アカウント名:
パスワード:
公開鍵暗号方式ってのはその技術の名前であって、公開しなきゃならないって意味じゃないよね。技術者のくせに、技術の方式と制度を混同しているイタい人がいるってだけじゃ無い?
例えば、どこかの会社が、自社の装置に公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵は公開される必要はないよね。機能的にその必要は無い。そして、その鍵を公開するかどうかはその会社の専権事項だし、決める権利もある。もちろんそれは公開した事による問題が発生したら責任をとると言うことと表裏一体なわけだけども。だから「公開したからにはサポートをしろ」という
自分で勝手に開発する分にはいいけど、どこの馬の骨ともわからぬ奴がパスポートの情報表示アプリと称して氏名や写真情報を盗み取る可能性はあるから怖い
スキミング対策については、元のブログ [osstech.co.jp]に記載があるね。
Basic Access Controlの目的はスキミング対策です。 券面の記載情報を知っている人にだけICチップにアクセスできるよう、アクセスコントロールを行います。具体的には、パスポート番号 + 生年月日 + パスポートの有効期限を共通鍵として通信データを暗号化します。 これによってパスポートを実際に手にしている人やOCR読み取りを行う空港の機械だけがICチップにアクセスでき、 満員電車でギュウギュウ詰めになったときに知らない人にICチップを読み取られるという危険を防いでいます。暗証番号でアクセスコントロールを行う運転免許証と比べて使いやすい反面、間違えてもロックされないので総当り攻撃の心配はあります。
Basic Access Controlの目的はスキミング対策です。 券面の記載情報を知っている人にだけICチップにアクセスできるよう、アクセスコントロールを行います。
具体的には、パスポート番号 + 生年月日 + パスポートの有効期限を共通鍵として通信データを暗号化します。 これによってパスポートを実際に手にしている人やOCR読み取りを行う空港の機械だけがICチップにアクセスでき、 満員電車でギュウギュウ詰めになったときに知らない人にICチップを読み取られるという危険を防いでいます。
暗証番号でアクセスコントロールを行う運転免許証と比べて使いやすい反面、間違えてもロックされないので総当り攻撃の心配はあります。
それは知らぬ間にやられる場合であって、例えば元ブログのアプリに悪意があった場合は対抗できないかと。パスワードをユーザー自らで入れちゃうから
あと仕様書 [ipa.go.jp]見ると一定回数(1~15回、設定者による)認証に失敗すると恒久的に認証できなくなるような記述があるけど、ホントに連続アタックして大丈夫か?
例えば元ブログのアプリに悪意があった場合は対抗できないかと。
その通り。それは、CSCA証明書が公開されていようと、されていまいと関係ない。
悪意のあるアプリが蔓延するリスクには関係すると思う
関係しない。思うだけじゃダメだ。きちんと考えろ。なぜ関係すると考えた?
いや、それ、日本の真正の公開鍵がなくても可能なんで。その馬の骨が盗み取った情報の真贋を判別できないだけ。
マイナンバーの方では法律でそういうのを規制しているはずだけど、パスポートには規制ないんじゃないか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
公開鍵とは仕組みの名前でしかない (スコア:2, 興味深い)
公開鍵暗号方式ってのはその技術の名前であって、公開しなきゃならないって意味じゃないよね。
技術者のくせに、技術の方式と制度を混同しているイタい人がいるってだけじゃ無い?
例えば、どこかの会社が、自社の装置に公開鍵暗号方式でオレオレ証明書を組み込んでいるからと言って、鍵は公開される必要はないよね。機能的にその必要は無い。
そして、その鍵を公開するかどうかはその会社の専権事項だし、決める権利もある。
もちろんそれは公開した事による問題が発生したら責任をとると言うことと表裏一体なわけだけども。だから「公開したからにはサポートをしろ」という
Re:公開鍵とは仕組みの名前でしかない (スコア:0)
自分で勝手に開発する分にはいいけど、どこの馬の骨ともわからぬ奴がパスポートの情報表示アプリと称して
氏名や写真情報を盗み取る可能性はあるから怖い
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
スキミング対策については、元のブログ [osstech.co.jp]に記載があるね。
Re: (スコア:0)
それは知らぬ間にやられる場合であって、例えば元ブログのアプリに悪意があった場合は対抗できないかと。
パスワードをユーザー自らで入れちゃうから
あと仕様書 [ipa.go.jp]見ると一定回数(1~15回、設定者による)認証に失敗すると恒久的に認証できなくなるような記述があるけど、ホントに連続アタックして大丈夫か?
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
例えば元ブログのアプリに悪意があった場合は対抗できないかと。
その通り。
それは、CSCA証明書が公開されていようと、されていまいと関係ない。
Re: (スコア:0)
悪意のあるアプリが蔓延するリスクには関係すると思う
Re:公開鍵とは仕組みの名前でしかない (スコア:1)
関係しない。
思うだけじゃダメだ。きちんと考えろ。
なぜ関係すると考えた?
オフトピ (スコア:0)
いや、それ、日本の真正の公開鍵がなくても可能なんで。
その馬の骨が盗み取った情報の真贋を判別できないだけ。
マイナンバーの方では法律でそういうのを規制しているはずだけど、パスポートには規制ないんじゃないか。