ICチップを埋め込んで認証するのには、「牛や豚などの家畜じゃあるまいし」という拒否感もある。最近以下のようなニュースもあり、賛否両論である。
News Week: 2017年8月1日(火) 米国企業で初、従業員の体内へのマイクロチップの埋め込みを実施 http://www.newsweekjapan.jp/stories/world/2017/08/post-8107_1.php
より以下に写真。右手の甲にマイクロチップを埋め込み、入退場、自動販売機の精算等ができる
右手の甲に埋め込まれるRFIDチップ |
認証している場面(冒頭記事にある紹介ビデオより) |
記事中にある懸念・課題は
- セキュリティ)チップは暗号化されているというが本当に安全か?
- プライバシー)常時監視されるおそれがある
- 人体への安全性)
個人認証の難しさ)
- 認証(Authentification)の根拠問題)
- 戸籍謄本・抄本、米国で言うBirth Certificate には顔写真がなく、悪意を持って引き出して他人になりすますことができる。
会社やweb siteの認証につかわれるhttpsも、公開鍵暗号が使われるが認証局がその公開鍵を管理することで、正当性を認証するが、認証局への登録の正当性、認証局の信頼性が課題になる。以下の参考記事のような事件も起きている。
参考記事): https://japan.cnet.com/article/35104053/ グーグル、中国の認証局WoSignの証明書を拒否へ--「Chrome 61」から Charlie Osborne (CNET News) 2017年07月11日 - ID盗難問題)
- 電子的な盗難: 電池不要な受動式で安価な非接触方式としてICタグがあるが、wikipedia: ICタグ: http://bit.ly/2fciOx9 にあるようにこれはEPCコードという固有のIDを送って判別する。したがって、コードを盗む悪意の端末にかざしたり、盗聴されると簡単にIDが盗まれうる。
Suica(方式はFelica: https://ja.wikipedia.org/wiki/FeliCa ) や、それとMiFare (https://ja.wikipedia.org/wiki/MIFARE ) を統合した最新のNFCカード方式( http://www.orangetags.co.jp/what_felica.html )などでは、チャレンジレスポンス方式で、秘密鍵がもれなくなっていたり、通信が暗号化されている模様。 - 物理的な盗難: 手の甲の所定位置に埋め込むとわかっていれば、薬で本人を眠らせて、チップを抜き取りなりすます犯罪もおきえる。
- プライバシー問題)
- 個人が特定できる、かつ、非接触・受動式ということは、政府や企業が受信器をおけば、どこに誰が居るかつねに監視できる。これを、懸念する人がおおい。
対策)そこで、上記の各点に対して対策を考えてみた。後ほど説明を追加するが、まずは簡単に列挙する。
- 認証)子供が生まれた時に、一生使えるIC鍵を埋め込む。米国でいうSocial Security CardをID化して埋め込むようなもの。。この番号は一生変わらない。
- ID盗難問題)
- 電子的:十分な暗号長を持った、公開鍵暗号を用いたチャレンジレスポンス認証とする。秘密鍵は絶対にチップ外にでないので、電子的な盗難は非常に困難にできうる(後述)
- 物理的 :誕生時に手の甲など所定の位置にある、主鍵と、人によって場所が異なり、埋め込んだ医者しか知らない、認証鍵(それも複数)の両方を埋め込む。
入国審査や警察、入場チェック等信頼できる組織にチェック機をおき、主鍵のIDと認証鍵のIDの一致をチェックする。これらのIDが一致しなければ犯罪の可能性ありということで、物理盗難の抑止力とする。 - 冗長性)
- 右手の甲、左手の甲とか主鍵を複数場所に埋め込んで、故障時に備える。
- プライバシ)
- 主鍵単体では認証できないことにする。
- 主鍵は、ペアになっている活性化鍵と通信できないと、認証を行わない。活性化鍵は10cmとか近接距離に置かれ、これも受信センサから電源供給される方式にする。
