うーん、でも共同通信は「新型含む全て」といってるんだよな。鍵が共通だと。にわかに信じられんが…。この増田の通りだったらいいのにな、と言うきもち。一応共同通信ではGMOに検証依頼して確認してるんだよな。
2017年なら古い絵柄のSUICAとか? "問題の範囲 古いFericaを搭載しているカード(≒2017年以前のカード)"
Fericaってなに?
「はっきり言って共同通信の報道の仕方がアホすぎ」
なんかもうすでにそれこそ独自解釈して踊り始めてる人発生してるのほんまおもろい
2011年以前のSuicaは実は互換切れしてるって事?
(本件と直接関係ないけど)FeliCaをやけに見下す人っているよね。あの人達って、昔まだiPhoneにFeliCa載ってなかったときに「あんなもの要らない!!」ってやってた人達の残党だと思う。
あー俺のSuica該当してそう…普段自動車だから飲みに出るのにJR乗る時くらいしか使ってないけど
古いFelicaが危ない←正しい / 新しいFelicaも同じ鍵を使ってる←共同がリーク者の説明を鵜呑みにしたor誤解した ...という真相なんじゃないかと推測してる
大量に流通した入手が容易な旧カードと(共同が書いている)現在の仕様のカードと鍵が同じという事がちょっと困った話、というやつでは。履歴の"物販"表示が"ネコチャン"に変えられる程度なら、かすり傷というやつ。
もしTripleDESが原因ならもっとずっと前から問題になってる筈では
古いだけでなくて一部のチップって限定してるし3desだけの問題じゃなさそうだけどなぁ。新しいカード持ってても他人が古いカード改ざんしてなりすましとかやられると困るから気になってる。
残高の期限決めとけば
わしのPASMO、たぶん2009年発行だな。
ソースが共同通信というだけで眉毛に唾をつけて読まなければいけないので共同以外の詳細な解説待ち
3DES 起因というのは状況証拠でしかないので報道を罵るには早いかなという気持ち
鍵が共通、の意味がわからないのはその通りなのだが暗号方式違うから鍵も違うはず、は推論でしかないなあ 発表が全体的にふわりとしてて、何か根本の部分で落とし穴が見つかってしまったような予感もする
この脆弱性を報告した会社の決算書 https://k.secure.freee.co.jp/companies/773572/announces
末尾に「ェ…」って付けるやつ久々に見たな……。
プロダクトの名称すら間違って書いちゃうような人間が裏事情はおそらくこうですとか言い出してもねえ。
トリプルDESという教科書でしか見ないような太古の暗号が使われているという。トリプルDESが脆弱なのは昔からだがなぜ今更。Felicaの通信距離的に、意図して端末に近づける時以外は読み取られにくそうではある
ワイのPASMOも10年以上前に作ったやつだからアウトだろうな。とは言え、物理的にリーダーで読み取る必要があるわけで、ネット上で総当たりするのとは難易度が違うわなあ。
鍵が複数ある可能性があるんだよな。個人的に懸念しているのは、2017年以前の古い3DESの鍵Aを破ることで鍵Bを入手。そんで鍵AはAESの鍵A'になったが、鍵B自体はずーっと使われ続けているという可能性。
DESは56bit、AESは128bit以上でそもそも鍵長が違うんよね
物理的な接触がないといけないのにどうやって第三者のものを書き換えるのか気になった
新聞記者の用意したカードで金額の改竄をデモンストレーションしたらしいけどカードが古かった? https://x.com/ukai_23ku/status/1961176436896907369
暗号アルゴリズムの危殆化を考えると、どんな暗号でもいつかは危殆化するので、「今」は心配せず使えばいいさ。
共同通信自体がセキュリティホールみたいなもんじゃん
したり顔で言ってる増田も根拠がなければ【独自研究】の域を出ないのである
鍵が違うで思い出したのは、パスワードの規定を8桁から16桁に変えたとき、残りの桁を0で埋めたという話だな。人間ってサイコーだな!と思ったわ
まあ今のところ、PaSoRiの繋がったPCやFelica読めるスマホなどが変なマルウェアに感染しないよう注意しましょう、ぐらいに考えてる。
とはいえブースト噛ました違法なR/Wでも使わない限りなんも出来んので(後はクレカスキミングする程度の反社な店)、基本的になんも気にしなくて良いと思うけど。「タッチ」レベルで出力絞った意味は強い。
詐欺にあうってのはユーザーじゃなくてJRとかのサービス提供側って話や 旧型suicaの残高をクラック側で2万にして買い物仕放題にできる可能性があるって事やろ suicaは末端側で処理を終えてるから検知できない
情報整理感謝。わかりやすい。私もWikipediaでAES暗号を使ったFeliCaが出ているというのを見て、ちょっと安心していた。共同通信の記事はただ不安を煽るだけだわ。
ローカルで完結するような用途(入館証とか)だと危うげだよな。
マイナンバーカードで定期的に物理カードの作り直しが必要になるのは、こういうこと (危殆化) が起きるからだと思っています
同人誌で個人でFericaの決済・実装試した人とか居たので、話聞いてみたいかも
だけども世論やマスコミが「Suicaコワイ」とか言い出して新旧関係なく面倒な認証が増えタッチだけでは使えなくなり...
