Twitter の Consumer Secret Key の暗号化について

もふったーのコンシューマシークレット問題について、鍵はプログラム中に安全に埋め込めるはず。だが…Add Star

mf

答:以下の理由から可能なはず。

とのことなんだけど、残念ながら、一部の処理が ステートのファイナライズ値をそのまま使わず、さらにメッセージとブロックの値をハッシュして使用されるために、単純にファイナライズ値だけを使うことができないんだ。
(実はそれやろうとしたら、殆どの処理でエラーになってしまった)

問:そのようにして鍵を隠すことに意味はあるのか

答:ない。

前提がそのステート値を使えば、ってことなので、一意のステート値がコンシューマシークレットキーなしには作れないので、署名できるって前提が覆ってしまうんだ・ω・

難しいね

でも、最初から言ってるけど、サードパーティのクライアントがキーを隠すことはあんまり意味がない。
よほど著名なクライアントなら偽アプリを作って~ってのが考えられなくもないけどね。
今回は『公式クライアントの無策ぶりが酷かった』ってのが提起された問題。
どこまで難読化できるのかが課題だったんだ。

さらに、もふったーの場合、 Windows 95対応クライアントなので、現在一般的なリバースエンジニアリング防止技術は使えないという縛り付きでの挑戦  ・ω・ キリッ

というわけで、完全に隠ぺい化するには最低1度はオンライン認証を通す必要があるんだけど。公式クライアントがそれをやってないのが不思議という話でした

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です