出してしまう可能性は高い。なので、そう言うものへの対策は当然してあるはずだよ。
その対策ってのが今回の非公開理由なんですが。対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
その対策ってのが今回の非公開理由なんですが。
で、その妥当性が問題になってるわけだよね。
対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
は? バカなの?対策はすべきだし、当然「CA証明書を非公開にする」以外の対策をしてるだろう、って話。
「CA証明書を非公開にする」って「対策」に、どんだけ効果があると言ってるわけ?もしその「対策」を行ったところで、秘密鍵流出のリスクはゼロにはならないよ。流出した場合の対策が準備されてない、と言っているわけじゃないんだろ?だったらメリット・デメリットを総合的に判断してどうか、って話になるね。「CA証明書を非公開にする」のはほとんど意味がない。検証用アプリケーションを民間が開発しにくい(けど、外務省ルート以外では開発できる)。
一方、公開しても、デメリットはほとんどない。確かに、公開鍵から秘密鍵を計算できる危険性はあるが、そんなのはソーシャルエンジニアリングによるものに比べれば、限りなく低い。当然流出時のオペレーションは決まってるはずなので、万一の場合でもなんとかなる。なので、「まったく問題無い」とまでは言わないけど、実用上問題無いレベルとは言えるだろうね。
うわぁ、放射脳だったか……原発がそうだったから世の中すべてがそう見えるんだね、かわいそうに。
ストーリーから外れるけど・・・東日本の原発事故の前も後も「原発は絶対安全だから発生確率はゼロ」なんて実際に聞いたことがないけど、あなたは本当に聞いたことがあるの?そしてそれを信じてたの?批判したいがために話を盛ってない?
原発は絶対安全だから発生確率はゼロ、って言って、あらゆる巨大な問題を全て問題ないと言い続けた奴いてああなったわけだよ。それと全く同じ事を言ってるんだよな、こいつら。なんなんだろう。
まるっきり的外れです。対策があってもやはりリスクはゼロにはならないのだから、有事の場合のオペレーションを策定しておけ、と言うのが私の意見です。
アホなこと書き散らしてないで、他人の意見はちゃんと読みなさい。そんなことじゃ、放射脳以下。
不開示決定通知書のどこにそんなこと書いてあるんだよ。ここで言う「対策」が具体的に何のことか解ってないだろ。
アルゴリズムにバグはなくとも実装にはバグがあるかもしれない。だから誰でも構わず自由に公開しちゃうってのはどうかと思うんですよ。
あのさぁ…その主張だと「わざとバグを仕込んだプログラム」を作れば公開鍵から秘密鍵が取れるってことになるんだが?
いやそれはもう公開鍵の公開とは関係ないだろそもそも公開鍵を知るだけで秘密鍵が容易に取得できるのなら世界中で大騒ぎになってるわ理解できないなら黙ってりゃいいのに、何が気に食わないのか理解できないのに理解しているフリまでして反論するアホが多くて頭痛くなってくる
「ICカードの電力解析が出来るから公開拒否は妥当」なんてバカなことが書いてあるけど、ICカードの電力解析による鍵割り出しに公開鍵は要らない。ICカードの実物があればいい。公開鍵から秘密鍵を導出できるというのも、別に秘密鍵だって抽出できるんだから全く失当。
暗号の強度がカードの耐タンパ性とアルゴリズムの計算量的安全性に依存しているということが全く理解できていない。なんでも秘密にすれば脆弱でも大丈夫という危険な思い込みを書き散らしている。
どうせお役人は「技術の事分かってないからなww」と(市民を)馬鹿にしている
ブログの主は「公開鍵は(秘密鍵を導出できる可能性があり)、脆弱だから非公開(秘密)にすれば大丈夫(妥当)」という主張なんだから、すでに書いてあるだろ。
元コメは「書き散らしている」と書いているからお役人を馬鹿にしているんじゃなくて、ブログの主を馬鹿にしているんだろ。たぶん。。。
GUID重複バグを引き起こした俺に一言どうぞ
もしかしてこれですか?ショップチャンネル、特定の一人の個人情報が特定の一人にだけ漏曳するシステム障害 [security.srad.jp]
