アカウント名:
パスワード:
>音波信号は不正解析への耐性があるアナログ波で、録音などによる>不正チェックインを防止するドコモ独自の認証の仕組みを採用している>ため高いセキュリティを実現できるという。
コピーしただけでは無理だと思うぞ。
高品質なリニアPCMで無圧縮+高性能マイクならリプレイやMITM攻撃も可能なはずっ!# 少なくとも再生出来ないとシステムに無理は有る訳ですし。
位置情報と紐付けて認証してるので録音しても他の場所には持って行けないってさ。
位置情報と紐づけしているとはプレスリリースには書いてありませんよ。認証アクセス元を特定のWi-Fiアクセスポイント経由に限定してしまうというのならアリかもしれませんね。もちろん、現地に中継されたらダメですが。
プレスリリースから読み取れるこいつのキモは音声で音波装置自体と時間で変化するキーを送ってるだけで、認証サーバーがそのキーの有効性を検証するから過去録音に対する攻撃に耐性が見込めるという点。後は、そのキーの有効期限が数ミリ秒~1分のようなどの程度のスパンで失効されるかが頼りになるかと。ただし、あまり厳しくすると端末性能とか回線混雑やら遅延とかでNGになって使えないという評価になってしまうので難しい所。# 認証サーバーから時刻貰ってn秒後のキーだよみたいな相対化とか、端末やセッション毎に補正すればマシにはなるけど、それだって端末やバックグラウンド処理による差異は有り得る訳で。制限が緩ければ(利用想定例からは通常は意味のない)もう1回とか、認証に使う音声をネット経由でストリーミング配信して受信するという手法が使えてしまいます。# そもそもアプリに組み込んだSDK自体が改竄されたらそれ以前の段階でアウトですけどね。意味があるかどうかは別として。
もし位置情報と紐づけしていたとしても、GPS非受信時に機能すると謳う以上、後はWi-Fiや3G/LTEの基地局からの位置情報に頼るしかありません。しかし、3G/LTEはともかくWi-Fiによる位置情報は比較的容易に偽装可能なので……3G/LTEの基地局による位置算出の偽装は比較的困難(それでも場合によっては改竄されうる)ですが、ドコモのみで閉じたサービスならともかく他キャリアでもOKとする以上あまり厳しくするわけにもいかないかと。ドコモ管理下にない基地局がメンテで止まったり、廃止・オープンする度にau、Softbankだとしばらくマトモに使えなくなりますとかだったら、サポートに苦情と悪評で導入されなくなるだけでしょうね。# 音波装置やその付随に受信アンテナ仕込む手もあるでしょうが、LTE/3Gの対応周波数は端末によって異なるしなぁ……
別の場所で無理というのは、一般的なレコーダーとかが超音波を録音・再生するのに特化してないから実現可能なだけで、ハイレゾ対応なレコーダーとこのシステムの利用してる帯域に合わせたマイクとスピーカーを用意したら怪しい気がします。少なくともスピーカーはこのシステムが出力する以上、スペックを満たす品が世の中に有る訳ですしね。後は昔のCDプロテクトじゃないですが、マイク性能とその後の信号処理次第でしょう。(なまった波形を復元するとかね)
音声装置をセキュリティトークン、音声をトークンに表示される数値と置き換えれば既に普及している技術概念で、媒体が変わっただけと言えるかも。まぁ、その媒体を変えるというのが大変な事なのでしょうが。
それより、この手のソリューション、私は回転扉やネズミ妨害?の超音波や電源の高調波等が聞こえる人なので嫌な感じです。確実に聞こえないくらいの高音側に寄ってればいいけど、スマホのマイクで録音出来る程度だからあまり期待できないし、電車内で強制的に聞かされ続けるのは勘弁願いたいなぁ。耳鳴りみたいでいやなんですよね。# 既に車内放送自体でアンプON時のキーンという高音のノイズがうるさいとか、LCDモニタ表示器から音がしてたりする事もあるけどさ。
位置情報だけなら、ある程度近ければ偽ポイントを作れそうですね。まあ、さすがにGPS OFFだと起動できない仕組みにするのかな。
