MITMアタックを完全に防止可能な「蒸発鍵」方式を実用化? 45
ストーリー by mhatta
アメリカのほうから来ました 部門より
アメリカのほうから来ました 部門より
あるAnonymous Coward 曰く、
三重県四日市市のベンチャー企業、エヌクリプトが、OATHに準拠したワンタイムパスワード技術を応用し、 暗号通信ラインの双方向常時認証を実現する「Dynamic OATH認証システム」を開発したそうだ(日経BPnetの記事)。記事によれば、MITM(Man-In-The-Middle)アタックを完全に防止できる蒸発鍵方式を、世界で初めて実用化した認証システムとして注目を集めている、とのこと。タレコミ子は寡聞にして「蒸発鍵方式」というものを聞いたことがなかったのだが、この会社のページで説明されている瞬在鍵というのが実装のようだ。これを見ると、セッション鍵を大量に更新させ続けるだけにも見えるわけだが、これこそ 画期的な技術なのだろうか? 「超非線形アルゴリズムを用いた暗号発生メカニズム」というあたりも興味深い。
聞き飽きた (スコア:5, すばらしい洞察)
要は穴を一つ塞ぎましたってだけですよね。
実際には穴は他にもあるだろうに。
東スポじゃないんだからさ。
#完全無料の出会いサイトはこちら [spline.tv]
Re:聞き飽きた (スコア:3, すばらしい洞察)
失礼な。東スポなら「か?」をちゃんとつけます
…って昔書いた記憶があるなぁ。
fjの教祖様
Re:聞き飽きた (スコア:3, すばらしい洞察)
#元コメともどもすべったようなのでID
Re: (スコア:0)
きにすんな
Re:聞き飽きた (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re: (スコア:0)
「完全なセキュリティ」ネタはこれから盛り上がる、ってな噂を聞きました。つい最近、暗号通信の安全性を完全に証明する手法が開発されたんだとか。「適当に入れたパスワードがたまたま合っちゃった!」みたいな偶然攻撃は理論上防御不能なので諦めるとして、本質的なプロトコルの欠陥をその手の偶然攻撃ときっちり分けて、本質的な穴の有無の方は数学的に判定する手法だとかそういう。
#とか曖昧な知識で知ったかぶって書く奴が居るのがまずいんだろうなぁ・・・。
Re: (スコア:0)
ツッコミどころはここですか?
#職場からなので確認できん…
Re:聞き飽きた (スコア:1)
確かに完全無料で出会いサイトでした。
まず論文を見せろ (スコア:5, すばらしい洞察)
"Vaporization Key System"でぐぐってここの会社しか出てこない時点で論外
暗号理論の専門家のpeer reviewを受けてない暗号方式なんざクソの役にもたたん
Re:まず論文を見せろ (スコア:1)
鍵をガンガン生産するためのランダムシードを送る必要があるわけで、
そこについて何も言及されてないのがダメダメですね。
こいつのように、ハードウェアに埋め込んだりするのかなぁ。
http://japan.rsa.com/node.aspx?id=1156 [rsa.com]
Re:まず論文を見せろ (スコア:1)
要するにRSAのSecurIDのOTPを自動でやりとりする方式なのではないかと。
だとしたら偶然一致してしまう可能性もあるってことだな。
デジャブ? (スコア:2, 参考になる)
なんか約束事でもあるのかな。「ネタに困ったらベンチャー」とか...
Re: (スコア:0)
説明になってない。 (スコア:1)
「OTPの変種?」
としか読めませんでした。
「非線形アルゴリズム」といっても一方向関数だって非線形...ですよね?
#ベンチャーの意気は買いたいけど...
--- de FTNS.
鍵が蒸発するんですね? (スコア:1)
http://ja.uncyclopedia.info/wiki/%E3%82%B9%E3%83%91%E3%82%B2%E3%83%86%... [uncyclopedia.info]
# なるほど。わざと消失させるというのもアリなんですね。それは盲点でした
openDoe-Ming Ver.0.72.9beta
全然MITMの話じゃない (スコア:1, 興味深い)
Re: (スコア:0)
区別が付かないので詳しく説明していただけると助かります。
Re: (スコア:0)
(1)ユーザへのなりすまし
(2)偽サイトによるフィッシング
(3)情報の改竄
となっているけど、
まず(1)は、ただのなりすましアクセスだから、man-in-the-middleでも何でもない、全然無関係ですよね。
次に(2)は、ただの普通のフィッシング。紫色の矢印は偽サイトで止まってて、銀行につないでいるわけじゃないから、man-in-the-middle でも何でもないです。
で、(3)はというと、ただの通信経路上でのパケット改ざんを表しているようですよ。
man-in-the-middle attackというのは、その方法で初めて可能になる攻撃方法を言うのであって、ただ単に通信経路の途中に犯人がいるって意味じゃないです。
Re: (スコア:0)
(1)偽サイトによるフィッシング(して、本物サイトに転送!)
