「セキュリティフォント」なる仕組みが考案される 57
ストーリー by hylom
えんがちょ 部門より
えんがちょ 部門より
90曰く、
WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。
セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。
この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。
「絶対にコピペできない文章」を思い出した (スコア:4, 参考になる)
http://tech.nitoyon.com/ja/blog/2012/04/20/uncopyable/ [nitoyon.com]
を思い出した。
Re:「絶対にコピペできない文章」を思い出した (スコア:1)
PDFでも同じことできるし、昔からある手法だよなぁ。仕組み上、既存のフォントをそのまま並べるだけもしくはそれに近いかたちでの造りになるから、容易にユニコードへの逆変換できて、面倒なだけでセキュリティはまったく高くないというオマケつき。
Re: (スコア:0)
面倒なだけで愉快犯の犯行を防ぐことになり一定のセキュリティー向上が見込めます
ノーガード戦法に比べて少し安全になります
Re:「絶対にコピペできない文章」を思い出した (スコア:1)
スマホ全盛の未だとコピペでなくスクリーンショットで情報共有される事の方が多い様な。
Re: (スコア:0)
SSで共有してるのは主に若者だし、
「うわーコピペしたら文字が変わった〜魔法だ〜」
って逆にウケそう。
Re: (スコア:0)
外部からの攻撃はともかく、コピペ程度しか出来ない輩による内部犯行の防止には十分役に立つと思う
いまどき職場のPCで私物のUSBメモリが使えたりすることはないと思うが、それでも様々なデータを扱っている役所などで中途半端なITスキル持ってる職員には有効な気がする
レベルの高い人に対しては何やっても無駄だろう
Re:「絶対にコピペできない文章」を思い出した (スコア:2, すばらしい洞察)
中途半端なITスキルでも簡単に解読できる [twitter.com]
盗む方はこのおもちゃが使われている範囲に絞ってコピペしてくれば良いし、守る方はどこが秘匿情報なのか分からないので漏洩の危険も高い
ただただ業務を滞らせて安全性を落とす迷惑なおもちゃでしかない
Re:「絶対にコピペできない文章」を思い出した (スコア:1)
スマホのカメラで画面を撮るんじゃないですかね。
Re:「絶対にコピペできない文章」を思い出した (スコア:1)
親戚のとこの高校生の子と話したけど、スマフォ使ってるとコピペなんて面倒だからしない、スクリーンショット撮って保存するだけ、って言ってたな
Twitterとか見てても(まあ文字数の制限のせいもあるんだろうが)スクリーンショットで文章流すのも一定数見かけるし、コピペすればいいやって考えるのはもしかしたら一定世代より上なのかもしれない
Re: (スコア:0)
大学生の授業風景と同じだね
Re: (スコア:0)
「セキュリティフォント 解読方法」で検索されて終了だったり。
#それすらできない人には効果あるの!
Re: (スコア:0)
フリーフォントの矢印・罫線はフォントによっては違う方を指すものが格納されていることがある
(OS同梱のフォントが上下左右としたら、あるものは上左下右で、またあるものは右左右左)
矢印を多用したコピペを別のフォントで見ると修飾関係がぐちゃぐちゃになって混乱する
難しい漢字は実装されてないし
Re: (スコア:0)
その文書固有の文字フォントにするのなら、同じ文字グリフに複数のコードポイントを割り当ててももいいかもですね。そうすれば文字列は単純に順に増えるだけのバイト列になります。
例:
CodePoint → Glyph
U+0020 → P
U+0021 → e
U+0022 → n
U+0023 → -
U+0024 → P
U+0025 → i
U+0026 → n
U+0027 → e
U+0028 → a
U+0029 → p
U+0030 → p
U+0031 → l
U+0032 → e
Re: (スコア:0)
そこまでやらなくても、出現するすべての文字の出現頻度(ヒストグラム)がほぼ均等になるように、縮退マッピングすればシーザー暗号としては解けなくなりますね。
Re: (スコア:0)
もはや暗号化ではない難読化に拘る意味がなくなってくる
Re: (スコア:0)
それでもリフローできる点で、文書全体を単なる一枚の画像したものとは違いますよっ。
Re: (スコア:0)
ワンタイムパッドみたいなものですか?
Re: (スコア:0)
換字がどうなされるか判りませんが、十分HASHされると(そのテーブルがわからない限り)ソートすらできなくなるわけで、色々と厳しいでしょう。データベースではまともに運用できません。
そもそも、文字の入力はどうするのでしょうか。各OS用にインプットメソッドを準備してくれるのでしょうか。そうなると、本当に安価な対応になるのでしょうか。
継続性が不明ですし、(取って代わる所がおそらく出ない)ベンダロックインになってしまいます(そこが樋渡某の狙いなのではないでしょうかねぇ)。
こんなバカな企画に引っかかる人はいないだろうと思いますが...さて。
Re: (スコア:0)
PDFのような読み取り専用の文書であれば問題ないのでは?
