Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SecHack365 '19 愛媛回発表

Avatar for Izuho Fujiwara Izuho Fujiwara
December 01, 2019
Programming
0
700

SecHack365 '19 愛媛回発表

暗号通貨サービスとQRコードを活用した署名システムの提案

Avatar for Izuho Fujiwara

Izuho Fujiwara

December 01, 2019
Tweet

More Decks by Izuho Fujiwara

See All by Izuho Fujiwara
Passkey 概論 ~ はてな 秋の京都オフ会 ~
Avatar for Izuho Fujiwara fujiwaraizuho
0
370
はじめての、シビックテック
Avatar for Izuho Fujiwara fujiwaraizuho
1
130
SecHack365 '19 最終発表
Avatar for Izuho Fujiwara fujiwaraizuho
0
880
SecHack365 '19 中間発表
Avatar for Izuho Fujiwara fujiwaraizuho
0
750

Other Decks in Programming

See All in Programming
React 19でつくる「気持ちいいUI」- 楽観的UIのすすめ
Avatar for Hiroshi Morishige himorishige
11
4.8k
ELYZA_Findy AI Engineering Summit登壇資料_AIコーディング時代に「ちゃんと」やること_toB LLMプロダクト開発舞台裏_20251216
Avatar for 株式会社ELYZA elyza
2
1k
脳の「省エネモード」をデバッグする ~System 1(直感)と System 2(論理)の切り替え~
Avatar for HideyukiKitao panda728
PRO
0
130
re:Invent 2025 のイケてるサービスを紹介する
Avatar for maroon1st maroon1st
0
160
Kotlin Multiplatform Meetup - Compose Multiplatform 외부 의존성 아키텍처 설계부터 운영까지
Avatar for Suhyeon Kim wisemuji
0
170
例外処理とどう使い分ける?Result型を使ったエラー設計 #burikaigi
Avatar for Takuma Kajikawa kajitack
16
4.9k
フロントエンド開発の勘所 -複数事業を経験して見えた判断軸の違い-
Avatar for Yoichiro Kubo heimusu
6
2.2k
ZJIT: The Ruby 4 JIT Compiler / Ruby Release 30th Anniversary Party
Avatar for Takashi Kokubun k0kubun
1
310
Combinatorial Interview Problems with Backtracking Solutions - From Imperative Procedural Programming to Declarative Functional Programming - Part 2
Avatar for Philip Schwarz philipschwarz
PRO
0
140
gunshi
Avatar for kazupon kazupon
1
140
Denoのセキュリティに関する仕組みの紹介 (toranoana.deno #23)
Avatar for uki00a uki00a
0
220
Spinner 軸ズレ現象を調べたらレンダリング深淵に飲まれた #レバテックMeetup
Avatar for 弁護士ドットコム bengo4com
1
210

Featured

See All Featured
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
420
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
187
22k
It's Worth the Effort
Avatar for 3n 3n
188
29k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
200
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
61
51k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
74
11k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.1k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9.1k
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
410
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
0
420

Transcript

  1. SecHack365 '19 愛媛回発表 暗号通貨サービスとQRコードを活用した署名システムの提案 開発駆動コース仲山ゼミ 藤原 出帆 1

  2. 秘密鍵 暗号通貨 送 金 依 頼 出 金 暗号通貨サービス 署名

    ウォレット トランザクション 送信 利用者 署名システムについて 2

  3. 秘密鍵 暗号通貨 出 金 暗号通貨サービス 署名 ウォレット トランザクション 送信 利用者

    署名システムについて 送 金 依 頼 3

  4. 秘密鍵 署名 トランザクション 署名システムについて 4

  5. 秘密鍵 署名 トランザクション 署名システムについて 重要 5

  6. 秘密鍵 署名 トランザクション 署名システムについて 重要 こんな重要なもの管理したくない 6

  7. 秘密鍵を利用者に管理させる 利用者 秘密鍵 7

  8. 秘密鍵を利用者に管理させる 利用者 ? CASE1 よくわからないけど秘密鍵消えました 8

  9. 秘密鍵を利用者に管理させる 利用者 秘密鍵 ? 攻撃者 攻撃 CASE2 秘密鍵を保管している端末のセキュリティが 弱すぎて盗まれました ?