特定のチェックインを何回もやるとポイントがつく場合、録音+偽位置情報で意図的に水増しできたりして。しらんけど。
あんまり単純な仕組みじゃないと思うんだよね。時間ごとに変化する公開鍵署名されたIDくらいのことはやってるんじゃないかな。
公式のリリース文を何度か読んだのですが、「音波信号はアナログ波であり、それ自体に不正解析への耐性」がある理由がよくわからなかった。アナログ携帯の盗聴とか知らない世代の広報が書いたのかね。
不正解析への耐性があるアナログ波と読むんだと思う。
復調して二値化したデータを復元するのに手間がかかる、おそらく単純なFSK/PSKなどではないので変調方式の解析が面倒
デコードするのに手間がかかると認証も手間がかかってしまいます。認証するのは店に設置している設備ではなく、ユーザーが持ってるスマホなので結構単純なのかもしれません。
この技術ってセキュリティ目的というより、例えば「優待カードを登録したユーザーが店のどの場所にいるかを店側にしらせる」ぐらいのものでしょう。
復調処理は簡単でも、非標準的な変調・復調方式はどのような手法を使っているのかの解析が面倒符号長の短いスペクトラム拡散変調などでも、非専門家にとっては敷居が高い分かる人間には分かるが分からない人間には分からないし、概してソフト屋はこの種の話には弱い
たとえ復調のアルゴリズムが単純だったとしても、それを見つけること(解析)が面倒ということか…
あ、ソフト屋は信号から解析なんてやらなくて、素直にSDKをリバースエンジニアリングするんじゃないかな?復調はユーザー側(スマホ)がやるんだし
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
プッシュ音のように (スコア:1)
よく読もう (スコア:0)
>音波信号は不正解析への耐性があるアナログ波で、録音などによる
>不正チェックインを防止するドコモ独自の認証の仕組みを採用している
>ため高いセキュリティを実現できるという。
コピーしただけでは無理だと思うぞ。
Re:よく読もう (スコア:1)
高品質なリニアPCMで無圧縮+高性能マイクならリプレイやMITM攻撃も可能なはずっ!
# 少なくとも再生出来ないとシステムに無理は有る訳ですし。
Re:よく読もう (スコア:1)
位置情報と紐付けて認証してるので録音しても他の場所には持って行けないってさ。
Re:よく読もう (スコア:2)
位置情報と紐づけしているとはプレスリリースには書いてありませんよ。
認証アクセス元を特定のWi-Fiアクセスポイント経由に限定してしまうというのならアリかもしれませんね。
もちろん、現地に中継されたらダメですが。
プレスリリースから読み取れるこいつのキモは音声で音波装置自体と時間で変化するキーを送ってるだけで、認証サーバーがそのキーの有効性を検証するから過去録音に対する攻撃に耐性が見込めるという点。
後は、そのキーの有効期限が数ミリ秒~1分のようなどの程度のスパンで失効されるかが頼りになるかと。
ただし、あまり厳しくすると端末性能とか回線混雑やら遅延とかでNGになって使えないという評価になってしまうので難しい所。
# 認証サーバーから時刻貰ってn秒後のキーだよみたいな相対化とか、端末やセッション毎に補正すればマシにはなるけど、それだって端末やバックグラウンド処理による差異は有り得る訳で。
制限が緩ければ(利用想定例からは通常は意味のない)もう1回とか、認証に使う音声をネット経由でストリーミング配信して受信するという手法が使えてしまいます。
# そもそもアプリに組み込んだSDK自体が改竄されたらそれ以前の段階でアウトですけどね。意味があるかどうかは別として。
もし位置情報と紐づけしていたとしても、GPS非受信時に機能すると謳う以上、後はWi-Fiや3G/LTEの基地局からの位置情報に頼るしかありません。