いろんな脆弱性の話を都合良く混同してるだけ感。本人確認のための保護手順を鍵保護の為の保護手順と読み替えてるフシもある。
まぁ外務省の拒否もそういう誤認がベースになってる可能性はあるけど、何れにしても本当にそんなので突破可能な脆弱性があるならさっさと穴を塞ぐべきで、禁止してノーガード戦法やらかすのは愚かとしか言えない。
暗号強度が弱かったら出来る。パスポートのやつは、そろそろ危ないと言われてるぐらいの弱い暗号だとか。コンピュータが進歩しても追いつかれないよう、アルゴリズムなり鍵長なりを更新し続ける仕組みが必要だけど、そこを規定してないか実施できてないんだとするとどうにもならない。
いつの時代にかはあるんだろうけど、その時はもうその鍵システムを使ってること自体が間違ってる時代なんで、どうでもいいわな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
非公開は妥当である (スコア:0)
https://kirigakure.net/?p=214 [kirigakure.net]
Re:非公開は妥当である (スコア:0)
このページに書いてあるのは、公開鍵から秘密鍵を導出できるから非公開にすべきという話ですね。
そんなことあるんでしょうかね。ないと思いますけど。
Re: (スコア:0)
その人に、発覚前に「そんなことあるんでしょうか?」と聞けば「無いと思う」って言うよね。
Re:非公開は妥当である (スコア:1)
なので、PKIってのはそう言う万一の事があった時にどうするかも予め想定して運用するんだよね。
秘密鍵が公開鍵から計算されてしまう可能性は非常に低いけど、
それに比べれば、ミスやソーシャルエンジニアリングなんかで流出してしまう可能性は高い。
なので、そう言うものへの対策は当然してあるはずだよ。
Re: (スコア:0)
その対策ってのが今回の非公開理由なんですが。
対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
Re:非公開は妥当である (スコア:1)
その対策ってのが今回の非公開理由なんですが。
で、その妥当性が問題になってるわけだよね。
対策するなって言ってるのか対策しろって言ってるのかどっちなんだよ。
は? バカなの?
対策はすべきだし、当然「CA証明書を非公開にする」以外の対策をしてるだろう、って話。
「CA証明書を非公開にする」って「対策」に、どんだけ効果があると言ってるわけ?
もしその「対策」を行ったところで、秘密鍵流出のリスクはゼロにはならないよ。
流出した場合の対策が準備されてない、と言っているわけじゃないんだろ?
だったらメリット・デメリットを総合的に判断してどうか、って話になるね。
「CA証明書を非公開にする」のはほとんど意味がない。
検証用アプリケーションを民間が開発しにくい(けど、外務省ルート以外では開発できる)。
一方、公開しても、デメリットはほとんどない。
確かに、公開鍵から秘密鍵を計算できる危険性はあるが、そんなのはソーシャルエンジニアリングによるものに比べれば、限りなく低い。
当然流出時のオペレーションは決まってるはずなので、万一の場合でもなんとかなる。
なので、「まったく問題無い」とまでは言わないけど、実用上問題無いレベルとは言えるだろうね。
Re:非公開は妥当である (スコア:1)
原発は絶対安全だから発生確率はゼロ、って言って、あらゆる巨大な問題を全て問題ないと言い続けた奴いてああなったわけだよ。
それと全く同じ事を言ってるんだよな、こいつら。なんなんだろう。
せめて問題があったときに自分が責任を取るつもりならともかく、そうじゃないんだぜ?笑える。
Re: (スコア:0)
うわぁ、放射脳だったか……原発がそうだったから世の中すべてがそう見えるんだね、かわいそうに。
Re: (スコア:0)
Re: (スコア:0)
ストーリーから外れるけど・・・
東日本の原発事故の前も後も「原発は絶対安全だから発生確率はゼロ」なんて実際に聞いたことがないけど、あなたは本当に聞いたことがあるの?
そしてそれを信じてたの?
批判したいがために話を盛ってない?
