2005年07月04日(月) << 前の日記 | 次の日記 >>
これまでの07月04日 編集

■1 静脈認証も安心できない? 大根で作った偽造指で認証に成功[http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050701/163801/][生体認証]次の記事 >> このエントリーをはてなブックマークに追加

関連資料が、金融庁の 偽造キャッシュカード問題に関するスタディグループ(第9回)[http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050415-singi_fccsg.html#00]資料[http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050415-singi_fccsg/02.pdf] として公開されている。
指紋認証などと異なり、表から見える身体的特徴を使わないことから、「なりすまし」に強いと一般に思われている。だが実は、静脈認証の歴史は浅く、ぜい弱性が十分に検証されてきたとは言えない。
一方で、
静脈認証はまだ開発されて間もない技術であり、また、病気により基となる生体情報が変化する可能性が指摘される等問題点も指摘されており、評価が確立していないとも言えるのではないか。
という指摘もある。
実際に静脈パターンを再生して、他人になりすますという攻撃が成功した訳では無いが、これは製造が技術的に若干難しいというだけで、紫外線硬化樹脂等で三次元造形をしてやれば、作れないことも無さそうな気がする。
スタディグループの議論から、興味深い発言をメモ。
・生体認証では、認証に使うテンプレート(生体認証情報)の作成にあたり、基となる生体情報から特徴点を抽出し情報を圧縮する方式で行えば、テンプレートから基となる生体情報を復元することは困難となるため、情報の流出は防げると考えられるのか。
・基本的にはそのとおりであるが、 テンプレートの仕組みにもよる。テンプレート上の情報から基となる生体情報を再現することは困難であるが、テンプレート上の情報と一致しさえすればよいということであれば、生体情報の偽造が可能となることも考えられる。その場合、事実上、流出したことと同じになるのではないか。
・生体認証の問題点は、その認証精度や装置のセキュリティについて客観的に評価されていない点である。指紋や虹彩の認証はある程度歴史があり、認証精度の評価が行われているが、 新しい認証方式ほど客観的な認証精度の評価の実施は難しく、経年変化の調査等、簡単にはできない点がある。
・生体認証について否定することはないが、上手に利用する必要がある。過剰な幻想を持ったりせずに冷静に判断するべきである。まだ評価が固まっていない点もあるが、 特に金融業界のような大きな顧客が関心を持つと、製造者側は評価が甘くなることがあり得る。利用者側は、技術の評価結果の提示を製造者にきちんと求めることが重要である。

■ 関連記事

■2 Vocal Cancelがウイルスな件について。[http://www.geocities.jp/troj_hirofu/][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

実際には、ウイルスよりもある種さらに質が悪い、スパイウェアだったのだけれども、この作者が、 SoftEther[http://www.softether.com/jp/] の開発にも関わっており、しかも担当したのが、プログラムファイルのリソースデータを暗号化・復号化するプログラムであったことから、 SoftEther VPN 2.0 プログラムからの信頼できないコードの除去について[http://www.softether.com/jp/vpn2/report1.aspx] という事態に繋がった。
そもそも、VPNの様なセキュアさを要求されるソフトウェアに、中身が分からないものを使うのは心配で仕方がないのだけれども、暗号化を担う様なソフトウェアの開発者が、「隠せば安全(Security by obscurity)」な手法を採ったのが不思議だ。
当たり前の事だけれども、実行時に復号化されるということは、展開する方法も展開するための鍵も、配布されているソフトウェアの中に存在するということだ。
つまり、コードを解析するなり、実行中のメモリ内容を解析するなりの手間さえ掛ければ、それを抽出することは可能だ。これは、総当たりで暗号を解くことが時間さえ掛ければできると言っているのとは全く異なる。「やればできる」という話だ。
こういう、本当は秘密でない「秘密」に頼った暗号化は危険だというのが、「Security by obscurity」はいけないという話。秘密の暗号化手法だから安心というのはとんでもない話なのだ。
プログラムの作者が何かを隠して自分の権利を守りたいというのは、まっとうな動機なのだけれども、特にセキュリティに関するプログラムに関しては、そのバランスが非常に難しくなってくる。
この日記では何度も繰り返している気がするけれども、 実行ファイルを実行することはパソコンを自由にさせること[http://www.nantoka.com/~kei/diary/?200506a&to=200506081S2#T200506081S2] なのだ。高度なセキュリティが要求される環境で、安全を確保するためには、実行するファイルは全て信用できるものである必要があるのだけれども、隠されていればその分だけ、信用できるかどうかを判断するのが難しくなっていく。

TROJ_HIROFU.A[http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_HIROFU.A]:

日本人の作者の名前が付いたのは初めてじゃないかなぁ。
シマンテックは、 Trojan.Hirofu[http://securityresponse.symantec.com/avcenter/venc/data/trojan.hirofu.html] の様だ。

ソフトウェア制作者が信頼を得ること:

が、「ソースは秘密だけど、信用して使うことができる」ためには必要な様だ。
パッケージソフトウェアでも信用できない会社のものは心配だし、シェアウェアでも広く信頼されて使われているものは多い。
特にセキュアな情報や、センシティブ情報を扱うソフトウェアを作る人や会社は、自分を厳しく律していないと黒く見られただけで不利になる。
スパイウェアを配布したことのある会社が作った製品に、自分の重大なプライバシーを委ねることができるだろうか。失った信頼を回復するのは難しい。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年07月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project