しかし、3G/LTEはともかくWi-Fiによる位置情報は比較的容易に偽装可能なので……
3G/LTEの基地局による位置算出の偽装は比較的困難(それでも場合によっては改竄されうる)ですが、ドコモのみで閉じたサービスならともかく他キャリアでもOKとする以上あまり厳しくするわけにもいかないかと。
ドコモ管理下にない基地局がメンテで止まったり、廃止・オープンする度にau、Softbankだとしばらくマトモに使えなくなりますとかだったら、サポートに苦情と悪評で導入されなくなるだけでしょうね。
# 音波装置やその付随に受信アンテナ仕込む手もあるでしょうが、LTE/3Gの対応周波数は端末によって異なるしなぁ……
別の場所で無理というのは、一般的なレコーダーとかが超音波を録音・再生するのに特化してないから実現可能なだけで、ハイレゾ対応なレコーダーとこのシステムの利用してる帯域に合わせたマイクとスピーカーを用意したら怪しい気がします。
少なくともスピーカーはこのシステムが出力する以上、スペックを満たす品が世の中に有る訳ですしね。
後は昔のCDプロテクトじゃないですが、マイク性能とその後の信号処理次第でしょう。(なまった波形を復元するとかね)
音声装置をセキュリティトークン、音声をトークンに表示される数値と置き換えれば既に普及している技術概念で、媒体が変わっただけと言えるかも。
まぁ、その媒体を変えるというのが大変な事なのでしょうが。
それより、この手のソリューション、私は回転扉やネズミ妨害?の超音波や電源の高調波等が聞こえる人なので嫌な感じです。
確実に聞こえないくらいの高音側に寄ってればいいけど、スマホのマイクで録音出来る程度だからあまり期待できないし、
電車内で強制的に聞かされ続けるのは勘弁願いたいなぁ。耳鳴りみたいでいやなんですよね。
# 既に車内放送自体でアンプON時のキーンという高音のノイズがうるさいとか、LCDモニタ表示器から音がしてたりする事もあるけどさ。
まじめに読む気ゼロ (スコア:0)
位置情報だけなら、ある程度近ければ偽ポイントを作れそうですね。まあ、さすがにGPS OFFだと起動できない仕組みにするのかな。
特定のチェックインを何回もやるとポイントがつく場合、録音+偽位置情報で意図的に水増しできたりして。しらんけど。
Re: (スコア:0)
あんまり単純な仕組みじゃないと思うんだよね。
時間ごとに変化する公開鍵署名されたIDくらいのことはやってるんじゃないかな。
Re: (スコア:0)
公式のリリース文を何度か読んだのですが、「音波信号はアナログ波であり、それ自体に不正解析への耐性」がある理由がよくわからなかった。
アナログ携帯の盗聴とか知らない世代の広報が書いたのかね。
Re: (スコア:0)
不正解析への耐性があるアナログ波と読むんだと思う。
Re: (スコア:0)
復調して二値化したデータを復元するのに手間がかかる、おそらく単純なFSK/PSKなどではないので変調方式の解析が面倒
Re:よく読もう (スコア:1)
デコードするのに手間がかかると認証も手間がかかってしまいます。
認証するのは店に設置している設備ではなく、ユーザーが持ってるスマホなので結構単純なのかもしれません。
この技術ってセキュリティ目的というより、例えば「優待カードを登録したユーザーが店のどの場所にいるかを店側にしらせる」ぐらいのものでしょう。
Re: (スコア:0)
復調処理は簡単でも、非標準的な変調・復調方式はどのような手法を使っているのかの解析が面倒
符号長の短いスペクトラム拡散変調などでも、非専門家にとっては敷居が高い
分かる人間には分かるが分からない人間には分からないし、概してソフト屋はこの種の話には弱い
Re:よく読もう (スコア:1)
たとえ復調のアルゴリズムが単純だったとしても、それを見つけること(解析)が面倒ということか…
あ、ソフト屋は信号から解析なんてやらなくて、素直にSDKをリバースエンジニアリングするんじゃないかな?
復調はユーザー側(スマホ)がやるんだし