2005年01月27日(木) << 前の日記 | 次の日記 >>
これまでの01月27日 編集

■1 続・バイオメトリクス認証機器は、バイオメトリクス情報そのものを保存してはいけない[http://www.nantoka.com/~kei/diary/?200501c&to=200501262#T200501262][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

昨日の続き。書き終えてから、読み返してみると説明不足な感があって、ツッコミがあるだろうなと思っていたところに、まさに鋭い コメント[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=152] を頂いた。

バイオメトリクス認証機器が保持する「バイオメトリクス情報そのもの」というのは、そこからすぐに“偽造指”が作れるものなのでしょうか? よくわからないのでその辺りの情報のポインタがあれば、教えていただけないでしょうか。

指紋認証に関して言えば、偽造指が作れるだけの情報を保持する機器と、そうでない機器がある様だ。
「すぐに」というのは難易度の問題で、当然機器内部のデータフォーマットを解析する必要は出てくる。フォーマットが秘密だったら大丈夫かというと、それは暗号で言うと「独自秘密な方式の暗号化を施しているから安全」という主張だから、当然大丈夫ではない。しかも、鍵はその機器の中にある。

指紋認証に使われる代表的なアルゴリズムとして、パターンマッチング、マニューシャ(リレーション)、周波数解析がある。
(指紋全領域の)パターンマッチングの場合、まさに指紋データそのものを照合に用いるので、偽造指が作れるだけの情報を保持していることになる。
マニューシャ方式の場合は事情が複雑で、照合に用いる特徴として何を用いているかによって、状況が変わってくる。特徴点周辺の画像を保持しているチップ・マッチングの場合は、特徴点画像をつなぎ合わせて、周辺を特徴として抽出されない様な画像で補間すれば、その画像を同様にスキャンした場合に、狙った特徴点をマッチングに用いさせることが可能だから、偽造指が作れる可能性は高いと思われる。
周波数解析の場合、アルゴリズム的に指紋画像全体のイメージを持たないで照合をするので、バイオメトリクス情報の漏洩という問題に対しては最も安全という印象を持っている。

残念ながら、「セキュリティに関わるから秘密」という意識が高いのか、実際に使われている機器がどの様な処理をしているのかについては、まとまった資料が非常に少ない。
「Security by Obscurityは間違っている」という立場からすると、安心して利用できるだけの情報が出ていない様な気がする。秘密だから安心ではないのだ。

ところが、タイムリーなことに、現在発売中の インターフェイス誌2005年3月号[http://www.cqpub.co.jp/interface/contents/2005/200503.htm] が、バイオメトリクス認証の特集を組んでおり、かなり突っ込んだ解説をしている。
先に述べた、周波数解析法の製品を開発した会社の技術者も記事を寄稿しており、そのアルゴリズムが指紋の全体像を用いていないということも確認できた。

特集全体を読んだが、 「生体認証への根本的な疑問」[http://hski.air-nifty.com/weblog/2004/03/post_8.html] への答えは無かった様だ。
バイオメトリクス情報そのものを保存しないアルゴリズムもあるのだから、こういった方向でのアプローチはもっと評価されて良いと思う。

■ 関連記事

■2読んだ本[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

読み終わったのでメモ。図書館で借りたもの。

[和書]奇術探偵曽我佳城全集 秘の巻[http://www.amazon.co.jp/exec/obidos/ASIN/4062737604/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]奇術探偵曾我佳城全集 戯の巻[http://www.amazon.co.jp/exec/obidos/ASIN/4062737612/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

■ 関連記事

■3ぐる[ぐる]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

見つけたページのURLをメモ。

リスク管理はしっかりと[http://www.geocities.jp/navyfrog993/HibiZakkan/05/Jan05/Jan05.htm]:

愚者は経験に学び、賢者は歴史に学ぶって言うんですが、ちょっと前の経験に学んでないじゃん。

「セキュリティ、どこまでやれば大丈夫?」――経産省、不安をなくす指標作りへ[http://www.itmedia.co.jp/enterprise/articles/0501/26/news098.html]:

Stressful Angelさんとこ[http://stressfulangel.cocolog-nifty.com/stressful_angel/2005/01/_127.html] から。
微妙に嫌な予感がする。こういうガイドラインは注意しないと免罪符になってしまうことがある。
「経産省のガイドラインに従って対策してある。今回の個人情報の盗難は魔法の様な技術を持ったハッカーによって行われた。魔法に有効な対策はない。従って当社には責任はない。」
とか言い出す会社がいない様な指標になることに期待する。

魔法に有効な対策はない:

有効な対策は無いわけではなくて、魔法使いの様なセキュリティ専門家を雇えば良いらしい。そういう人は ウィザード[http://ja.wikipedia.org/wiki/%E3%82%A6%E3%82%A3%E3%82%B6%E3%83%BC%E3%83%89] と呼ばれる。
某チャネルでの会話より。

ハッカーとクラッカーはWebの世界に住んでいる魔法使い[http://www.nhk.or.jp/netabra/lesson/net26/0212_1.html]:

メモリンク

■ 関連記事

■4 HDD パスワードクラッカーポッド[http://www.ubic.co.jp/VOGON-Pod.html][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

セキュリティホール memo ML[http://memo.st.ryukoku.ac.jp/archive/200501.month/8082.html] より。
こういうものがあるからには、ハードディスクパスワードで安心してはいけない。
顧客情報が入ったノートパソコンが盗まれたけれども、暗号化してあるので大丈夫という発表は信用できないということだ。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年01月 翌月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project