影響ありそうなのSonyの社員証だけだったりして
コメントを見て。新しいカードに影響があるのは「取り出された暗号鍵を使って正規の通信をされた場合」だってどこかのニュースに書いてあった。
発見者?の会社、バーチャルオフィスに資本金1万円で貸借対照表はぶら下げ(助成金絡み?)、github解説してるけど公開ゼロ、けど共同通信はこの会社に調査を"依頼" https://tinyurl.com/22xe4afq https://tinyurl.com/24ekvseo は胡散臭
http://linode.mono.ca.gov/%E2%80%9Cwill-coinbase-refund-me-if-i-get-scammed%E2%80%9D-helpdesk http://linode.mono.ca.gov/%E2%80%9Cwill-coinbase-refund-me-if-i-get-scammed%E2%80%9D-helpdesk
【独自?】Fericaが破られたと言う件はたぶん古いDES暗号のこと【共同通信ェ】
うーん、でも共同通信は「新型含む全て」といってるんだよな。鍵が共通だと。にわかに信じられんが…。この増田の通りだったらいいのにな、と言うきもち。一応共同通信ではGMOに検証依頼して確認してるんだよな。
2017年なら古い絵柄のSUICAとか? "問題の範囲 古いFericaを搭載しているカード(≒2017年以前のカード)"
Fericaってなに?
「はっきり言って共同通信の報道の仕方がアホすぎ」
なんかもうすでにそれこそ独自解釈して踊り始めてる人発生してるのほんまおもろい
2011年以前のSuicaは実は互換切れしてるって事?
(本件と直接関係ないけど)FeliCaをやけに見下す人っているよね。あの人達って、昔まだiPhoneにFeliCa載ってなかったときに「あんなもの要らない!!」ってやってた人達の残党だと思う。
あー俺のSuica該当してそう…普段自動車だから飲みに出るのにJR乗る時くらいしか使ってないけど
古いFelicaが危ない←正しい / 新しいFelicaも同じ鍵を使ってる←共同がリーク者の説明を鵜呑みにしたor誤解した ...という真相なんじゃないかと推測してる
大量に流通した入手が容易な旧カードと(共同が書いている)現在の仕様のカードと鍵が同じという事がちょっと困った話、というやつでは。履歴の"物販"表示が"ネコチャン"に変えられる程度なら、かすり傷というやつ。
もしTripleDESが原因ならもっとずっと前から問題になってる筈では
古いだけでなくて一部のチップって限定してるし3desだけの問題じゃなさそうだけどなぁ。新しいカード持ってても他人が古いカード改ざんしてなりすましとかやられると困るから気になってる。
残高の期限決めとけば
わしのPASMO、たぶん2009年発行だな。
ソースが共同通信というだけで眉毛に唾をつけて読まなければいけないので共同以外の詳細な解説待ち
3DES 起因というのは状況証拠でしかないので報道を罵るには早いかなという気持ち
鍵が共通、の意味がわからないのはその通りなのだが暗号方式違うから鍵も違うはず、は推論でしかないなあ 発表が全体的にふわりとしてて、何か根本の部分で落とし穴が見つかってしまったような予感もする
この脆弱性を報告した会社の決算書 https://k.secure.freee.co.jp/companies/773572/announces
末尾に「ェ…」って付けるやつ久々に見たな……。
プロダクトの名称すら間違って書いちゃうような人間が裏事情はおそらくこうですとか言い出してもねえ。
