パスワードを忘れた? アカウント作成
13124560 story
変なモノ

「セキュリティフォント」なる仕組みが考案される 57

ストーリー by hylom
えんがちょ 部門より
90曰く、

WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
    • by Anonymous Coward on 2017年01月16日 17時16分 (#3145117)

      PDFでも同じことできるし、昔からある手法だよなぁ。仕組み上、既存のフォントをそのまま並べるだけもしくはそれに近いかたちでの造りになるから、容易にユニコードへの逆変換できて、面倒なだけでセキュリティはまったく高くないというオマケつき。

      親コメント
      • by Anonymous Coward

        面倒なだけで愉快犯の犯行を防ぐことになり一定のセキュリティー向上が見込めます
        ノーガード戦法に比べて少し安全になります

        • by Anonymous Coward on 2017年01月16日 18時10分 (#3145136)

          スマホ全盛の未だとコピペでなくスクリーンショットで情報共有される事の方が多い様な。

          親コメント
          • by Anonymous Coward

            SSで共有してるのは主に若者だし、
            「うわーコピペしたら文字が変わった〜魔法だ〜」
            って逆にウケそう。

        • by Anonymous Coward

          外部からの攻撃はともかく、コピペ程度しか出来ない輩による内部犯行の防止には十分役に立つと思う
          いまどき職場のPCで私物のUSBメモリが使えたりすることはないと思うが、それでも様々なデータを扱っている役所などで中途半端なITスキル持ってる職員には有効な気がする
          レベルの高い人に対しては何やっても無駄だろう

    • by Anonymous Coward

      フリーフォントの矢印・罫線はフォントによっては違う方を指すものが格納されていることがある
      (OS同梱のフォントが上下左右としたら、あるものは上左下右で、またあるものは右左右左)
      矢印を多用したコピペを別のフォントで見ると修飾関係がぐちゃぐちゃになって混乱する
      難しい漢字は実装されてないし

    • by Anonymous Coward

      その文書固有の文字フォントにするのなら、同じ文字グリフに複数のコードポイントを割り当ててももいいかもですね。そうすれば文字列は単純に順に増えるだけのバイト列になります。

      例:
      CodePoint → Glyph
      U+0020 → P
      U+0021 → e
      U+0022 → n
      U+0023 → -
      U+0024 → P
      U+0025 → i
      U+0026 → n
      U+0027 → e
      U+0028 → a
      U+0029 → p
      U+0030 → p
      U+0031 → l
      U+0032 → e

      • by Anonymous Coward

        そこまでやらなくても、出現するすべての文字の出現頻度(ヒストグラム)がほぼ均等になるように、縮退マッピングすればシーザー暗号としては解けなくなりますね。

        • by Anonymous Coward

          もはや暗号化ではない難読化に拘る意味がなくなってくる

          • by Anonymous Coward

            それでもリフローできる点で、文書全体を単なる一枚の画像したものとは違いますよっ。

      • by Anonymous Coward

        ワンタイムパッドみたいなものですか?

      • by Anonymous Coward

        換字がどうなされるか判りませんが、十分HASHされると(そのテーブルがわからない限り)ソートすらできなくなるわけで、色々と厳しいでしょう。データベースではまともに運用できません。
        そもそも、文字の入力はどうするのでしょうか。各OS用にインプットメソッドを準備してくれるのでしょうか。そうなると、本当に安価な対応になるのでしょうか。
        継続性が不明ですし、(取って代わる所がおそらく出ない)ベンダロックインになってしまいます(そこが樋渡某の狙いなのではないでしょうかねぇ)。
        こんなバカな企画に引っかかる人はいないだろうと思いますが...さて。

        • by Anonymous Coward

          PDFのような読み取り専用の文書であれば問題ないのでは?