- 活性化鍵は、たとえば、指輪や腕時計型の端末に入れる。
- このIDは、秘密鍵と違って漏れても、主鍵がなければ役に立たないので、電子データ(ファイル)で引き渡しても安全であり、貰ったデータに対して、ユーザが自分の好みにあった、端末、指輪、スマートウォッチ等を選択できる。
- 政府・勤務先に活性化鍵が漏れると、プライバシ管理を自分以外ができてしまう。ただし、政府や企業は、特定の活性化鍵がだれに対応するのか管理しないとならない。これは、活性化鍵を盗むと同時に顔認証に登録して、主鍵との関係を保存できてしまう。ともあれ、企業や政府が要請しても、安易に活性化鍵を出さないように、意識づけないとならない。
- 活性化鍵をoffにしておけば、プライバシーは漏れない。指輪型であれば指輪を外すなりすればよく、スマートウォッチ型であれば、手をかざしたときのみonになるとかすればよい。
- 将来的には、自分の意思で直接認証をコントロール(必要なときだけon)したい。筋電位等やBMI(Brain Machine Interface)が使えると思う。
チャレンジレスポンス認証・公開鍵認証とは)
今後記載
今後記載
実装例)
複数例を今後記載予定
1. スマートウォッチ型の活性化鍵と主鍵を用いた場合
1. スマートウォッチ型の活性化鍵と主鍵を用いた場合
- 認証端末が自分の公開鍵と秘密鍵で暗号化したランダム番号を活性化鍵に送る
(注: シーケンスのあいだじゅう、このランダム番号を公開鍵・秘密鍵で暗号化してやりとりする。すなわち、データを盗聴して、同じデータを再生して偽証しようとしても、やりとりごとに違うランダム番号を正当な方法で暗号化していなければ、偽証できない。) - 活性化鍵は、認証局に公開鍵を確認して、端末が誰かを確認。しつつ、受信したランダム番号を端末の公開鍵で解読(端末以外は公開鍵に対応した秘密鍵がないはずなので、これで端末が本物であることが認証できる)。そしてどの端末の認証リクエストを受けたのか記録する。
- 活性化鍵は、活性化用の秘密鍵・公開鍵のペアと、主鍵の公開鍵を持っている。
活性化秘密鍵で端末から受け取って解読したランダム番号を暗号化して、主鍵の公開鍵とともに端末に送る。
暗号化通信には、認証のための主鍵の公開鍵が必要で、それは、この操作で提供される。これが、次のstep4で本人認証にもなる。 - 端末は、主鍵の公開鍵を認証局に送って、主鍵を持っている本人を認証する。
端末は主鍵の公開鍵で、先に使ったランダム番号+質問状を暗号化して、活性化鍵から受け取った活性化秘密鍵で暗号化されたランダム番号と共に、主鍵に送る。 - 主鍵は、活性化公開鍵と主鍵の秘密鍵・公開鍵のペアを持っている。
- 活性化公開鍵で活性化鍵が活性化秘密鍵で暗号化したランダム番号を解読する。
- 主鍵秘密鍵で、端末が送った ランダム番号+質問状を解読する。
- 上記1,2のランダム番号が一致しないときは、不正リクエストとして無視。(つまり、活性化鍵が本物でない)
- 3をクリアした場合には、質問状に対して答えを書き、さらに受け取ったランダム番号をつけて、主鍵の秘密鍵で暗号化して、端末に送信する。
- 端末は受け取った、暗号を主鍵の公開鍵で解読し、ランダム番号が一致した場合に、質問状の答えを確認する。
随想)
もう3-4年前にFacebookで議論して、出た課題への対策を考えたまま眠らせていたのですが、実際に手に埋め込んだ冒頭記事がでてきたので思い出しました。
特許にしてひと財産.... とも思ったのですが、この程度のことは既に考えている人がいそう、専門家ならなおさら、、ですし、こういう一般例は公知にしてパテント・トロール http://bit.ly/2faJ2QG をブロックして、具体的な実装を考えて苦労した人にこそ特許を与えるのが良いとも思います。
まだまだ、いろいろ考えないとならないこともありますし、考えるのも面白そうです。大きなビジネスにするには施策も必要ですし、これも面白そうです。
もしも真面目にビジネスされたい方がいれば、連絡してください。大企業で社内政治に巻き込まれるのは歓迎しませんが。。ww
もしも真面目にビジネスされたい方がいれば、連絡してください。大企業で社内政治に巻き込まれるのは歓迎しませんが。。ww