2015年6月28日日曜日

Secure Quick Reliable Login

先日もBitCoinとイマイチ無関係な認証システムがBitCoin関連ニュースで紹介されていましたが、今度のはちょっと違う、かも?
SQRL Revolutionizing Web Site Login and Authentication
SQRLを実装したサイトに対しては、SQRLクライアントにマスターパスワードを入力するだけでログインすることができる、ようです。
SQRL
アルゴリズム的には256bitのハッシュと擬似乱数が仕込まれているということのようです。オープンソースなのでサイトへの実装も、独自クライアントの実装も可能のようです。

このシステムは2013年に提案されたのだそうですが、なぜ今になって取り上げられたのでしょう。そしてどうして現時点であまり普及していないのでしょう。

こういう記事が当時書かれていたりしますが、本質的な批判になっているのかな?
Debunking SQRL << Stack Exchange Blog
マスターパスワードを破られると全部破られる、というのはパスワード管理ツール(LastPassとか)と共通の問題だと思います。メールアドレスを使わないのでマスターパスワードをリカバーする手段がないというのは確かに問題かも、ですが、何かの手段を設ければいいだけにも聞こえます。

実際の現在の評価はどうなのでしょう。そしてBitCoin陣営ではどういう評価なのでしょうね。

2015年6月26日金曜日

Post-Quantum

量子コンピュータ実用化以降、暗号はどうなるのか。

「一年前にはVCは我々のことを笑って『お帰りください』という扱いだった」「しかし各社が量子コンピュータを作ると言い出している」「8ヶ月位前からもはや笑い事ではなくなってきた」

「バックドアじゃなくて、サイドドアを提供可能だ」(政府が好き勝手に暗号通信を覗き見できるのではなくて、然るべき手続きを経てコンセンサスがあるときだけ読み取ることが可能になる、ということらしい?)

いろいろ考えさせられることが書いてあります。原理がイマイチよく分からない…。
Post-Quantum Encryption No Longer A Laughing Matter
ちなみに文中、「McEliese」と書かれていますが、「McEliece」が正しいようです。
McEliece cryptosystem
それぞれが持っている部分鍵を持ち寄らないと解読できない、みたいなところは何となく分かるのですが。1人が全部の鍵を持っているから破られるのだ、というのも何となく分かる。

ちょっと気になる記事だったので取り上げてみました。

2015年6月21日日曜日

iOS9では2要素認証を標準装備、PINも6桁に。

Apple steps up security with native two-factor and 6-digit passcodes in iOS 9
むしろバージョン8まで何やってたんだって話だと思いますけどね。

先日のTouchIDの話も含めてAppleの意識ってちょっとズレてる気がするのですよね。

まあそれを言い出すと、セキュリティを真剣に考えている会社ってどこにあるんだろうという気はするのですよね。セキュリティを食い物にしている会社はたくさんあるんですけど…。

2015年6月2日火曜日

行動パターン認証と言えば…

たった今テレビでやっていましたが、JINS MEMEを掛けて歩くと「歩き方の癖」が判定できて「矯正」できるそうです。

その他コンディション判定などいろいろなことに使えそう、ということで考えられているようです。

矯正、というか、バランスとか健康とかの方向に話が行ってしまいがちになるのは何となく分かるのですが、

考えてみるとこちらを端末の代わりに情報収集に使ってProject Abucus相当のことをやってしまえば電池の消耗も気にしなくてよいし、いいんではないかな。

まあいずれにしてもこういうのは増えていくのだと思います。突破される確率はかなり低いと思うので案外普及するのは早いかもしれませんね。少なくとも指紋センサなんかよりは有望な気がします。

2015年6月1日月曜日

究極の行動パターン認証

 個人的に、これは予想の範囲内でした。
Google、パスワード入力を無用にする新プロジェクト「Project Abacus」を発表
端末で日常的に集めたデータを使って「本人っぽい行動」かどうかを判定するというもののようです。行動パターン認証をもっと緻密に精密にやりましょうという話ですね。

高確率で正しく判定できるようにするにはどれくらいのデータを集めればいいのか、というのを考えてみると面白そうです。1人ビッグデータというか1人ディープラーニングというか。まあ確かにできそうな気がします。なまじっかな生体認証とかより精度が高そうな気もしますし、破りにくそうというのはすぐに分かる感じです。何が決め手で本人と判定しているのかが外から見て多分分からないはずなので。それでも偶然に誤まって認証成功してしまうことはありそうですが、それを有効に攻撃に使える攻撃者はいないだろうな、とは思います。

問題はやはり誤って認証失敗してしまった場合でしょう。落ち着いてやり直せば認証成功するというものではないですからね。その時のために代替認証手段を用意する、と、やってしまうと、つまりはせっかくの高度な認証システムを迂回できてしまうことになって、意味がありません。そこをどうするのかがちょっと注目ですね。

ちなみに、日常的に大量のデータを集めるために電池の消耗が激しくなってしまうらしい。まあ、そこまでも予想の範囲内。やれやれだぜ。