もういちど「ソニー病」3――太鼓もちメディア
http://facta.co.jp/blog/archives/20061221000298.html
ソニー、「FeliCa」に関する報道についてコメント発表
http://release.nikkei.co.jp/detail.cfm?relID=149146&lindID=1
FeliCaの暗号が破られた?――ソニーは完全否定
http://www.itmedia.co.jp/news/articles/0612/20/news103.html
記事ではFeliCaの暗号が危険な根拠として、(1)FeliCaは共通鍵方式を採用したため、公開鍵方式に比べて破られやすい、(2)現行FeliCaが採用しているEEPROMを利用したシステムではセキュリティのレベルが低い、という2点を挙げている。また、暗号解析のデモンストレーションを見たという人物が「本来は見えないはずのIC内の情報があっさりと見てとれただけでなく、その改変も可能だった」とコメントしている。
本来であれば記事からの直接の引用が妥当であるが、年間購読スタイルかつ書店での販売が行われていないために、ITmediaの記事を真として展開する。Felicaとは非接触ICカードで、乗車券や電子マネー、社員証等に用いられることが多い。
http://ja.wikipedia.org/wiki/FeliCa
http://www.sony.co.jp/Products/felica/abt/dvs.html
Wikipediaによると、Felicaでは相互認証時に3DESを、通信時にDESを利用しているという。DESとは、1977年より米国政府の標準として採用された暗号アルゴリズムで、AESに置き換わるまで主要な役割を果たしてきたものである。
http://ja.wikipedia.org/wiki/AES%E6%9A%97%E5%8F%B7
http://itpro.nikkeibp.co.jp/article/COLUMN/20060925/248854/
DESは暗号化に用いる鍵と復号化に用いる鍵に同じ鍵を使う共通鍵暗号方式である。鍵を秘密にしておく限り、メッセージの秘匿性は確保できる。DESが採用された当初、軍の機密に相当する情報の暗号に適した物ではなく、1976年当時、私用に耐えうるものであった。
In 1976, DES became the government's standard encryption algorithm for "sensitive but unclassified" traffic. This included things like personal, financial and logistical information.
http://www.schneier.com/blog/archives/2004/10/the_legacy_of_d.html
暗号が破られたと記事にはあるが、Felicaの通信時に採用されているDESはすでに線形解読法などへの耐性が低いことは実証されている。また、鍵総当たり攻撃よりもどの程度短い時間での解析が行われたのかが公表されていないために、現実の脅威となるかも定かではない。
http://c4t.jp/introduction/cryptography/cryptography08.html
DESの安全性が指摘された後、DESを3回施す3DESが提唱された。3DESでは鍵を2本もしくは3本用意した後に、暗号→復号→暗号とそれぞれ異なる鍵で暗号化処理を行う。
http://dictionary.rbbtoday.com/Details/term2296.html
Felicaでは相互認証時に3DESを用いて、通信時にDESを用いることから、可能性としては総当たり攻撃への耐性が低いDESが解読されたと推測できる。ただ、暗号の解読自体ではその脅威は限定的で、むしろITmediaに指摘されている
また、暗号解析のデモンストレーションを見たという人物が「本来は見えないはずのIC内の情報があっさりと見てとれただけでなく、その改変も可能だった」とコメントしている。
上記部分に関しては、真偽を確かめる必要がある。「見たという人物」「可能だった」だけでは、本当にFelicaが不正な攻撃に遭う可能性があるのかどうかまでを読み取ることはできず、単に今後攻撃に転用される危険性を内包しているだけなのかもしれない。
RFIDでも同様の危険性が指摘されており、リスク軽減策としてRFID搭載のクレジットカードをある特定の搬送波の影響を受けなくする財布などを利用すると良いとされている。
Consumers can today purchase Faraday cages in the form of wallets and slip-cases to shield their RFID-enabled cards against unwanted scanning
Vulnerabilities in First-Generation RFID-enabled Credit Cards
http://prisms.cs.umass.edu/~kevinfu/papers/RFID-CC-manuscript.pdf
--
2006/12/21 22:00 追記。
Felicaは1本の同じ鍵を延々と使うのではありません。相互認証時には3DESで認証を行い、その時に生成した乱数を用いて通信時のDESの鍵とします。あくまで通信時の鍵であり、最大8つ設定できる階層ごとの認証の鍵とは異なります。通信時の鍵は動的に生成されるために、リプレイアタックにも抵抗性を持ちます。
非接触ICに最適化された「FeliCa」の正体
http://www.atmarkit.co.jp/frfid/special/felica/felica03.html
また、問題とされている縮退鍵ですが、ファイル1つ1つの鍵を個別に認証していては時間がかかるために、1つにまとめようというものです。通信時の鍵が判別されたとしても、それは使い捨ての共通鍵によって暗号化されており、膨大な数の平文を集めた上で解析がはじめて行われる可能性が生まれるものです。
1本の鍵がたとえ分かったとしても、それはアプリケーションごとに設定される鍵なので、他のアプリケーションや実データには影響を及ぼしません。これをFelicaの解説ではアプリケーションファイアーウオールと呼んでいます。
[4] マルチアプリケーション
http://www.sony.co.jp/Products/felica/abt/dvs.html
--
2006/12/21 22:30 追記。
えんえんと朝から考えたものの、スラッシュドットの書き込みが本当ならば、閉口してしまいます。
http://slashdot.jp/security/06/12/21/0549208.shtml
FACTA1月号20ページには、「カードの表面をはがすとICが露出した」と。これを問題視しているようです。ICチップの部分は樹脂で封止してあり、これははがそうと思えばはがせますし、削れます。接触型のICカードなどをみると、よくわかります。そうすればピカピカ光るICチップが出てくるのはふつうのこと。
カード表面をはがして、そのカードが使い物になるかどうかは再考の余地がありますし、一般的には以下の流れでハードウエアハッキングを行います。
1. 樹脂コーティングなどの、物理的保護を回避
2. 回路破損等の侵入検知機構の回避
3. 回路図の作成
4. メモリの読み出し
5. 暗号解読
ICチップが見えるようになったとしても、単にはがしただけでは回路にダメージが残るでしょうから、Felicaにも備わっているであろう侵入検知機構で止められるはずです。上記を耐タンパー性と呼びまして、これをすべて回避して初めてFelicaの暗号化機能が破られたというのならば、危機感を抱く必要も出てきます。
アキバニュースでは違った角度で展開されており、暴露系ウイルスにひっかかり、流出したのではないかとあります。
Suica、Edy、おサイフケータイの技術「FeliCa」の暗号が破られた!?
http://www.new-akiba.com/archives/2006/12/suicaedyfelica.html
Suica・Edyの「FeliCa」の暗号が破られたのは実はWinny「キンタマ」が原因?
http://www.new-akiba.com/archives/2006/12/suicaedyfelicawinny.html
3DESによる相互認証開始時に、内蔵されている秘密鍵を使うか、チャレンジレスポンス認証の後に鍵を交換するかは定かではありませんが、核となるマスターキーの生成方法がばれなければ安全といえるでしょう。
鍵の仕様書が流出したとしても、それをいかにしてFelicaカードに書き込むかが問題となります。また、そこまで時間をかけたとして、十分な対価が得られるのかどうかも疑問です。となると、まだまだ上の記事は推測の域を出ず、暗号が破られたのとそれが攻撃に転じるだけの魅力がある物かを考える必要があるでしょう。