  • by manmos (29892) on 2017年01月16日 17時03分 (#3145108) 日記

    「踊る人形」のドイルじゃないかなぁ。

    • by nekopon (1483) on 2017年01月16日 17時11分 (#3145114) 日記
      これ聖書からの剽窃ネタですよ
      # カエサルのものはカエサルに、神のものは神に返しなさい マタイ22:21
      親コメント
      • by manmos (29892) on 2017年01月16日 19時06分 (#3145164) 日記

        あの「カエサル」はローマに対する税金の話だから、シーザー暗号のガイウス・ユリウス・カエサルに対してじゃなくて、ローマ皇帝(ティベリウス位?)って意味だから、今回関係ないと思った。

        親コメント
      • by Anonymous Coward

        # カエサルに返さる

      • by Anonymous Coward

        ダークより生まれしものはダークに

        #今リメイクするとギル教授は不幸体質の美少女になったりするかもしれない

        • by Anonymous Coward

          それは多分灰は灰に塵は塵にだな。
          カエサルのものはカエサルには要はカエサルが法律で税金を払えって言ってるんだから払えとついでに神の名のもとに集めた寄進は神のために使えと。

      • by Anonymous Coward

        ネタはともかく、これはシーザー暗号ではないでしょう。
        シーザー暗号は単純に文字コードをずらすもので、これはおそらくそうではない。
        換字後の数字が連続しているように見えないですから。
        (置き換え前と後で記号の集合が異なる『踊る人形』も少々違うと思うけど)

      • by Anonymous Coward

        カエサルのものを返さる・・・

        うぷぷ・・・

    • by Anonymous Coward

      シーザー暗号よりはややこしい事も出来るし

    • by Anonymous Coward

      そもそもカエサル式暗号はカエサルのものではないし。

    • by Anonymous Coward

      かのジュリアス・シーザーも使っていた暗号方式を現代によみがえらせた!!
      #キャッチコピー

  • by Anonymous Coward on 2017年01月16日 19時03分 (#3145159)

    怪しげで信用できないorITやセキュリティのスキルがとても低いって判別に使えますね

    • by Anonymous Coward

      これを採用している企業や組織からのメールは読めないんじゃね?

  • Ctrl-C Ctrl-V と言って通じなかった新人さんが多いのに驚きました。
    主に,スマフォを使っているからでしょうか。

  • どうすればLINEで通信を暗号化できるのか考えていたんだけど、Unicodeの私的利用領域を使ってフォントを割り当ててテキストをその領域のコードに変換してフォントをインストールしたユーザーだけにメッセージが表示される、というシステムを考えた。(フォントのインストールはバックグラウンドで自動化)が、よく考えたらLINE使わなきゃ良いだけだし、他のデバイス体と見られないしでやっぱり意味ないなと思った。

  • by Anonymous Coward on 2017年01月16日 18時47分 (#3145150)

    Webフォント方式だと複数ファイル用意しなくちゃいけないし、サポート外だと文字化けする。動的に作るのもめんどくさいし、多少負荷も大きい。文章がながければそれなりに容量も食う。
    一方で、canvasだと原文のファイルとjavascriptがあるから文字書き込みの部分をちょちょいと書き換えれば文字が抜き出せるかもしれないし、法則がわかれば原文も大量に再現できる。暗号化したまま検索も基本はできない。
    どちらにせよスクショ取られたり、OCRされればひとたまりもないけど、ちょっとした嫌がらせ的には使えそう。めんどくさいだけでも防御になる状況なら十二分。
    PDF.jsで元PDFはダウンロードできないように書類を見せる仕組みのサイトなら見かけた事がある。

    昔のCDとか漁ってると、大容量だからコピーされないはず(標準規格でノーガード)<.netみたいな最近の逆コンパイルし易いソフト+暗号化sqliteとか<独自規格と独自ソフト(ほぼノーガード。文字列はそのままで固定長データベースとかリソースに埋め込みとか)<独自ソフトで簡易暗号化(全部や一部ビット反転とか)<わけわからん独自フォーマットと独自ソフト(x86)、みたいな順番でやりづらくなる。
    ファイルとソフトが手元にあるなら理論的には容易に解読できるはずなんだが、めんどくさい独自フォーマットと逆コンパイルしづらいソフトの組み合わせなんかは、多分暗号化済み圧縮ファイルとかパスワード付きPDFなんかよりよっぽどややこしいと思う。

