固有IDのシンプル・シナリオ 149
ストーリー by yoosee
便利な仕組みの光と影 部門より
便利な仕組みの光と影 部門より
airhead 曰く、 "プログラミングやコンピュータに関する多くの著作/翻訳で知られる結城浩氏が先日、「固有IDのシンプル・シナリオ」という文章を公開されました。これは「固有のIDを発行することと読み取ることの組み合わせ」をごく簡単なシナリオと規定し、さまざまな固有IDの利用はそのシナリオの適用例としてとらえること、それを軸に視野を広げてセキュリティやプライバシーについて考えることを提案するもので、各自がシナリオを活用するための「固有IDのシンプル・シナリオ・チェックリスト」も提示されています。
同文書へのフィードバックを元にした関連Q&Aでは混同しがちな問題についても解説されていて、全体を通して非常にわかりやすいものになっています。また上記シナリオとは逆に、特定の技術(RFID)について総合的に考えるものとして「RFID反応リンク集」から反応リンク集スナップショットも収められており、こちらは広範囲で内容の充実したリンク集になっています。これらの問題を理解するための手引き、あるいは議論するための資料として有益と思われますので、是非ご一読を。"
森本氏ではなく (スコア:1)
Re:森本氏ではなく (スコア:1)
ここは私の加筆部分です。申し訳ないです。
せっかくシンプルシナリオというくらいだから (スコア:1)
他の方の話を見ていると
「毎回異なる ID を出せば良いのでは?」
という意見が出ていますが,正にそのとおりです.
問題は安価で安易なシステムではそのようなことをせず,
不特定多数の人に読み取られてしまう ID を用いることにあります.
暗号化すれば大丈夫? (スコア:0)
ここの回答は「ただ暗号化してもだめよ」という論調で書いてありますが、裏返せば
「毎回(もしくは一定時間寿命の)予測不能な異なるIDを吐くタグ」であればシンプルシナリオが適用できなくなるということではないですかね?
なんかはぐらかされてますが。
Re:暗号化すれば大丈夫? (スコア:1)
本当に予測不可能にしてしまうと、本来の目的である在庫管理などにすら役に立たなくなるのでは?
Re:暗号化すれば大丈夫? (スコア:0)
権限をもつ者にだけ判別可能であればよいのです
どこの誰にも判別不能なのは暗号じゃなくてただのノイズです
Re:暗号化すれば大丈夫? (スコア:1)
権限が誰かに奪取されたり、誰もが権限を持ち得たら
それはだめですよね。権限を守るってのは、それこそ
結構なコストになると思いますよ。
Re:暗号化すれば大丈夫? (スコア:2, すばらしい洞察)
この「誰か」「誰も」が実際に誰なのか、どういう運用をされるのかの
シナリオで、話は全然かわってくる。
危険性うんぬんをはじめとして、悪用、善用、メリット、デメリットはその前提に依存する。
でも固有IDの本質的な構造はかわらない。
という主張が、のが結城氏が「フレームワークとその適用例」という構成にした理由でしょう。
だから、危険だうんぬんは、その前提をはっきりさせた上で議論しないとね。
大事なのは、いろんなシナリオを想定してみて評価してみることではないかと。
例えば、仮にsuicaにタグがついて、予測不可能な暗号化がなされ、JRだけが復号の権限を持っている、というシナリオを想定します。
そのシナリオの上で、あなたはJRを信用してsuicaを使いますか?どうしますか?という判断が必要なのじゃないですか?
予測(同一性判断)不可能な暗号化がなされていたとしても、それを復号しうるJRをボブと解釈すれば「固有IDのシンプルシナリオ」の上にのるわけで、運用形態その他を判断してボブを信用するかどうかを決めることになるでしょう。
Re:暗号化すれば大丈夫? (スコア:1)
アクセス時刻と、その時点のIPさえあれば、そこそこ追えるんだけど。
結局、RFID叩きにしか見えないなぁ。
Re:暗号化すれば大丈夫? (スコア:3, 参考になる)
>IPアドレスも類似なのだが、
>アクセス時刻と、その時点のIPさえあれば、そこそこ追えるんだけど。
プロバイダに個人情報開示を請求しないとわからない(アクセス管理ドメインが限定されている)という点で、RFIDとは別ですよ。
ただ、常時接続でIPが固定になってきたというのは、RFIDと共通する問題で、高岸は同列に扱っていらっしゃります。
オープン化によるユビキタス普及・促進とプライバシー確保のジレンマ [nikkei.co.jp]
Re:暗号化すれば大丈夫? (スコア:0)
…なんだ、IPアドレスより質の劣る情報じゃねぇか。
Re:暗号化すれば大丈夫? (スコア:1)
個人情報は必要ないと、何度も繰り返し述べられてますよ。
そもそも、プライバシー侵害というのは、既にある個人情報を漏洩する
だけではなく、あなたの今後の行動の記録を取ることでも起こりえるのですから。
仮に、わたしが、後で読みだし可能な固有IDを返すRFIDをあなたに知られないよう
こっそり貼りつけたとしたら、それに個人情報が含まれていようがいまいが、
わたしがRFIDのスキャナを持っていれば、あなたが近づいただけで、
RFIDの固有IDを読み出せますよね。
それは、そのRFIDの情報を読み出せるわたしにとっては、あなた自身の顔も名前も
知らないかもしれないけど、貼りつけた相手である、あなたの存在証明であり、
あなた個人の識別ラベルになるので、個人情報など不要です。
望むなら、その個人識別ラベルを使って、これから個人情報を集めていけば
いいのですから。
#で、RFIDの規格が統一され、そのID情報が体系化されるほど、
#他のヒトにとっても容易にアクセス可能な情報になるわけです。
#あ、ヒトの記憶だの人目だのって、記録に残しにくい情報なんかより、
#明確なデジタルデータとして時間や場所などのその他の情報と関連させやすい、
#ってことも考慮に入れて想像してくださいね。
>IPアドレスより質の劣る情報
情報の質とかコストとかの問題という視点でも、そういう問題として
論ずるための情報を集めている段階ですので、現時点で想定出来る範囲
だけで情報の質の良し悪しを論じるのは、ちょっと想定範囲が狭い可能性が
あって、充分な想定や予測にならないないと思います。
もう少し、いろんな目、いろんな思考をかき集めて、予測や予想のために
力を借りてもいいんじゃないですかね?
