匿名認証で守るセキュリティ

Transcript

1. OWASP SENDAI #47 (OWASP NAGOYA/FUKUOKA/OKINAWA リレー) 匿名認証で守る セキュリティ akakou （

   間滉星）

2. akakou （ 間滉星） 義 ⼤ 情 2 年⽣ 情 処理

   保 援⼠ （未 ） SecHack365 2 期⽣ Hack U （ ⽣向けハッカソン） 3 回 優 賞受賞 Hack Day （⽇ ⼤ ハッカソン） 2 回 受賞 グループ署 式のアルゴリズムと ⽤について研 Twitter: @_akakou

3. 未来のセキュリティ 策 不正者を することで " れる 界" を作るための技

4. セキュリティの 不正による情 漏えいあるある

5. 事例 責任 る 盗事件 者

6. 事例 責任 る 盗事件 事件 者 者

7. 事例 責任 る 盗事件 事件 不正による 情 漏えい 者 者

   ？

8. 事例 責任 る 盗事件 事件 ！？ 者 者 者 不正による

   情 漏えい
9. None

10. 責任 るべき なのは不正者 みんな思い せ

11. 匿 性という武 Anonymity 不正者は匿 なことをいいことに，責任から れ ている． れた責任はこちらにふってくる．

12. 不正者に責任とらせよう 可 性・否 不可の担保 元 と電 署 を⽤い，有事は不正者を し，否 を

    ぐことで，責任の を る． ①⾝元確認 ②公開鍵 ③署名
    +
    データ ④追跡

13. 題. プライバシ 不正の のために， 元 される気はありますか

14. プライバシ を⽬的とした 元 は，不正していないユーザに するプライバシの の 念をもたらす． 池袋なう！ XXは今 池袋にいるのか

15. 理想 Ideal 否 不可 性 （ 件付き） 可 性 匿

    性/ リンク 不可 性 匿 性/ リンク 不可 性 否 不可 性 可 性 ユーザはサー ビスに して アイデンティ ティを隠せる ユーザは⾃ の不正を否 できない サービスはユー ザが不正をした ときのみ

16. 匿 を使おう 匿 性/ リンク不可 性，否 不可 性， 可 性を

    立する 技 について

17. （典型的な） 匿 技 三者 に不正かの をさせ ることで，サービスによる不正な プライバシの を ぐ．

    ①登録 ②認証 ③追跡  依頼 ④追跡 第三者機関 可 性 匿 性/ リンク 不可 性 加藤岳久,
    岡⽥光司,
    and
    吉⽥琢也.
    "匿名認証技術とその応⽤."
    東芝レビュー
    60.6
    (2005):
    23-27.

18. グループ署 式 GM （Group Manager ） が 理するグループのメ ンバーであることを するディジタル署

    式 GM 検証者 メンバー グループ 管理 署名 （署名から） 追跡 Chaum,
    David,
    and
    Eugène
    Van
    Heyst.
    Group
    signatures.
    Workshop
    on
    the
    Theory and
    Application
    of
    of
    Cryptographic
    Techniques.
    Springer,
    Berlin,
    Heidelberg,
    1991.

19. グループ署 式 を⽤いた匿 GM に不正かの をさせること で，サービスによる不正なプライ バシの を ぐ．

    ①登録 ③署名 ⑤追跡  依頼 ⑥追跡 GM 可 性 匿 性/ リンク 不可 性 ④検証 否 不可 性 署名者 検証者 正当性 偽 不可 性

20. 々なグループ署 式 々な を持ったグループ署 式について

21. 失 可 グループ署 式 署名者 また不正 しちゃえ ⼀度 された同じ不正者が，何度も同じ不正をすることを ぐため，

    メンバを失 可 にする． ①登録 ②署名 ④追跡  依頼 ⑤不正な追跡 GM ③検証 署名者 検証者 失効を 検証 追跡 された 失効リスト

22. 性 散型グループ署 式 ①登録 ②署名 ④追跡  依頼 ⑤不正な追跡 GM ③検証

    署名者 検証者 裏切っ たら？ ①登録 ②署名 ④追跡  依頼 ⑤複数の GMが協⼒ して追跡 分散されたGM ③検証 署名者 検証者 GM の不正による不正な を ぐため，GM を 散する． 複数のGM で協⼒して 追跡 Lu,
    Tingting,
    et
    al.
    Group
    Signatures
    with
    Decentralized
    Tracing.

23. まとめ 発 のまとめ

24. まとめ 責任をとるべきは不正者 責任を るべきなのは，不正を⾏った であり， 者（サービス提供側）ではない． 可 性とプライバシ 不正者の し責任を

    すべきだが，仕 みに不正 者 のプライバシに する 念がある． 匿 式とグループ署 式 プライバシと不正の を 立するために，匿 技 が研 されており，グループ署 式という技 は，匿 技 に利⽤される． 々なグループ署 式 ⼀度 された同じ不正者が，何度も同じ不正をする ことを ぐため，メンバを失 可 にするグループ署 や，GM の不正による不正な を ぐため，GM を 散したグループ署 式が 在する．

25. 責任 るべき なのは不正者 みんな思い せ