    9

  10. 秘密鍵を利用者に管理させる 利用者 秘密鍵 ??? 利用者に秘密鍵を管理させるのはすごく難しい 10

  11. 既存の署名システム 11

  12. 既存の署名システムについて 運営者が利用者の秘密鍵を管理する方法 • 運営者の意図だけで送金できてしまう → 改正資金決済法の暗号資産カストディ業務に関する規制に該当する為 金融庁へ仮想通貨交換業の申請を行う必要がある • サーバーに秘密鍵が保存されている 問題点

    利用者 運営者 トランザクション 送金依頼 署名 12

  13. 既存の署名システムについて 外部ウォレットと連携する方法 問題点 • 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の管理を 自己で行う必要があるためUI / UXが悪くなってしまう • 外部ウォレットサービスに依存する

    利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼 13

  14. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 14

  15. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 15

  16. UI / UXが悪くなってしまう理由 外部ウォレットと連携する方法 利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼

    16

  17. 外部ウォレットと連携する方法 利用者 外部ウォレット トランザクション 署名 暗号通貨サービス 送金依頼 サービスが別なので新規登録が複数回必要 UI /

    UXが悪くなってしまう理由 17

  18. 利用者が暗号通貨サービスとは別のサービスに移動し秘密鍵の 管理を自己で行う必要があるためUI / UXが悪くなってしまう 改正資金決済法の暗号資産カストディ業務に関する規制に該 当する為金融庁へ仮想通貨交換業の申請を行う必要がある 問題1 問題2 既存の署名システムの問題点 18

  19. QRコードを活用した署名システム 19

  20. QRコードを活用した署名システム サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化 AES-256-CBC

    復号 iv salt 署名 トランザクション 送 信 クライアントサイド サーバーサイド 20

  21. QRコードを活用した署名システム 生成 サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化

    AES-256-CBC 復号 iv salt 署名 トランザクション 送 信 21

  22. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 22

  23. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 23

  24. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 24

  25. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 25

  26. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 26

  27. QRコードを活用した署名システム データベース 署名用 QRコード 署名用パスワード ウォレット ④ AES-256-CBC 暗号化 iv

    salt ①ランダム生成 クライアントサイド サーバーサイド QRコードの生成 27

  28. QRコードを活用した署名システム 署名 サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化

    AES-256-CBC 復号 iv salt 署名 トランザクション 送 信 28

  29. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 29

  30. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 30

  31. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 31

  32. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 32

  33. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 33

  34. QRコードを活用した署名システム データベース ④ AES-256-CBC 復号 クライアントサイド サーバーサイド QRコードで署名 署名用 QRコード

    署名用パスワード ⑤ 署名 トランザクション サーバー ⑥ 送 信 34

  35. QRコードを活用した署名システム サーバー データベース 署名用 QRコード 署名用パスワード ウォレット AES-256-CBC 暗号化 AES-256-CBC

    復号 iv salt 署名 トランザクション 送 信 クライアントサイド サーバーサイド 35

  36. とりあえず生成部分作ってみた 36

  37. None

  38. 何が変わるのか very_strong_password 長過ぎるプライベートキー 署名用パスワードとQR army+describe+draft+soon+famous+ razor+duty+shoulder+hockey+blosso m+critic+degree+vendor+rebel+note +junior+scatter+educate+park+kidne y+dentist+health+museum+firs 38

  39. まとめ • 秘密鍵はとっても重要 • 秘密鍵を利用者に管理させるのは危険 • 既存の署名システムには問題がある • 利用者の意図なしに運営者が送金できてしまうため、改正資金決済 法の暗号資産カストディ業務に関する規制に該当する可能性がある

    • サービスごとに新規登録を行う必要があるためUI / UXが悪くなって しまう • QRコードを活用した署名システムを導入すればUI / UXの問題を解決し つつ安全に秘密鍵を管理できる • QRコードを活用した署名システムを導入した簡易暗号通貨ウォレット つくってバグハンティング • QRコードを活用した署名システムをゼニマに導入してローンチしたい こと • 発展: QRコードの管理の仕方やQRコードであるべきか? 39