2019年4月24日のtwitterセキュリティクラスタ

パスポートの公開鍵が公開されない件の続き

公開鍵から秘密鍵を求めることは,技術的に(100%に限りなく近い確率で)不可能であることは知っているが,

技術的な知見を持たない人間に対して心理的に安全であることをどう伝えるかの話を抜きにして公開鍵を公開することの是非を問うことはできないんじゃなかろうかというのが私の意見.

自分の鍵ペアが公開されてるって気持ち悪いじゃない.そう,気持ち的に.技術的には”安全”だけども

公開鍵を公開されている事が、技術的な事ではなく意識的なもので気持ち悪いとか言ってる人見たけど…
「お前の端末を技術的な意味で識別出来るMACアドレスなんてダダ漏れだぞ!」

IC旅券の公開鍵が公開されてない件について
みんな「公開鍵」の意味勘違いしてない? kirigakure.net/?p=214 pic.twitter.com/sziZZZZtNi

@mokusyun @ito_yusaku 技術的にも間違っていなさそうです。ICAOでも厳重に配送することを推奨してる旨の記述をIPAの調査報告書から見つけました。
kirigakure.net/?p=214
ipa.go.jp/security/fy20/…

はあ?そりゃ偽のルートCA証明書に差し替えられないようにだろうよ。
kirigakure.net/?p=214
「CSCA証明書は「厳重に守られた外交手段で配送すべき」と記されています。」

電力解析、一時記憶の読み出し、プローブ解析はどれも公開鍵の有無と関係ない攻撃手法では / htn.to/ZxicEzwkbd

公開鍵暗号についてこう書いちゃう人が「よく調べてから批判しよう」大草原では“(セキュリティのエキスパートではないので解析方法はさっぱりわからないが、国家予算レベルで技術導入したら解析できるのかもね)” / “IC旅券の公開鍵が公開されてない件について | forest of …” htn.to/34nRKwVzuc

じゃあなんでドイツは日本のを公開してもいいんですかね? そもそも公開鍵を広く公開した程度で偽造されたらそもそもいろいろマズい仕組みだと思うし、厳重に守るべきなのは中間者攻撃対策では / “IC旅券の公開鍵が公開されてない件について | forest of KIRIGAKURE” htn.to/2tTRYAHHco

「不開示は当然」って結論付けてるけど、RCA証明書を各国に頒布する時が外交手段ってだけで、この人はあまり分かっていないのではないですかね?

IC旅券の公開鍵が公開されてない件について | forest of KIRIGAKURE kirigakure.net/?p=214

「厳重に守られた外交手段で配送すべき」なのは偽物にすり替えられないようにするためで、公開鍵が公開されてしまわないようにするためではない

/

kirigakure.net/?p=214

え?それじゃ~署名の有効性が確認できないやん / “IC旅券の公開鍵が公開されてない件について | forest of KIRIGAKURE” htn.to/p91iwNzeNe

“公開鍵を開示する”ことで電力解析/プローブ解析で偽造できることの関係性も分からんし、”CSCA証明書が厳重に守られたルートで配送されるべき”ってのもルート証明書なんだから当たり前だろとしか – IC旅券の公開鍵が公開されてない件について kirigakure.net/?p=214

“今回の件では「公開鍵」という言葉に「公開」とあるから「一般に広く公開」と勘違いしているのだと思います。ですが本来「相手に公開」されていれば公開ですから意味としても不開示は当然です”

何言ってんだこいつ(やる夫AA略)

IC旅券の公開鍵が公開されてない件について kirigakure.net/?p=214

秘密鍵持ってないICカード相手に電力解析して秘密鍵をゲットできてしまうのか(困惑)

IC旅券の公開鍵が公開されてない件について kirigakure.net/?p=214

最近ちょくちょく話題になるような自爆炎上してPV稼ぐやつかな? / “IC旅券の公開鍵が公開されてない件について | forest of KIRIGAKURE” htn.to/LrBLChrdZJ

おさらい:実装の不具合や悪い設定に起因する「秘密鍵を特定できる弱い公開鍵」のはなし // 偶然にも500万個のSSH公開鍵を手に入れた俺たちは slideshare.net/hnw/edomaesec-…

今回のパスポートの件で公開鍵から秘密鍵が特定されるって言ってる人は、多分この「ユーザに鍵対を作らせた場合」に起きうる運用上の脆弱性の話とごっちゃになってる気がする。今回は各国の政府がそれなりにきちんとやってるはずなので対象外なんだよね。

公開鍵の開示が云々のくだり、つまるところRSAにおいては素因数分解に絶対的な信頼をおいているかどうかだけだと思う、未解決問題だから100%安心ではないとして必要でない時は公開しないのは至極真っ当な意見

サイドチャネル攻撃で秘密鍵が抜けるリスクは公開鍵の公表有無と全く関係ない。IPA報告書の脅威分析をだいぶ誤読しているっぽいな。公開鍵から秘密鍵を導出できたら世界中が大騒ぎになるよね / “IC旅券の公開鍵が公開されてない件について | forest of KIRIGAKURE” htn.to/tiHCVfNwgV

たまたま外務省が話題になっているが氷山の一角。情報公開請求に対する不開示理由は専門家のレビューを受けないので、事務方の事勿れ主義で出鱈目な理由がそのまま通ってしまうことが少なくない / “パスポートのセキュリティ – AAA Blog” htn.to/2z4ZJutLBv

その他に気になったことはこのあたり。

「「有償」の公開であったなら個人情報保護法上はセーフだった可能性」……ハテ?

