アカウント名:
パスワード:
IDって識別のために表に出して使うものだし、ユニークでありさえすればいいんだから、シリアルナンバーでもなんでもいいんじゃないの?
むしろ今回の方法は、実験でまずかち合わないという結果は得られたが、理論的にはユニーク性が保証されてないので、実用にはならんのでは?
加速度センサーの面白い特徴を見つけたけど、いまいち使い道が思いつきませんでした、という発表に見えるなぁ。
例えば、ジェスチャー認証と組み合わせて「画面に表示されている通りに端末を振れ」で、出来る加速度変化の系列に確実に端末毎に異なる固有の特徴が含まれるから、本物の端末を振ったかどうかを識別可能、とかなら分かるんだけど、毎回同じIDになっちゃうというからには、そういうことが出来そうには見えないし。
?どう考えてもそれができるって書いてあるんだが「本物」と言うのが何か俺の考えているのとは違う意味なのか
いや、問題にしたかったのはそこじゃない。
理想→指定した振り方毎に異なるデータになるけど、ある特徴だけは常に端末固有この発明→どんな振り方を指定しても同じIDになる
ではないのか? と。前者なら、認証をする毎に異なる振り方を指定して、「本物の端末で取ったデータに固有の特徴」と「指示したとおりの振り方になっているかどうか」の2点を検査すれば、本物の端末を振って得たデータかどうかが分かる。こっちなら、本物の加速度計測チップを盗む意外になりすましが難しい。
が、どんな振り方でも固有のIDが生成できるように書いてあるから、後者としか思えない。そうだとすると、どうにかしてそのIDを1回盗み取れば、何度でも本物になりすませる。それだと、普通によくある、固定のIDが書き込まれているセキュリティチップと大差が無い。
あるいは前者かも知れないとは考えたけど、特徴量が最大値最小値だというし、それなら、「偽の端末を指示に従って振ってそれらしい加速度データを作る」→「それを加工して、最大値最小値が本物で取ったデータに見えるように丸め込む」というやり方で簡単に認証を突破できそう。そういう加工が不可能な特徴だというなら、そこを強調してプレスリリースを出さないと意味がない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
秘密鍵や乱数生成の種に使うとか言うならわかるが (スコア:0)
IDって識別のために表に出して使うものだし、ユニークでありさえすればいいんだから、
シリアルナンバーでもなんでもいいんじゃないの?
むしろ今回の方法は、実験でまずかち合わないという結果は得られたが、理論的にはユニーク性が
保証されてないので、実用にはならんのでは?
Re: (スコア:0)
加速度センサーの面白い特徴を見つけたけど、いまいち使い道が思いつきませんでした、という発表に見えるなぁ。
例えば、ジェスチャー認証と組み合わせて「画面に表示されている通りに端末を振れ」で、
出来る加速度変化の系列に確実に端末毎に異なる固有の特徴が含まれるから、本物の端末を振ったかどうかを識別可能、
とかなら分かるんだけど、毎回同じIDになっちゃうというからには、そういうことが出来そうには見えないし。
Re: (スコア:0)
?どう考えてもそれができるって書いてあるんだが
「本物」と言うのが何か俺の考えているのとは違う意味なのか
Re:秘密鍵や乱数生成の種に使うとか言うならわかるが (スコア:0)
いや、問題にしたかったのはそこじゃない。
理想→指定した振り方毎に異なるデータになるけど、ある特徴だけは常に端末固有
この発明→どんな振り方を指定しても同じIDになる
ではないのか? と。
前者なら、認証をする毎に異なる振り方を指定して、「本物の端末で取ったデータに固有の特徴」と
「指示したとおりの振り方になっているかどうか」の2点を検査すれば、本物の端末を振って得たデータかどうかが分かる。
こっちなら、本物の加速度計測チップを盗む意外になりすましが難しい。
が、どんな振り方でも固有のIDが生成できるように書いてあるから、後者としか思えない。
そうだとすると、どうにかしてそのIDを1回盗み取れば、何度でも本物になりすませる。
それだと、普通によくある、固定のIDが書き込まれているセキュリティチップと大差が無い。
あるいは前者かも知れないとは考えたけど、特徴量が最大値最小値だというし、
それなら、「偽の端末を指示に従って振ってそれらしい加速度データを作る」
→「それを加工して、最大値最小値が本物で取ったデータに見えるように丸め込む」というやり方で簡単に認証を突破できそう。
そういう加工が不可能な特徴だというなら、そこを強調してプレスリリースを出さないと意味がない。