(2)情報の改竄(して、本物のデータを廃棄!)
(3)(そのまま)ユーザへのなりすまし(て、やりたい放題!)
なんとか man-in-the-middle attack の体裁を整える事ができました!
# え、通信レイヤ?書いてないよ、そんな事。
Re: (スコア:0)
MITMアタックの意味は、その画像の前に本文中に説明してありますよね。
はいはいスネークオイルスネークオイル (スコア:0)
中間者攻撃 (スコア:0)
どういった点が新しいの?
Re: (スコア:0)
man-in-the-middleって言ってみたいだけなんだと思うよ。
Re: (スコア:0)
記事をよく読んでないから、事前知識なしの独立な2者で、信頼関係の構築ができるとは思えないけど。
Re:中間者攻撃 (スコア:1)
なりすまして、通信を中継傍受する)を防ぐのは無理ですよね。「事前の情報共有なし」
=「相手が本当は誰かを確認する術がない」ですから。
ですが、狭い意味の中間者攻撃(一連のプロセスの途中で誰かが通信中の相手になりすます)
を防ぎたいだけであれば、Diffie-Hellman で最初に鍵交換をすることで防げますね。
もちろん、それは通信相手が一貫していることを保証しているだけで、「信頼関係」とは
呼べないと僕も思います。
暗号化というのは、本質的には RSA や DSA、AES で現在の民生用には十分なレベルまで
来ていると思います。それよりも今重要なのは、PKI なら誰が CA をするのかとか、鍵管理を
ちゃんとしてるのかとか、さらにそれを誰が監査するのかとか、そういう話です。
で、そういう話は、技術がどうとかよりも、もっと理屈と常識でしっかり考えればわかる
もののはずです。なんか新しいアルゴリズムを考えるのもいいですが、もっと啓蒙活動に
力をいれる企業や人が増えるといいのになあ。
Re: (スコア:0)
Re:中間者攻撃 (スコア:1)
一旦鍵交換してしまえば、その鍵を使い続けている限り途中で通信を乗っ取られる
心配は(事実上)ないですよね。
そして、最初に「本来とは異なる相手と鍵交換してしまう」というのは Diffie-Hellman
特有の脆弱性というより、「事前の情報共有なしの方式すべて」に当てはまることではないでしょうか。
だから、それを「Diffie-Hellman の脆弱性」としてしまうのは違和感があります。
Re: (スコア:0)
違和感もなにも、学術的にそういう言葉の使い方で合意されているんだから、あなたが従うしかない。
Re: (スコア:0)
完全無欠なシステムは存在しない? (スコア:0)
Re:完全無欠なシステムは存在しない? (スコア:2, おもしろおかしい)
うじゃうじゃ
Re: (スコア:0)
Re: (スコア:0)
Re:完全無欠なシステムは存在しない? (スコア:2, おもしろおかしい)
深く訂正原理 orz
うじゃうじゃ
Re: (スコア:0)
SAS-2とは違うのか? (スコア:0)
ちなみに高知工科大学、清水教授のSAS-2とは違うのだろうか。
http://www.info.kochi-tech.ac.jp/staff-shimizu.php [kochi-tech.ac.jp]
http://www.trinity-ss.com/products/products.htm [trinity-ss.com]
このへんで製品化されているようですが。
「蒸発鍵」 (スコア:0)
なんだベイパーウェアか。
areだare (スコア:2, おもしろおかしい)
Re: (スコア:0)
Re:areだare (スコア:1, おもしろおかしい)
Re: (スコア:0)
Re:areだare (スコア:1)
Re:All your base is belong to us. (スコア:1, おもしろおかしい)
# 略語とかってその時のクライアントに影響されちゃうよね。
Re: (スコア:0)
JK(女子高生)=痴漢
JK(常識的に考えて)=2ch
どんな商売だよJK