Re: (スコア:0)
安倍でさえ事実上撤回してるのに原発脳はこれだから
Re:非公開は妥当である (スコア:1)
原発は絶対安全だから発生確率はゼロ、って言って、あらゆる巨大な問題を全て問題ないと言い続けた奴いてああなったわけだよ。
それと全く同じ事を言ってるんだよな、こいつら。なんなんだろう。
まるっきり的外れです。
対策があってもやはりリスクはゼロにはならないのだから、有事の場合のオペレーションを策定しておけ、と言うのが私の意見です。
アホなこと書き散らしてないで、他人の意見はちゃんと読みなさい。
そんなことじゃ、放射脳以下。
Re: (スコア:0)
不開示決定通知書のどこにそんなこと書いてあるんだよ。
ここで言う「対策」が具体的に何のことか解ってないだろ。
Re: (スコア:0)
アルゴリズムにバグはなくとも実装にはバグがあるかもしれない。
だから誰でも構わず自由に公開しちゃうってのはどうかと思うんですよ。
Re: (スコア:0)
あのさぁ…
その主張だと「わざとバグを仕込んだプログラム」を作れば公開鍵から秘密鍵が取れるってことになるんだが?
Re: (スコア:0)
Re: (スコア:0)
いやそれはもう公開鍵の公開とは関係ないだろ
そもそも公開鍵を知るだけで秘密鍵が容易に取得できるのなら世界中で大騒ぎになってるわ
理解できないなら黙ってりゃいいのに、何が気に食わないのか理解できないのに理解しているフリまでして反論するアホが多くて頭痛くなってくる
Re: (スコア:0)
それに陰謀論者が合体して酷いことに
Re: (スコア:0)
「ICカードの電力解析が出来るから公開拒否は妥当」なんてバカなことが書いてあるけど、
ICカードの電力解析による鍵割り出しに公開鍵は要らない。ICカードの実物があればいい。
公開鍵から秘密鍵を導出できるというのも、別に秘密鍵だって抽出できるんだから全く失当。
暗号の強度がカードの耐タンパ性とアルゴリズムの計算量的安全性に依存しているということが
全く理解できていない。なんでも秘密にすれば脆弱でも大丈夫という危険な思い込みを書き散らしている。
Re: (スコア:0)
ってどこかに書いてありますか?
「どうせお役人は技術の事分かってないからなww」と馬鹿にしている奴はたくさんいるように見えますが、同じような思い込みですかね?
Re: (スコア:0)
どうせお役人は「技術の事分かってないからなww」と(市民を)馬鹿にしている
Re: (スコア:0)
Re: (スコア:0)
ブログの主は「公開鍵は(秘密鍵を導出できる可能性があり)、脆弱だから非公開(秘密)にすれば大丈夫(妥当)」という主張なんだから、すでに書いてあるだろ。
元コメは「書き散らしている」と書いているからお役人を馬鹿にしているんじゃなくて、ブログの主を馬鹿にしているんだろ。
たぶん。。。
Re: (スコア:0)
GUID重複バグを引き起こした俺に一言どうぞ
Re: (スコア:0)
もしかしてこれですか?
ショップチャンネル、特定の一人の個人情報が特定の一人にだけ漏曳するシステム障害 [security.srad.jp]
Re: (スコア:0)
いろんな脆弱性の話を都合良く混同してるだけ感。
本人確認のための保護手順を鍵保護の為の保護手順と読み替えてるフシもある。
まぁ外務省の拒否もそういう誤認がベースになってる可能性はあるけど、
何れにしても本当にそんなので突破可能な脆弱性があるなら
さっさと穴を塞ぐべきで、禁止してノーガード戦法やらかすのは愚かとしか言えない。
Re: (スコア:0)
暗号強度が弱かったら出来る。パスポートのやつは、そろそろ危ないと言われてるぐらいの弱い暗号だとか。コンピュータが進歩しても追いつかれないよう、アルゴリズムなり鍵長なりを更新し続ける仕組みが必要だけど、そこを規定してないか実施できてないんだとするとどうにもならない。
Re: (スコア:0)
いつの時代にかはあるんだろうけど、その時はもうその鍵システムを使ってること自体が間違ってる時代なんで、どうでもいいわな
Re:非公開は妥当である (スコア:1)