非公開 URL は安全か？あるいは、そのランダム文字列は本当にランダムなのか？

Transcript

1. 非公開 URL は安全か？ あるいは、 そのランダム文字列は本当にランダムなのか？

2. こういうやつ https://example.com/doc?id=xkaOeA13akB ↑ ランダム生成

3. 非公開 URL の特徴 URL さえ知っていれば誰でもアクセスできる でも URL を類推することは難しい （と、 されている）

   なので、 認証はなくても限定公開を実現できている 完全ではないが、 現実的に要件は満たしているのでOKというシーンで使われる

4. 似たようなものとして Email の存在確認する URL なんらかの招待リンクの URL クーポンコード / プロモーションコード OpenAI

   や Stripe などの API キー 要はランダム文字列の話

5. で、 これって本当に安全なの？

6. 心配なこと 1. 悪意ある人がランダム文字列を予測できるのでは 2. たまたまランダム文字列を当てちゃう運良すぎな人いるのでは

7. ランダム文字列は 予測できるのか？ 問題 問題

8. 解答 予測できる （前提条件あり）

9. 解説の前に… ランダム文字列の生成方法を紹介

10. ランダムな文字列を作るには乱数が必要 乱数 ＝サイコロを振って出る目のようなランダムな値 真の乱数をコンピュータで作ることは難しい そこで乱数を真似て生成している＝ 疑似乱数 その仕組が疑似乱数生成器 （PRNG: Pseudo Random

    Number Generator） 。 PRNG は、 初期値 （シード） から 数学的なアルゴリズムを用いて、 一見ランダムに 見える数列を生成 している
11. None
12. None

13. 固定周期から払い出すのを再現するとこんな感じ function PRNG(sequence) { let count = 0; return function

    rand() { return sequence[count++ % sequence.length]; }; } const rand = PRNG([3, 1, 4, 1, 5]); rand(); // 3 rand(); // 1 rand(); // 4

14. つまり、 擬似乱数は再現可能 次、 何が出るかも予測可能

15. 疑似乱数を固定にしてみる Demo その１ Demo その１

16. PHP で 1 から 100 までのランダム数値を出力 <?php echo rand(1, 100);

    // 実行するたびにランダム数値が出力される // 78 // 25 // 92 ちゃんとランダムになっているっぽいが

17. srand() でシードを指定 <?php srand(1); // シードを1に固定 echo rand(1, 100); //

    46 何回実行しても必ず 46 がでる // 46 入力 （シード） が同じなら結果も常に同じ 要は、 マイクラのシード。 同じシードをいれると同じ世界が生成される
18. None

19. 入力 （シード） が同じなら、 出力も同じ シードが分かれば、 次の乱数も計算できる

20. ゲームでよく聞く 「乱数調整」 というテクニックは、 主に入力のシード を特定し、 生成される乱数を欲しい値に調整する作業のこと 昔のゲームのシードは単純で起動してからの時間だったり起動時刻だ ったりするので特定が比較的容易 横道: ゲームと乱数

21. 出力された乱数から予測してみる Demo その２ Demo その２

22. Math.random() の結果を 4 つほど収集 Array.from({ length: 4 }, Math.random); //

    [ // 0.008320063101796449, // 0.9745605653695509, // 0.29882177297695456, // 0.2735565840354114, // ]

23. 結果を予測スクリプトに渡す js-randomness-predictor \ --environment chrome \ --sequence \ 0.008320063101796449 \

    # ←生成した乱数 0.9745605653695509 \ 0.29882177297695456 \ 0.2735565840354114

24. Math.random() の結果を予測してくれる { "predictions": [ 0.46791678559606964, 0.3496829756957368, 0.8239159568357115, ... ]

    }

25. なぜ出力だけで予測できる？ PHP のデモでは入力のシードを固定にすること で、出力を固定にすることで推測可能にした 一方 JS のデモでは、 シードは不明だが、 出力結果 だけで次の出力を推測した

26. Math.random は可逆的なアルゴリズムなので…

27. 可逆的というのは x + 10 = 15 という式があった時、 計算ロジックと解が分か れば、 一意の

    x を求めることができる、 ということ Math.random のアルゴリズムは JS エンジンによって異なるが、 Chrome の V8 では xorsh ift128+ が使われていて、 可逆的アルゴリズムである

28. 疑似乱数の出力結果だけでも予測できちゃう

29. つまり、 入力か出力が手に入っていて アルゴリズムが分かっていれば 疑似乱数は単なる数列になる

30. https://example.com/doc?id=xkaOeA13akB ↑ 悪意ある人に 予測されちゃう？

31. しかし

32. 入力は自動で決まる上に変わりやすいので特定が難しい 出力も表に出るのは加工された値なので精度が落ちてる もちろん脆弱な実装してたらアレです 実際には条件を揃えるのが難しい

33. None

34. 文字列だけで推測することは困難

35. https://example.com/doc?id=xkaOeA13akB ↑ じゃあ安全じゃん！

36. それでも

37. ランダム文字列から、 予測してみる Demo その３ Demo その３

38. None
39. None

40. https://example.com/doc?id=xkaOeA13akB ↑ 予測されちゃった

41. 今回の Math.random で使われている XorShift128+ は線形で可逆 的。 総当たりで入力値を計算するのは非現実的だが、 精度が落ちた出 力であっても計算範囲を狭められるので、 現実的に割り出すことがで

    きる Math.random の本来の出力結果は 53 ビットだが、 14 ビット程度に 丸められてても、 ノート PC で数分で入力値が出る。 スパコンなどだ と、 もっと精度が落ちてても計算できる （かも） 精度が落ちても計算可能 （時間はかかる）

42. 推測されて困る事に Math.random は使うな 正確に言うと暗号学的 擬似乱数生成器を使え

43. 暗号学的 擬似乱数生成器の例 import { randomBytes } from "node:crypto"; export function

    randomToken() { return randomBytes(32).toString("base64url"); } crypto.randomUUID();

44. 偶然、 当てちゃうことってないの？ おまけ おまけ

45. 例えば NU95SEV0flhvHVeypk4YD2Sqq3aT0Os8RTt0qomzW9M これは BASE64 エンコードで 43 文字種、 64 文字あるので、 文字種の

    組み合わせだけなら 64^43 で、2^258 の大きさ。 これは 「不可思議」 よりも遥かに大きい。 世界最高峰スパコンで総当り しても、 宇宙が誕生してから現在までの時間を 47 回繰り返しても、 ま だ全く足りない。 そして、 年末ジャンボ 1 等が 「11 年連続」 で毎年当たるくらい。

46. 安心してください

47. 安全です 生成方法さえ間違えてなければ