カエサルより (スコア:2)
「踊る人形」のドイルじゃないかなぁ。
Re:カエサルより (スコア:1)
剽窃ネタですよ# カエサルのものはカエサルに、神のものは神に返しなさい マタイ22:21
Re:カエサルより (スコア:2)
あの「カエサル」はローマに対する税金の話だから、シーザー暗号のガイウス・ユリウス・カエサルに対してじゃなくて、ローマ皇帝(ティベリウス位?)って意味だから、今回関係ないと思った。
Re: (スコア:0)
# カエサルに返さる
Re: (スコア:0)
ダークより生まれしものはダークに
#今リメイクするとギル教授は不幸体質の美少女になったりするかもしれない
Re: (スコア:0)
それは多分灰は灰に塵は塵にだな。
カエサルのものはカエサルには要はカエサルが法律で税金を払えって言ってるんだから払えとついでに神の名のもとに集めた寄進は神のために使えと。
Re: (スコア:0)
ネタはともかく、これはシーザー暗号ではないでしょう。
シーザー暗号は単純に文字コードをずらすもので、これはおそらくそうではない。
換字後の数字が連続しているように見えないですから。
(置き換え前と後で記号の集合が異なる『踊る人形』も少々違うと思うけど)
Re: (スコア:0)
カエサルのものを返さる・・・
うぷぷ・・・
Re: (スコア:0)
シーザー暗号よりはややこしい事も出来るし
Re: (スコア:0)
そもそもカエサル式暗号はカエサルのものではないし。
Re: (スコア:0)
かのジュリアス・シーザーも使っていた暗号方式を現代によみがえらせた!!
#キャッチコピー
これを採用している企業や組織は (スコア:2, すばらしい洞察)
怪しげで信用できないorITやセキュリティのスキルがとても低いって判別に使えますね
Re: (スコア:0)
これを採用している企業や組織からのメールは読めないんじゃね?
ショートカットでコピペできない若者には驚きました (スコア:2)
Ctrl-C Ctrl-V と言って通じなかった新人さんが多いのに驚きました。
主に,スマフォを使っているからでしょうか。
Re:ショートカットでコピペできない若者には驚きました (オフトピ) (スコア:1)
普通yy pって言わないとわからないと思うんですが
Re: (スコア:0)
カーソル位置にもよるけど、 C-a C-k C-y とかじゃね?
ちくしょうおんなじこと考えてたやつがいたか (スコア:2)
どうすればLINEで通信を暗号化できるのか考えていたんだけど、Unicodeの私的利用領域を使ってフォントを割り当ててテキストをその領域のコードに変換してフォントをインストールしたユーザーだけにメッセージが表示される、というシステムを考えた。(フォントのインストールはバックグラウンドで自動化)が、よく考えたらLINE使わなきゃ良いだけだし、他のデバイス体と見られないしでやっぱり意味ないなと思った。
HTML5 canvasの方が実用的? (スコア:1)
Webフォント方式だと複数ファイル用意しなくちゃいけないし、サポート外だと文字化けする。動的に作るのもめんどくさいし、多少負荷も大きい。文章がながければそれなりに容量も食う。
一方で、canvasだと原文のファイルとjavascriptがあるから文字書き込みの部分をちょちょいと書き換えれば文字が抜き出せるかもしれないし、法則がわかれば原文も大量に再現できる。暗号化したまま検索も基本はできない。
どちらにせよスクショ取られたり、OCRされればひとたまりもないけど、ちょっとした嫌がらせ的には使えそう。めんどくさいだけでも防御になる状況なら十二分。
PDF.jsで元PDFはダウンロードできないように書類を見せる仕組みのサイトなら見かけた事がある。
昔のCDとか漁ってると、大容量だからコピーされないはず(標準規格でノーガード)<.netみたいな最近の逆コンパイルし易いソフト+暗号化sqliteとか<独自規格と独自ソフト(ほぼノーガード。文字列はそのままで固定長データベースとかリソースに埋め込みとか)<独自ソフトで簡易暗号化(全部や一部ビット反転とか)<わけわからん独自フォーマットと独自ソフト(x86)、みたいな順番でやりづらくなる。
ファイルとソフトが手元にあるなら理論的には容易に解読できるはずなんだが、めんどくさい独自フォーマットと逆コンパイルしづらいソフトの組み合わせなんかは、多分暗号化済み圧縮ファイルとかパスワード付きPDFなんかよりよっぽどややこしいと思う。
Re: (スコア:0)
jsだと別の環境で動かすのが簡単で、思ったよりは簡単に抜かれそう。
