自称完璧なマイナンバー保護技術『セキュリティフォント』 その2

自称完璧なマイナンバー保護技術『セキュリティフォント』 その1

その2は、全容が分かったので、記事に対してツッコミを入れるコーナーです

①システム導入に伴うシステム改修の工数が少ない
秘密鍵・公開鍵の仕組みを使ってるので、プラグインみたいなもの導入するだけなので、導入だけなら工数は確かに少ないと思う。

②古いシステムや特殊なOSに対し、容易に対応が可能

このため、判別値cpと判別値cとが合致していない場合には、「無効」との認証結果のみを表示し、アウトラインフォントデータm’が示す形状の文字を表示 しないようにすることで、これを用いて作成される文書の流出を防止して安全性を高めることができる。さらに、このようにすれば、セキュリティフォント認証 装置30の処理能力が非力な場合でも、高速表示が可能となる。

と言うあやしいことが書いてるので、この点については疑わしい。
恐らく、『常識内で古いシステムに対応できる』ということだろう。
多分、汎用言語で書くから、特殊なOSに対応できるって意味なんだろうけど、実際は対応できるけど、金かかるのは知らんって話だと思う。

③運用ルールの仕様変更に容易に対応可能
アウトラインフォントで、データが生成されるため運用ルールの変更が容易に対応できるというよりも、運用ルールがかなり限定される。限定されたルール内でなら変更は簡単って言うなら分かる。
これは、パラメータ変更で、フォントデータの作成ルールの仕様変更が簡単っていう意味なのかもしれない。
どちらにしても、利用者にはメリットは存在しない。


データ長が変わらず、かつ暗号化したまま運用できるので、サーバに負荷がかからない
一体いつから、『元のデータと比べてデータ長が変わらない』と錯覚していた?
である。

システムの構築方法によって変わるが
1. 該当データは画像データになるので当然サイズが変わる。
2. 該当データはテキストになるが、アウトラインフォントデータとの組で管理しなくてはいけない。

要するに、運用者側に負担がかかる。
もしくは、汎用の管理アプリが独自に対応すれば負荷はほとんどかからない。

と言うことだろう

⑤パスワードの盗用による「なりすまし行為」に強い
閲覧による剽窃ができなくなるという意味では正しいが、運用に手間がかかれば、絶対に、アプリで復号したデータをどこかにメモったりするケースが出てくる。要するにこの場合、セキュリティ教育が重要になる。
|。・ω・) 。o (なるほど、そこで儲けるんですね!)

安いシステムを導入して、その結果ユーザーに不便を強いた結果、セキュリティリテラシーの低い所から漏えいするのでは意味がない。

例えるなら、パスワードの変更を毎月強いた結果、ユーザーが簡単なパスワードを使うようになったり、附箋でメモするようになったというのと同じだ。

⑥タイムスタンプやGPS情報も埋め込むことが可能
エンコード・デコードの処理による。確かに、任意のデータを埋め込めるけど、最初から規格化されていないと汎用的に扱えないためあまり意味がない。逆に規格化してるのならマイナンバーにタイムスタンプやGPS情報うめこむのに意味があるようには思えないが・ω・

結論:
運用用法を間違えなければ、セキュリティ的には問題ないが、導入する企業に安いというエサで釣って、利用者に不便を強いて、アプリ開発とセキュリティ教育でひと儲けするソリューション。

おすすめ

4件のフィードバック

  1. 名無しさん より:

    「絶対にコピペできない文章」を応用して、日毎にフォントを生成し、ワンタイムパスとして配信・運用するシステム?
    これでは、フォント生成部位のアルゴリズムが秘密鍵になるだけか。
    カラーQRコードの時点でお察しの会社の話。

  2. 名無しさん より:

    「絶対にコピペできない文章」を応用して、日毎にフォントを生成し、ワンタイムパスとして配信・運用するシステム?
    これでは、フォント生成部位のアルゴリズムが秘密鍵になるだけか。
    カラーQRコードの時点でお察しの会社の話。

  3. yoka より:

    企業が電話で「私はまともな企業なのでマイナンバーを教えてください」と聞いてきます。
    まず、マイナンバーを教えても良い企業かどうかを証明する技術を作ってください。
    企業は聞いたマイナンバーを何かに一旦記録します。または文書で入手します。それをデータベースに入力した後、元のマインバーを消去するのですが、それが完全に消去されたかマインバーの持ちが確認する方法がありません。
    完璧を謳うなら、マインバーの持ち主の時点で暗号化したらどうですかね。

  4. yoka より:

    企業が電話で「私はまともな企業なのでマイナンバーを教えてください」と聞いてきます。
    まず、マイナンバーを教えても良い企業かどうかを証明する技術を作ってください。
    企業は聞いたマイナンバーを何かに一旦記録します。または文書で入手します。それをデータベースに入力した後、元のマインバーを消去するのですが、それが完全に消去されたかマインバーの持ちが確認する方法がありません。
    完璧を謳うなら、マインバーの持ち主の時点で暗号化したらどうですかね。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です