パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iPhone 5sのセキュリティコプロセッサのファームウェア復号鍵が公開される」記事へのコメント

  • by Anonymous Coward

    > なお、暗号化されたファイルシステムの復号が可能になるわけではなく、
    > Secure Enclave自体のセキュリティを低下させるものではないという。

    非公開であることがセキュリティにおける一つのよりどころであったものについて、
    その内容が公開状態になったことはセキュリティの低下そのものですよね

    シャドウ化されたパスワードファイルなら流出しても問題ないんだって言われてるくらいの違和感があります

    ソースの真偽も含めてですが、本当にOSを復号できてしまうなら、
    iPhone5SのTouchIDを強制的に無効化するアップデートを配信しておいたほうがいいんじゃないでしょうか

    ※ 先のシャドウパスワードの例でいえば、全ユーザのパスワードを一度Revokeして強制的に再設定させるような対策をとるべきという感じでしょうか

    • by Anonymous Coward

      > シャドウ化されたパスワードファイルなら流出しても問題ないんだって言われてるくらいの違和感があります

      流石にそこまでの違和感はない。
      だって、ファームウェアはプログラムであり、実際の暗号化された情報は見れないわけですから。
      「shadowファイルを扱っているOSにログインはできたけど、
       shadowファイルは権限がついてないので見れませんでした。」
      ぐらいの状況でしょう。

      もちろん、ファームウェアの中身が分かることにより
      セキュリティホールなどを見つけやすくなると思うので
      セキュリティリスクは高まったと思いますがね。

      • by Anonymous Coward on 2017年08月22日 17時02分 (#3265397)

        >セキュリティリスクは高まったと思いますがね。

        鍵がバレたというのは、リスクが高まったとも言えるし低くなったとも言える。

        ・OSのバイナリを解読できる鍵を読み取ることに、どこかのハッカーが成功した。読み出された鍵は公開されていない

        この状態だと、メーカー以外に、そのハッカーだけがそのOSのセキュリティーホールを見つける
        アドバンテージを持つことになって、セキュリティリスクは高まったことになる。

        ・読み出された鍵が公開された

        という事になれば、今度は、みんなで寄ってたかってセキュリティホールを探せるので、
        悪い奴が見つけるより先に、正義の味方が見つけて通報してくれる可能性が増え、世の中は安全になる。

        そもそも、その鍵が抜き出されないということに大きな期待を置く戦略はセキュリティ上よろしくない。
        クラッカーの邪魔をするためにある程度は隠す実装にしておくのは間違いじゃないけど、
        もし、誰かが読み出したような気配があれば、積極的に公開すべき。

        親コメント

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...