ICカードも安心ではないんだ・・・
こんにちは、丸山満彦です。ICカードも安全でないという話・・・。
■ITPro
・2006.05.22 「“ICカードは安全”の考え方は危険」と、米パッチ・アドバイザ社長
=====
ICカードから情報を盗み出す手法はいくつもあるという。「例えば、暗号鍵を使ってデータを暗号化するICの特定の個所にレーザーを当てるとエラーを起こす性質を利用して、暗号化する前のデータを突き止める手法がそうだ。ほかにも、電圧や電磁波を利用する手法などがある」。
=====
ということのようですが、技術的なことはよくわからないのですが、どこまで本当なんでしょうか・・・
■ICカードシステム利用促進協議会
というところがあるようなんですけど、
・カードシステムの安全性に関する見解"発表に当たって
・・カードシステムの安全性に関する見解
という文書を公表していますね。。。
辻井先生が理事、大山先生が副理事ですね・・・
Comments
自分のブログ( http://www.tyzoh.jp/modules/weblog/details.php?blog_id=648 )でも書いたのですが,電磁波や電圧の変動の特性を使って,暗号を解読するような手法があります.
私のブログでは参照しませんでしたが,以下などが技術的にはわからなくてもそういう攻撃があるんだなと感じられると思います.
http://c4t.jp/introduction/cryptography/cryptography08.html
(C4 テクノロジー社「暗号入門:暗号の攻撃法、暗号解読とは?」)
Posted by: いかちょー | 2006.05.24 17:25
丸山 様
夏井です。
もっともっと簡単な方法もあり,現実に悪用されていますけど・・・
ところで,某氏は「絶対に大丈夫!」と言って大見得切ったということで有名な方ですよね。
法律家の世界では「絶対大丈夫!」なんて保障をしてはいけない,というのが鉄則のようなものになっています。なぜなら,そんなことは古今東西未来永劫あり得ないことだからです。(笑)
Posted by: 夏井高人 | 2006.05.24 22:07
いかちょーさん、夏井先生、コメントありがとうございます。
絶対大丈夫なんてことは、監査の世界でも言えないわけで、世の中で絶対・・・というのは、おおむね怪しいと思って間違いないと思っています。
もちろん、安心でないから使わないって短絡的になりすぎるのもよくなくって、絶対安心できるわけではないけど、リスクを受容して利用するってことですよね・・・。
なので、安全性についての正しい情報を提供することが重要なんだろうと思っています。
安心してくださいではなくって、この程度のリスクはありますよ・・・ですよね・・・。
Posted by: 丸山満彦 | 2006.05.25 02:38
いかちょーさんがふれているサイドチャネル攻撃については、Wikipedia日本版でもエントリがありますね。
http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%89%E3%83%81%E3%83%A3%E3%83%8D%E3%83%AB%E6%94%BB%E6%92%83
ICカードの項でも「安全性の懸念」という章で簡単にふれています。
http://ja.wikipedia.org/wiki/IC%E3%82%AB%E3%83%BC%E3%83%89
サイドチャネル攻撃は攻撃のカテゴリとしては既知なので、いまどき一番易しいクラスのもので破られるようでは認証・認定を通らないはずですが、日々新しい攻撃手法が練られているため、古いICカードが安全かどうかは自明でない現実があります。
あと、物理的な解析のほかにはICカード(や暗号装置一般)のプロトコルを狙う方法もあって、Cambridge大のMike Bond(Ross Andersonのところです)などが得意とするところです。彼の研究ページ
http://www.cl.cam.ac.uk/users/mkb23/research.html
にある Phish and Chips という最近出た論文の中身はPhishingとの組合せで金融系ICカードの暗証番号を狙うもので、これとは別に
http://www.chipandspin.co.uk/problems.html#emv
によれば金融系ICカードの標準のEMVの古いバージョンのプロトコルには脆弱性があった、ということです。
あと、カード単体じゃなくてシステムを狙うのは安いよ、という話もあったりします↓
http://www.cl.cam.ac.uk/~mkb23/interceptor/
Posted by: 崎山伸夫 | 2006.05.25 02:46
崎山さん、コメントありがとうございます。ぼちぼちと教えていただいた文献等を読んでみます。
脆弱性情報の提供について、すべきかすべきでないか・・・という議論は昔からあるのですが、ユーザサイドからすれば、リスクが自分で判断できるように提供されればよいのでしょう。技術的に脆弱であっても、損害を確実に100%補償してくれるのであれば、お金に関する問題としては、特に気にすることがないのだろうと思います。もちろん、実際はお金に換算しずらい個人情報の問題や、確実に100%保証してくれないという現実があるから難しいのでしょが・・・
Posted by: 丸山満彦 | 2006.05.25 10:51
buy 1000 facebook likes get 1000 facebook likes how to get 1000 facebook likes http://rccgcelebration.org/forum/memberlist.php?mode=viewprofile&u=1502 http://www.racing-aktuell.de/forum/memberlist.php?mode=viewprofile&u=1483 get facebook likes <a href="http://1000fbfans.info">buy facebook likes</a> get 1000 facebook likes buy facebook likes _________________ how to get 1000 facebook likes <a href=http://1000fbfans.info>buy facebook likes</a> buy facebook likes how to get 1000 facebook likes
Posted by: Wembolamep | 2011.06.12 01:02
buy facebook fans cheap buy facebook fan page how to buy facebook fans http://www.diehackels.de/phpBB3/viewtopic.php?f=2&t=52814 http://dr-1.com/flightsimulatorblog/index.php?action=profile;u=327635 <a href="http://www.geoshared.com/user.php?login=odaba67&view=history ">buy facebook fans and likes</a> buy facebook fans buy fans facebook [url=http://digg.amulet-buddha.com/user.php?login=koljaam9&view=history]buy facebook fan[/url] buy targeted facebook fans buy facebook fans cheap
Posted by: ridendCoiff | 2011.08.02 00:40