Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SecHack365 '19 愛媛回発表

Izuho Fujiwara
December 01, 2019
Programming
0
630

SecHack365 '19 愛媛回発表

暗号通貨サービスとQRコードを活用した署名システムの提案

Izuho Fujiwara

December 01, 2019
Tweet

More Decks by Izuho Fujiwara

See All by Izuho Fujiwara
Passkey 概論 ~ はてな 秋の京都オフ会 ~
fujiwaraizuho
0
270
はじめての、シビックテック
fujiwaraizuho
1
99
SecHack365 '19 最終発表
fujiwaraizuho
0
810
SecHack365 '19 中間発表
fujiwaraizuho
0
690

Other Decks in Programming

See All in Programming
あれやってみてー駆動から成長を加速させる / areyattemite-driven
nashiusagi
1
200
Mermaid x AST x 生成AI = コードとドキュメントの完全同期への道
shibuyamizuho
0
160
MCP with Cloudflare Workers
yusukebe
2
210
Monixと常駐プログラムの勘どころ / Scalaわいわい勉強会 #4
stoneream
0
250
競技プログラミングへのお誘い@阪大BOOSTセミナー
kotamanegi
0
340
SymfonyCon Vienna 2025: Twig, still relevant in 2025?
fabpot
3
1.2k
これが俺の”自分戦略” プロセスを楽しんでいこう! - Developers CAREER Boost 2024
niftycorp
PRO
0
180
物流システムにおけるリファクタリングとアーキテクチャの再構築 〜依存関係とモジュール分割の重要性〜
deeprain
1
1.2k
ソフトウェアの振る舞いに着目し 複雑な要件の開発に立ち向かう
rickyban
0
890
わたしの星のままで一番星になる ~ 出産を機にSIerからEC事業会社に転職した話 ~
kimura_m_29
0
170
Haze - Real time background blurring
chrisbanes
1
500
コンテナをたくさん詰め込んだシステムとランタイムの変化
makihiro
1
110

Featured

See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Being A Developer After 40
akosma
87
590k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
28
900
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
1
160
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
510
Fireside Chat
paigeccino
34
3.1k
For a Future-Friendly Web
brad_frost
175
9.4k
Adopting Sorbet at Scale
ufuk
73
9.1k
Side Projects
sachag
452
42k
Making the Leap to Tech Lead
cromwellryan
133
9k

Transcript

  1. SecHack365 '19 愛媛回発表 暗号通貨サービスとQRコードを活用した署名システムの提案 開発駆動コース仲山ゼミ 藤原 出帆 1

  2. 秘密鍵 暗号通貨 送 金 依 頼 出 金 暗号通貨サービス 署名

    ウォレット トランザクション 送信 利用者 署名システムについて 2

  3. 秘密鍵 暗号通貨 出 金 暗号通貨サービス 署名 ウォレット トランザクション 送信 利用者

    署名システムについて 送 金 依 頼 3

  4. 秘密鍵 署名 トランザクション 署名システムについて 4

  5. 秘密鍵 署名 トランザクション 署名システムについて 重要 5

  6. 秘密鍵 署名 トランザクション 署名システムについて 重要 こんな重要なもの管理したくない 6

  7. 秘密鍵を利用者に管理させる 利用者 秘密鍵 7

  8. 秘密鍵を利用者に管理させる 利用者 ? CASE1 よくわからないけど秘密鍵消えました 8

  9. 秘密鍵を利用者に管理させる 利用者 秘密鍵 ? 攻撃者 攻撃 CASE2 秘密鍵を保管している端末のセキュリティが 弱すぎて盗まれました ?

    9

  10. 秘密鍵を利用者に管理させる 利用者 秘密鍵 ??? 利用者に秘密鍵を管理させるのはすごく難しい 10

  11. 既存の署名システム 11

  12. 既存の署名システムについて 運営者が利用者の秘密鍵を管理する方法 • 運営者の意図だけで送金できてしまう → 改正資金決済法の暗号資産カストディ業務に関する規制に該当する為 金融庁へ仮想通貨交換業の申請を行う必要がある • サーバーに秘密鍵が保存されている 問題点

    利用者 運営者 トランザクション 送金依頼 署名 12

  13. 既存の署名システムについて 外部ウォレットと連携する方法 問題点 • 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の管理を 自己で行う必要があるためUI / UXが悪くなってしまう • 外部ウォレットサービスに依存する

    利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼 13

  14. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 14

  15. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 15

  16. UI / UXが悪くなってしまう理由 外部ウォレットと連携する方法 利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼

    16

  17. 外部ウォレットと連携する方法 利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼 サービスが別なので新規登録が複数回必要 UI /

    UXが悪くなってしまう理由 17

  18. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 18

  19. QRコードを活用した署名システム 19

  20. QRコードを活用した署名システム サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化 AES-256-CBC

    復号 iv salt 署名 トランザクション 送 信 クライアントサイド サーバーサイド 20

  21. QRコードを活用した署名システム 生成 サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化

    AES-256-CBC 復号 iv salt 署名 トランザクション 送 信 21

  22. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 22

  23. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 23

  24. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 24

  25. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 25

  26. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 26

  27. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 27

  28. QRコードを活用した署名システム 署名 サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化

    AES-256-CBC 復号 iv salt 署名 トランザクション 送 信 28

  29. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 29

  30. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 30

  31. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 31

  32. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 32

  33. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 33

  34. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 34

  35. QRコードを活用した署名システム サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化 AES-256-CBC

    復号 iv salt 署名 トランザクション 送 信 クライアントサイド サーバーサイド 35

  36. とりあえず生成部分作ってみた 36

  37. None

  38. 何が変わるのか very_strong_password 長過ぎるプライベートキー 署名用パスワードとQR army+describe+draft+soon+famous+ razor+duty+shoulder+hockey+blosso m+critic+degree+vendor+rebel+note +junior+scatter+educate+park+kidne y+dentist+health+museum+firs 38

  39. まとめ • 秘密鍵はとっても重要 • 秘密鍵を利用者に管理させるのは危険 • 既存の署名システムには問題がある • 利用者の意図なしに運営者が送金できてしまうため、改正資金決済 法の暗号資産カストディ業務に関する規制に該当する可能性がある

    • サービスごとに新規登録を行う必要があるためUI / UXが悪くなって しまう • QRコードを活用した署名システムを導入すればUI / UXの問題を解決し つつ安全に秘密鍵を管理できる • QRコードを活用した署名システムを導入した簡易暗号通貨ウォレット つくってバグハンティング • QRコードを活用した署名システムをゼニマに導入してローンチしたい こと • 発展: QRコードの管理の仕方やQRコードであるべきか? 39