トリプルDESという教科書でしか見ないような太古の暗号が使われているという。トリプルDESが脆弱なのは昔からだがなぜ今更。Felicaの通信距離的に、意図して端末に近づける時以外は読み取られにくそうではある
ワイのPASMOも10年以上前に作ったやつだからアウトだろうな。とは言え、物理的にリーダーで読み取る必要があるわけで、ネット上で総当たりするのとは難易度が違うわなあ。
鍵が複数ある可能性があるんだよな。個人的に懸念しているのは、2017年以前の古い3DESの鍵Aを破ることで鍵Bを入手。そんで鍵AはAESの鍵A'になったが、鍵B自体はずーっと使われ続けているという可能性。
DESは56bit、AESは128bit以上でそもそも鍵長が違うんよね
物理的な接触がないといけないのにどうやって第三者のものを書き換えるのか気になった
新聞記者の用意したカードで金額の改竄をデモンストレーションしたらしいけどカードが古かった? https://x.com/ukai_23ku/status/1961176436896907369
暗号アルゴリズムの危殆化を考えると、どんな暗号でもいつかは危殆化するので、「今」は心配せず使えばいいさ。
共同通信自体がセキュリティホールみたいなもんじゃん
したり顔で言ってる増田も根拠がなければ【独自研究】の域を出ないのである
鍵が違うで思い出したのは、パスワードの規定を8桁から16桁に変えたとき、残りの桁を0で埋めたという話だな。人間ってサイコーだな!と思ったわ
まあ今のところ、PaSoRiの繋がったPCやFelica読めるスマホなどが変なマルウェアに感染しないよう注意しましょう、ぐらいに考えてる。
とはいえブースト噛ました違法なR/Wでも使わない限りなんも出来んので(後はクレカスキミングする程度の反社な店)、基本的になんも気にしなくて良いと思うけど。「タッチ」レベルで出力絞った意味は強い。
詐欺にあうってのはユーザーじゃなくてJRとかのサービス提供側って話や 旧型suicaの残高をクラック側で2万にして買い物仕放題にできる可能性があるって事やろ suicaは末端側で処理を終えてるから検知できない
情報整理感謝。わかりやすい。私もWikipediaでAES暗号を使ったFeliCaが出ているというのを見て、ちょっと安心していた。共同通信の記事はただ不安を煽るだけだわ。
ローカルで完結するような用途(入館証とか)だと危うげだよな。
マイナンバーカードで定期的に物理カードの作り直しが必要になるのは、こういうこと (危殆化) が起きるからだと思っています
同人誌で個人でFericaの決済・実装試した人とか居たので、話聞いてみたいかも
だけども世論やマスコミが「Suicaコワイ」とか言い出して新旧関係なく面倒な認証が増えタッチだけでは使えなくなり...
影響ありそうなのSonyの社員証だけだったりして
コメントを見て。新しいカードに影響があるのは「取り出された暗号鍵を使って正規の通信をされた場合」だってどこかのニュースに書いてあった。
発見者?の会社、バーチャルオフィスに資本金1万円で貸借対照表はぶら下げ(助成金絡み?)、github解説してるけど公開ゼロ、けど共同通信はこの会社に調査を"依頼" https://tinyurl.com/22xe4afq https://tinyurl.com/24ekvseo は胡散臭
http://linode.mono.ca.gov/%E2%80%9Cwill-coinbase-refund-me-if-i-get-scammed%E2%80%9D-helpdesk http://linode.mono.ca.gov/%E2%80%9Cwill-coinbase-refund-me-if-i-get-scammed%E2%80%9D-helpdesk