strokeTextとかfillTextを「コピペ可能なテキストで出力」に置き換えた偽のCanvasクラスを定義した環境で実行するとか。
それを見越した、清く正しいブラウザ上でなければエラーを吐いて止まる上に、
ちょっとやそっとではその挙動を解除できない、耐ニセ環境jsブートローダ的な物もあるのかな。
それ売るために、会社作った人が… (スコア:1)
代表取締役は、TSUTAYA図書館で名を馳せた樋渡啓祐氏なんですけどね…。
うきゅ〜
WFrontierのHP (スコア:0)
WordPress 4.0.14
ってあるけど
パッチあたってんのかな…
神 → ネ申 (Base64的な) (スコア:0)
見た目に1つの文字に見える字形(グリフ)を分割して二つのコードポイントで再現するとようなフォントにすれば、素朴なシーザー暗号ではなくなりますよねっ。もちろん2グリフを3コードポイントでやってもいいし、3グリフを4コードポイントでやってもいい。Base64的なイメージですわ。一つのコードポイントが文字の一部分だけ(または、隣り合った2文字にまたがるようなフォントにするってことです)(^^)
神 → ネ申 (ギャル文字的な) (スコア:2, おもしろおかしい)
見 ナニ 目 レニ | ⊃ @ 文字 レニ 見 ぇ ゑ 字形( 勹″ └| ┐ )を分 害リ ι τ二 ⊃ @ ] ─ ├″ 朮° ィ ・/ ├ τ″再 王見 す ゑ ー⊂ ょ ぅ ナょ ┐ ォ ・/ ├ レニ すれ レよ″、素 木ト ナょ ゙/ ─ 廾″ ─ 日音 号τ″ レよ ナょ < ナょ 丶) ます ょ ねっ。もち з ω z 勹″ └| ┐ をЗ ] ─ ├″ 朮° ィ ・/ ├ τ″ ゃ っτも レヽ レヽ ι 、З 勹″ └| ┐ を4 ] ─ ├″ 朮° ィ ・/ ├ τ″ ゃ っτも レヽ レヽ 。Baseб4 白勺 ナょ ィ 乂 ─ ゙/″τ″す ゎ 。一 ⊃ @ ] ─ ├″ 朮° ィ ・/ ├ カゞ 文字 @ 一部分 ナニ″ レナ (ま ナニ レよ 、隣 丶) 合っ ナニ z文字 レニ ま ナニ カゞ ゑ ょ ぅ ナょ ┐ ォ ・/ ├ レニ す ゑ っτ ⊇ ー⊂ τ″す)(^^)
#こんな書類が飛びかう会社はイヤだ
Re: (スコア:0)
走召糸色なんちゃら
Re:神 → ネ申 (Base64的な) (スコア:2)
Unicodeには漢字構成記述文字(U+2FF0~2FFF)っていう魔窟がありましてね。
Re:神 → ネ申 (Base64的な) (スコア:1)
教育関係のシステムがまだPC98使ってた時代に、普通には出てこない人名の漢字を、
半角漢字・半角カナを組み合わせてシステムに入力してたのを思い出しました。
当時はネットも一般に普及していなかったし、学校内の施設利用状況を委員の生徒が入力していくだけだったから、
人名が文字化けしたところで大勢に影響ないだろうけど、今じゃ考えられない話だな。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:神 → ネ申 (Base64的な) (スコア:1)
「ひらがな」でもそうですか?
「カタカナ」(JIS X 0208に関連)でそうすると思っていました。
これ (スコア:0)
日本語入力システムにも介入しないといけないんじゃないの?
それは大変だから日本語入力システムはそのままに
エディタだけ特殊なものを使うの?
それならエディタだけ特殊なものを使えばいいんじゃないの?
内部コードとフォントと日本語入力システムは通常のものを使っておいて
コピペとファイル入出力の際だけ、特殊な変換するやつを
Re: (スコア:0)
入力されたコードポイントをそのシステム内部で変換するだけでいいと思います。実際、Mule やウェブブラウザーなど多くの文字コードを扱えるシステムでは問題なく処理できていますよね。
Re: (スコア:0)
いじってるんじゃなくて中国の人とかが字形からコードポイント入力して作ったとか、単純な話でしょ。
Re: (スコア:0)
マジレスするのもアレだが、
その用途だとコピペ/検索避けくらいにしかならないんだから、ただの画像にしてしまえば用が足りるじゃん。
この技術を金払ってわざわざ利用する意味はない。
これはコピペができるが文字化けするので素人には読めない、だが法則を知ってるものは復元できる(その気になれば検索もできる)、という性質をどうにかして利用できなければいけない。
……メッチャ弱い暗号化技術、でしかないんだよなぁ。