Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SecHack365 '19 愛媛回発表

Avatar for Izuho Fujiwara Izuho Fujiwara
December 01, 2019
Programming
0
670

SecHack365 '19 愛媛回発表

暗号通貨サービスとQRコードを活用した署名システムの提案
Avatar for Izuho Fujiwara

Izuho Fujiwara

December 01, 2019
Tweet

More Decks by Izuho Fujiwara

See All by Izuho Fujiwara
Passkey 概論 ~ はてな 秋の京都オフ会 ~
Avatar for Izuho Fujiwara fujiwaraizuho
0
320
はじめての、シビックテック
Avatar for Izuho Fujiwara fujiwaraizuho
1
110
SecHack365 '19 最終発表
Avatar for Izuho Fujiwara fujiwaraizuho
0
850
SecHack365 '19 中間発表
Avatar for Izuho Fujiwara fujiwaraizuho
0
720

Other Decks in Programming

See All in Programming
AI時代のソフトウェア開発を考える(2025/07版) / Agentic Software Engineering Findy 2025-07 Edition
Avatar for Takuto Wada twada
PRO
91
31k
PHPでWebSocketサーバーを実装しよう2025
Avatar for kubotak kubotak
0
290
プロダクト志向ってなんなんだろうね
Avatar for RightTouch righttouch
PRO
0
190
20250704_教育事業におけるアジャイルなデータ基盤構築
Avatar for Uchide Hiroki(ucchi-) hanon52_
5
810
おやつのお供はお決まりですか?@WWDC25 Recap -Japan-\(region).swift
Avatar for gangan shingangan
0
140
AI Agent 時代のソフトウェア開発を支える AWS Cloud Development Kit (CDK)
Avatar for Kenji Kono konokenj
2
170
レベル1の開発生産性向上に取り組む − 日々の作業の効率化・自動化を通じた改善活動
Avatar for kesoji kesoji
0
230
「Cursor/Devin全社導入の理想と現実」のその後
Avatar for Ryoichi Saito saitoryc
0
830
Advanced Micro Frontends: Multi Version/ Framework Scenarios @WAD 2025, Berlin
Avatar for Manfred Steyer manfredsteyer
PRO
0
210
Quand Symfony, ApiPlatform, OpenAI et LangChain s'allient pour exploiter vos PDF : de la théorie à la production…
Avatar for Ahmed EBEN HASSINE ahmedbhs123
0
200
Azure AI Foundryではじめてのマルチエージェントワークフロー
Avatar for 瀬尾佳隆 seosoft
0
180
Deep Dive into ~/.claude/projects
Avatar for Yuya Hirayama hiragram
14
2.6k

Featured

See All Featured
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
235
140k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.9k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
58
9.4k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
336
57k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
138
34k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
10
690
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.5k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.5k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
69
11k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
281
13k

Transcript

  1. SecHack365 '19 愛媛回発表 暗号通貨サービスとQRコードを活用した署名システムの提案 開発駆動コース仲山ゼミ 藤原 出帆 1

  2. 秘密鍵 暗号通貨 送 金 依 頼 出 金 暗号通貨サービス 署名

    ウォレット トランザクション 送信 利用者 署名システムについて 2

  3. 秘密鍵 暗号通貨 出 金 暗号通貨サービス 署名 ウォレット トランザクション 送信 利用者

    署名システムについて 送 金 依 頼 3

  4. 秘密鍵 署名 トランザクション 署名システムについて 4

  5. 秘密鍵 署名 トランザクション 署名システムについて 重要 5

  6. 秘密鍵 署名 トランザクション 署名システムについて 重要 こんな重要なもの管理したくない 6

  7. 秘密鍵を利用者に管理させる 利用者 秘密鍵 7

  8. 秘密鍵を利用者に管理させる 利用者 ? CASE1 よくわからないけど秘密鍵消えました 8

  9. 秘密鍵を利用者に管理させる 利用者 秘密鍵 ? 攻撃者 攻撃 CASE2 秘密鍵を保管している端末のセキュリティが 弱すぎて盗まれました ?

    9

  10. 秘密鍵を利用者に管理させる 利用者 秘密鍵 ??? 利用者に秘密鍵を管理させるのはすごく難しい 10

  11. 既存の署名システム 11

  12. 既存の署名システムについて 運営者が利用者の秘密鍵を管理する方法 • 運営者の意図だけで送金できてしまう → 改正資金決済法の暗号資産カストディ業務に関する規制に該当する為 金融庁へ仮想通貨交換業の申請を行う必要がある • サーバーに秘密鍵が保存されている 問題点

    利用者 運営者 トランザクション 送金依頼 署名 12

  13. 既存の署名システムについて 外部ウォレットと連携する方法 問題点 • 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の管理を 自己で行う必要があるためUI / UXが悪くなってしまう • 外部ウォレットサービスに依存する

    利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼 13

  14. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 14

  15. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 15

  16. UI / UXが悪くなってしまう理由 外部ウォレットと連携する方法 利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼

    16

  17. 外部ウォレットと連携する方法 利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼 サービスが別なので新規登録が複数回必要 UI /

    UXが悪くなってしまう理由 17

  18. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 18

  19. QRコードを活用した署名システム 19

  20. QRコードを活用した署名システム サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化 AES-256-CBC

    復号 iv salt 署名 トランザクション 送 信 クライアントサイド サーバーサイド 20

  21. QRコードを活用した署名システム 生成 サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化

    AES-256-CBC 復号 iv salt 署名 トランザクション 送 信 21

  22. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 22

  23. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 23

  24. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 24

  25. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 25

  26. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 26

  27. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 27

  28. QRコードを活用した署名システム 署名 サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化

    AES-256-CBC 復号 iv salt 署名 トランザクション 送 信 28

  29. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 29

  30. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 30

  31. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 31

  32. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 32

  33. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 33

  34. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 34

  35. QRコードを活用した署名システム サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化 AES-256-CBC

    復号 iv salt 署名 トランザクション 送 信 クライアントサイド サーバーサイド 35

  36. とりあえず生成部分作ってみた 36

  37. None

  38. 何が変わるのか very_strong_password 長過ぎるプライベートキー 署名用パスワードとQR army+describe+draft+soon+famous+ razor+duty+shoulder+hockey+blosso m+critic+degree+vendor+rebel+note +junior+scatter+educate+park+kidne y+dentist+health+museum+firs 38

  39. まとめ • 秘密鍵はとっても重要 • 秘密鍵を利用者に管理させるのは危険 • 既存の署名システムには問題がある • 利用者の意図なしに運営者が送金できてしまうため、改正資金決済 法の暗号資産カストディ業務に関する規制に該当する可能性がある

    • サービスごとに新規登録を行う必要があるためUI / UXが悪くなって しまう • QRコードを活用した署名システムを導入すればUI / UXの問題を解決し つつ安全に秘密鍵を管理できる • QRコードを活用した署名システムを導入した簡易暗号通貨ウォレット つくってバグハンティング • QRコードを活用した署名システムをゼニマに導入してローンチしたい こと • 発展: QRコードの管理の仕方やQRコードであるべきか? 39