Twitter の Consumer Secret Key の暗号化について
もふったーのコンシューマシークレット問題について、鍵はプログラム中に安全に埋め込めるはず。だが…Add Star
|
答:以下の理由から可能なはず。 |
とのことなんだけど、残念ながら、一部の処理が ステートのファイナライズ値をそのまま使わず、さらにメッセージとブロックの値をハッシュして使用されるために、単純にファイナライズ値だけを使うことができないんだ。
(実はそれやろうとしたら、殆どの処理でエラーになってしまった)
|
問:そのようにして鍵を隠すことに意味はあるのか 答:ない。 |
前提がそのステート値を使えば、ってことなので、一意のステート値がコンシューマシークレットキーなしには作れないので、署名できるって前提が覆ってしまうんだ・ω・
難しいね
でも、最初から言ってるけど、サードパーティのクライアントがキーを隠すことはあんまり意味がない。
よほど著名なクライアントなら偽アプリを作って~ってのが考えられなくもないけどね。
今回は『公式クライアントの無策ぶりが酷かった』ってのが提起された問題。
どこまで難読化できるのかが課題だったんだ。
さらに、もふったーの場合、 Windows 95対応クライアントなので、現在一般的なリバースエンジニアリング防止技術は使えないという縛り付きでの挑戦 ・ω・ キリッ
というわけで、完全に隠ぺい化するには最低1度はオンライン認証を通す必要があるんだけど。公式クライアントがそれをやってないのが不思議という話でした
Translate
Comments