    • by Anonymous Coward

      jsだと別の環境で動かすのが簡単で、思ったよりは簡単に抜かれそう。
      strokeTextとかfillTextを「コピペ可能なテキストで出力」に置き換えた偽のCanvasクラスを定義した環境で実行するとか。

      それを見越した、清く正しいブラウザ上でなければエラーを吐いて止まる上に、
      ちょっとやそっとではその挙動を解除できない、耐ニセ環境jsブートローダ的な物もあるのかな。

  • 困ったことに、その「セキュリティフォント」を自治体に向けて売りこもうと、ホワイトテクノロジーって会社立ち上げたひとがいるんですよ。
    代表取締役は、TSUTAYA図書館で名を馳せた樋渡啓祐氏なんですけどね…。
    --
    うきゅ〜
  • by Anonymous Coward on 2017年01月16日 18時35分 (#3145144)

    WordPress 4.0.14
    ってあるけど
    パッチあたってんのかな…

  • by Anonymous Coward on 2017年01月16日 20時59分 (#3145230)

    見た目に1つの文字に見える字形(グリフ)を分割して二つのコードポイントで再現するとようなフォントにすれば、素朴なシーザー暗号ではなくなりますよねっ。もちろん2グリフを3コードポイントでやってもいいし、3グリフを4コードポイントでやってもいい。Base64的なイメージですわ。一つのコードポイントが文字の一部分だけ(または、隣り合った2文字にまたがるようなフォントにするってことです)(^^)

    • by Anonymous Coward on 2017年01月17日 1時05分 (#3145325)

      見 ナニ 目 レニ | ⊃ @ 文字 レニ 見 ぇ ゑ 字形( 勹″ └| ┐ )を分 害リ ι τ二 ⊃ @ ] ─ ├″ 朮° ィ ・/ ├ τ″再 王見 す ゑ ー⊂ ょ ぅ ナょ ┐ ォ ・/ ├ レニ すれ レよ″、素 木ト ナょ ゙/ ─ 廾″ ─ 日音 号τ″ レよ ナょ < ナょ 丶) ます ょ ねっ。もち з ω z 勹″ └| ┐ をЗ ] ─ ├″ 朮° ィ ・/ ├ τ″ ゃ っτも レヽ レヽ ι 、З 勹″ └| ┐ を4 ] ─ ├″ 朮° ィ ・/ ├ τ″ ゃ っτも レヽ レヽ 。Baseб4 白勺 ナょ ィ 乂 ─ ゙/″τ″す ゎ 。一 ⊃ @ ] ─ ├″ 朮° ィ ・/ ├ カゞ 文字 @ 一部分 ナニ″ レナ (ま ナニ レよ 、隣 丶) 合っ ナニ z文字 レニ ま ナニ カゞ ゑ ょ ぅ ナょ ┐ ォ ・/ ├ レニ す ゑ っτ ⊇ ー⊂ τ″す)(^^)

      #こんな書類が飛びかう会社はイヤだ

      親コメント
    • Unicodeには漢字構成記述文字(U+2FF0~2FFF)っていう魔窟がありましてね。

      親コメント
    • 教育関係のシステムがまだPC98使ってた時代に、普通には出てこない人名の漢字を、
      半角漢字・半角カナを組み合わせてシステムに入力してたのを思い出しました。

      当時はネットも一般に普及していなかったし、学校内の施設利用状況を委員の生徒が入力していくだけだったから、
      人名が文字化けしたところで大勢に影響ないだろうけど、今じゃ考えられない話だな。

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
      親コメント
  • by Anonymous Coward on 2017年01月16日 23時34分 (#3145291)

    日本語入力システムにも介入しないといけないんじゃないの?
    それは大変だから日本語入力システムはそのままに
    エディタだけ特殊なものを使うの?
    それならエディタだけ特殊なものを使えばいいんじゃないの?
    内部コードとフォントと日本語入力システムは通常のものを使っておいて
    コピペとファイル入出力の際だけ、特殊な変換するやつを

    • by Anonymous Coward

      入力されたコードポイントをそのシステム内部で変換するだけでいいと思います。実際、Mule やウェブブラウザーなど多くの文字コードを扱えるシステムでは問題なく処理できていますよね。

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...