ジャーナリスト病2006年12月22日 10時24分10秒

FACTA(笑)

  • FeliCaの暗号が破られたとする件について、ソニーが完全否定 (スラッシュドット ジャパン)
    • 1げとー (AC さんコメント)
      記事は間違いだらけ。
      1.FeliCaはタイプC(タイプCじゃないんだが)
      2.ソニーはフィリップスの軍門に・・・(ISO 18092で協力してますが?)
      3.ICチップの中身が見えた(はぁ。デタラメもほどほどに)

      その他色々と。
      サーバで課金情報管理していることを分かってなかったり(カードに価値があると思ってるw)、そもそも使用しているメモリーで安全性が左右されるとか言ったり、毎回同じ鍵で通信しているような書き方したり(毎回異なる鍵でできない、という記述)ともう無茶苦茶。
      ああ、なによりソースが明示されていない、該当する研究者の名前が出ていない、しかもその解析したという話は伝聞の伝聞だという。
      (暗号関連の学会で・・・というところで思わせぶりに書いてるが、それもあやしい)
      だいたい、記事を書いた奴の署名もない。
    • Re:IPAのコメント (AC さんコメント)
      つまり、カードの表面をぺりぺりと剥がしたら(モールドされた)ICチップが露出したので耐タンパ性が弱いという主張のようです。
      記事に書かれている具体的な手法(に相当する記述)はこれだけです。モールドされたチップをさらに削って回路の判読ができたかどうかすら明らかにされていません。
  • FeliCaの暗号が破られた?――ソニーは完全否定 (ITmedia)

    実際、記事中ではどの暗号の鍵が破られ、それが何ビットだったのかなど、具体的な内容は語られていない。また暗号が解かれたのはEdyのように書かれているが、それも明らかにはしておらず、客観的に見て、説得力に欠ける内容になっていることは否めない。

    月刊FACTA編集部ではITmediaの取材に対し「電話で答えられるような内容ではない。(暗号という)微妙な話題であり、情報源の秘匿などの観点から(も話せない)。暗号解析を見たという証言は複数あった。記事の内容には自信を持っている」とコメントしている。

  • もういちど「ソニー病」3――太鼓もちメディア (FACTA 阿部重夫編集長ブログ「最後から2番目の真実」 さま)

    追っかけ取材の礼儀を教えてあげましょう。まず、自分独自のソースを持ちなさい。電話取材ですまそうなんて甘い。誰もほんとのことなんか言いやしない。この記事はソニーの広報とFACTAに電話をかけただけで、ベンダーや暗号の専門家、felicaのユーザーに取材した形跡がない。

    かわいそうなものだ。3分の1はFACTAの記事の引用、3分の1はソニー広報の言い分の引用、最後はご自分の判断とFACTAのコメントである。かろうじて体裁を整えているだけで、足弱記者の典型と言っていい。引用とまた聞きだけで一丁あがりなのだ。

    ひとつだけ、お尋ねする。共通カギと公開カギって分かってますか。暗号のイロハですよ。

まぁ、ITmedia の FACTA に対する取材が弱かったのは確かだろうね。そこまで大きく取り上げる予定もないんだろうけど。そもそもこんな信憑性のなさそうなニュースじゃ ITmedia もそこまでリソースは割けんだろう。

真実を追究しようという、ジャーナリストが本来持つべき姿勢を持っていれば、他メディアを巻き込もうと考えるのが普通であり、そのために重要になるのが最初に発信する情報内容の信憑性だ。こいつの説得力が高ければ高いほど、他メディアを話題に引き込むことができるようになり、それが結果として、その話題に関するイニシアチブを獲得することにもなる。そういう意味で、FACTA は既にメディア戦略上失敗している。

まぁ、ここで FACTA の取材力と技術方面に対する関心および理解力を信じるならば、コメントすべき言葉は「せこい出し渋りなんかしないでさっさと核心突いちゃえばいいのに」になるわけだが、今回の場合だとなんとなーく、「まぁ、そもそもその程度の情報と理解力しかないからこういうことになっちゃうんだろうな」であるような予感がギュンギュン。。。

ちなみに。

簡単に説明すると、こういうことです。

  • 共通鍵の場合。
    1. A さんが、B さんに情報を送りたい。けど、通信経路の C さんに情報を見られたくない。
    2. そこで、B さんは暗号鍵を作り、その暗号鍵そのものを、「この鍵を使って暗号化してから送ってね」と言って、通信経路の C さんに見られないようこっそりと A さんに渡す。
    3. A さんは暗号鍵を用いて暗号化したデータを送り、B さんはそれを複合して読むことができる。C さんは、暗号鍵をもらっていないので、経路に流れてきた情報を読むことはできない。
  • 公開鍵暗号方式の場合。
    1. A さんが、B さんに情報を送りたい。けど、通信経路の C さんに情報を見られたくない。
    2. そこで、B さんは、復号用の鍵と、暗号化用の鍵を作り、暗号化用の鍵だけを、「この鍵を使って暗号化してから送ってね」と言って、通信経路の C さんを経由して A さんに渡す。 (Sun Dec 24 14:14:46 JST 2006 訂正: A さんにも C さんにも見える場所に、暗号化用の鍵だけを公開する。)
    3. A さんは暗号化用の鍵を用いて暗号化したデータを送り、B さんは、復号用の鍵を用いて読むことができる。C さんは、暗号化用の鍵の内容は知っているけど、復号用の鍵を持っていないので、経路に流れてきた情報を読むことはできない。

Felica の仕組みはおいらもあんまりよく知らんのですが、通信経路はおそらく Felica カードと読み取り端末か、もしくは Felica カードとサーバー、ということになるのでしょう。これらの構成されるネットワークが、インターネットを差し挟むということは考えにくいので、そもそも通信経路で情報を盗み取ろうとするかもしれない存在 (すなわち、上記の説明でいうところの C さん) はないはずです (ん? 無線通信を盗み取ろうとする奴がいる? そんな怪しい行為はよっぽどカードと読み取り機の近くまで近寄らなければ実現できないし、その想定はいくらなんでも非現実的だぞ)。そういう情況では、公開鍵暗号が共有鍵よりも強度が高くなるということはありません。

が、おいらはそもそも Felica の現在の利用状況を把握しきれているわけではないので、「通信経路で情報を盗み取ろうとするかもしれない存在はないはず」という認識は、間違ってるかもしれません (おさいふケータイとかって、いんたね通販とかでも使える予定ってあるんだっけ?)。が、少なくとも Suica の決済に共通鍵では弱いなんてのは間違いなくデタラメです。

Sat Dec 23 20:35:25 JST 2006 - 追記

ちょwwwwwwwwwwwwwwwwwwwwwwwvvwww

Sun Dec 24 14:14:46 JST 2006 - 追記

高木センセーから指摘があったのでとりあえず訂正してみますた。一応、公開鍵と共通鍵のどっちが危ないって、そんなの運用次第じゃね? ということを書いたつもりだったのですが。。。やっぱり知識があやふやな部分についてはよく調べてから書かないとあかんなぁ。反省。

あーそうだ。公開鍵は通信時に鍵自体をやり取りしなきゃいけないような場合には有効だけど、そもそも鍵自体をやり取りする必要がなければ共通鍵で十分だったり。。。ってもうあんまりいろいろ書かないほうがいいかな。(←弱っ)

by T.MURACHI [報道] [コメント(0)トラックバック(0)]

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
おいらがやっている会社の名前をひらがな4文字で。

コメント:

トラックバック

このエントリのトラックバックURL: http://harapeko.asablo.jp/blog/2006/12/22/1042174/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。