当該質疑の動画を見た。破産者マップが違法と行政指導されたのに、官報から抜粋した破産者情報をDVDで販売してる業者がいてこちらが適法なのは変ではないかという質問だった。その違いは何かと問われ、個人情報保護委員会事務局次長は、安全管理措置が云々と意味不明な答弁。
shugiintv.go.jp/jp/index.php?e…

前の質問で、個人情報データベース等定義の「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く」の政令が「不特定かつ多数の者に販売することを目的として発行された」「随時に購入することができ、又はできたもの」と有償を条件にしていることに触れており、…

…この条件に該当すると個人情報データベース等でなくなるから合法になるとして、なぜ有償のものだけがそうなっているのか?立法趣旨は?との質問に対し、個人情報保護委員会事務局次長の答弁は、「無償頒布されている名簿を適用除外としない趣旨として解凍すると、市販されている名簿に比べて、どの…

…どの事業者が作成・頒布したのかが不明確であることが多いことなどから、入手した事業者において、安全管理措置を講じる必要があることが背景にある。」

これで質問者は「???」となってもう一回聞いたが、同じ答弁が繰り返されている。

あー、どういう行き違いがあったかわかったぞ。

定義から除かれる「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるもの」は、有償販売名簿を指しているが、これはその購入者において除かれるのであって、その作成・販売者において除かれるわけではないのだが、質問者は作成者において除かれると誤解があったようだ。

答弁者はちゃんと「入手した事業者において」と述べているが、質問者の誤解を解こうとする努力が何もないので、ちぐはぐなやり取りに終始して意味不明な答弁をしたような形になってしまっている。質問の大意は破産者マップと破産者DVD販売の比較なので、作成・提供者における違いを答えるべきだった。

破産者DVD販売が合法なのはオプトアウトを実施して委員会に届出しているから。破産者マップは無届けだったので違法だったのであり、真っ当なオプトアウトを実施し届出をしたら実は合法であり止めることはできなかった。有償か無償かは関係ないと答弁しないといけないところ、その力量が見えない。

ところで今気づいたが、この「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く」が、名簿の入手者においての話であることが、いったい条文のどこで読めるの??という疑問が!当然にそうだと思っていただけに、条文から読めないことに気づかなかったぞ。

「当然にそうだ」と思っていたのは、これは改正前からあった規定(が規定方法を変更されたもの)だからだ。
改正前では、この「除く」が「個人情報データベース等」定義にはなく、個人情報取扱事業者の定義から除かれる者として5000人以下を定める施行令中に、人数カウントから除く対象を括弧書きで…

…で規定され、そこに有償販売名簿のことが規定されていた。これはアクロバティックな規定で、個人情報データベース等から除かないといけないのに委任規定のない法律が成立してしまったので、国会で問題にされて後から人数の方で除くという誤魔化しをしていたのだった。これが改正で正常化された。

改めて改正前の政令を見ると、「…の全部または一部が他人の作成に係る個人情報データベース等であって、次の各号の…」となっていた。そう、「他人の作成に係る」とあったから、名簿を入手した者の話であって、名簿作成者における話ではないことは明らかだった。その要件が改正後にはないようだ。

辛うじて条文から読み取るなら、施行令の「不特定かつ多数の者に販売することを目的として発行されたもので」の「発行された」から、作成者においてはまだ発行されていないと強弁するか、「随時に購入することができ、又はできたもの」から、購入側のことを言っているのだと強弁するか。無理じゃね?

ガイドライン通則編は何も書いてない。解説書第二次改訂版は、さらっと「購入した個人情報取扱事業者が他の…を記載することなく名簿として使用している場合においては」と書いてあって、誤解されるとは思ってもみなかった様子だ。令3条3号の「本来の用途に供しているもの」から読むのも無理がある。

今頃気づいたけどパブコメ時に誰か指摘してた?

施行令のパブコメに無償のものも「除く」に入れよとする意見(経営法友会)があった。回答が「単に無償頒布されている名簿等やインターネット上で無料掲載されている名簿等は、市販されている名簿等に比べて作成、頒布した事業者が不明確であることが多く、意図せず漏えいした個人情報を利用したもの…

…ものである可能性もあることから、入手した事業者において安全管理措置等が講じられる必要があるものと考えられるため、販売することを目的として発行された名簿等のみを、個人情報データベース等から除外することとしています。」とある。今回の答弁はこれを言いたかったのだな。

あー、秘密鍵。秘密鍵ね。
なんかHTTPSが有効にならなかったので、まずは証明書の有効性を確認しようと確認サイトに投げたら、秘密鍵の方を投げていたってこと本当にあったんですよー

まぁ僕の話なんですけどー

先日の #minihardening 3.2@メルカリに参加して優勝した方がブログ書いてくれました!
役割分担がしっかりしていたのとISUCON勢がどんなことやってたとかとても参考になるなあ。
ぜひ本戦の北海道でも活躍してきてほしい!
koemu.com/blog/2019/04/2…

ITmediaさんが、先日公開しました「小さな中小企業とNPO向け情報 #セキュリティ ハンドブック」の紹介記事を掲載してくださっています。とっても頑張った「お役所仕事」、みなさんもぜひお読みください。国民のみなさんのお力になれるよう、これからも頑張ります!
itmedia.co.jp/enterprise/art…

「SECCON 令和CTF 」開催!
平成31年4月30日(火)23:00(JST)~令和元年5月1日(水)01:00 (JST) の2時間 のオンラインJopardyCTFです。ぜひ御参加下さい!
2018.seccon.jp/2019/04/seccon…

【京都府警】「不正指令電磁的記録に関する罪」 における構成要件に関する開示結果について を公開しました

it-giron.com/687

ASCII.jp:危ないAWS環境の共通点はここ!ペンテスターが攻撃者視点で指摘する|満漢全席を食らえ!JAWS DAYS 2019レポート
ascii.jp/elem/000/001/8…
JAWS DAYSでの発表を記事にしていただきました。ありがとうございます!

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>