#例えば、このような場所で他の方の意見にも目を通してみるとか。
あと、あなたの価値判断は万人の価値判断基準じゃないので、少なくとも
他のヒトが判断の根拠と出来る事実と一緒に述べないと、俺基準と
見なされてしまう可能性があると思います。
「どうしてIPアドレスより価値が低いと思うのか」
「想像できる範囲で、価値がIPアドレスより高くなったり低くなったりする
事例はないか」という方向でもっと議論を進めたら、有用な議論になりそうな
気がするので、これだけで終わらせるのは、少々もったいない、とも思います。
---- redbrick
Re:暗号化すれば大丈夫? (スコア:1)
安物とかを買ったりすると、同じ ID がいくつも存在したりして固有性が疑われたりしますが?
また、ソフトウェア的に MAC アドレスを書き換えることもできるわけで、これもまた固有性が失われる事になりますが。
Re:暗号化すれば大丈夫? (スコア:1)
MAC アドレスは 48bit/64bit (まだ 64bit になってないか) しかないのですが。
任意に書き換えが可能で固有性も固定性も持たない ID と、Pentium III のプロセッサ ID や、書き換え不能な RFID などの、固有性も固定性も持つ ID とを同列に並べようとしても意味のないことです。
従って、Pentium III や RFID と同列に並べて騒がれるようなことはないでしょう、としているのですが、そんなに無関係なのでしょうか。話の流れを全く見ていないだけのような気がするのですが。(128bit だと言い出したりとか)
親コメント見てますか?
Re:暗号化すれば大丈夫? (スコア:1)
自分のまわりでは
「大学の回線からは 2ch には書き込まない」
というのは常識になっていますし.
Re:暗号化すれば大丈夫? (スコア:0)
は
・一回のセッションがとても長い上に複数の用件に利用する。
・割り当てアドレスの範囲がとても狭い
のでRFIDのID随時暗号化とは全然話が違うと思うよ
Re:暗号化すれば大丈夫? (スコア:1)
というか、反対派に言わせると、暗号を破られたら?とか、管理者側がどうのこうと言いそうな気もしなくもないですが。
疑いなんて、どこまでも広がっていってキリなんてありませんし。
Re:暗号化すれば大丈夫? (スコア:1)
ただ、話題に登っているRFIDの話について書くと、そーゆーのはどうしてもコストが上がってしまうようです。たとえば高木氏の6/29の日記 [hatena.ne.jp]でも似たようなことが書いてありました(結構下の方)。
もしくはこっちの office さんのおっしゃってるような方法 [office.ac]の話でしょうか?
Re:暗号化すれば大丈夫? (スコア:1)
# どの部分が分かりにくいかを結城氏にフィードバックすると喜ばれるかも
基本的に暗号化の有無に関係なく、「IDがモノに対して 1 対 1 で固有」な場合にこのシナリオの問題が発生します。
あなたの書いている「毎回予測不能な異なるIDを吐くタグ」はこうした問題の解決方法のひとつです。
Re:暗号化すれば大丈夫? (スコア:0)
その通り。なにせこの文章の前提は「固有IDのシンプル・シナリオ」なのですから。
Re:暗号化すれば大丈夫? (スコア:1, 参考になる)
ようするに、IDの空間的・時間的範囲の問題だということかと理解しました。
Re:暗号化すれば大丈夫? (スコア:0)
Re:暗号化すれば大丈夫? (スコア:0)
#粘着除けAC
どーでもいいことに反応する俺 (スコア:0)
Re:どーでもいいことに反応する俺 (スコア:1, おもしろおかしい)
はるかに高性能で迷惑度も極大な読み取り機がマリネラになくては事例として成り立たないことを
誰か指摘してやってください(w
??? (スコア:1)
マリネラに迷惑度極大な読み取り機があったとして、この事例が成り立たなくなるのでしょうか?
???? (スコア:1)
なぜでしょう?
ダイヤにIDをふったのはボブですから、このIDは他人にとっては、(数あるIDの1つで)特に意味を持ちません。
「ボブの体内にタグが埋め込まれている」という仮定はないから、ボブがダイヤを盗みに入ったときに、タグの埋まった物を身に付けるというへまをしなければ(そしてこの事に対する用心は「ボブごときにも可能」)、この例において、迷惑度極大な読み取り機は何の役にも立たないと思うのですが?
Re:???? (スコア:1)
「他人にとっては、(数あるIDの1つで)特に意味を持ちません」
というのは本質を欠いています。
IDが意味を持たないから安全なのではなくて、それが固有IDだ
から問題なんです。
例えばマリネラでタマネギ部隊が素顔でスキャナ
を携帯してるなら、ボブの持ち物に「汚染されたIDを持つ物」
がひとつでもあれば、ボブの行動は過去にさかのぼって検索
されます。
さらにご指摘のようにそんなヘマをしなかったとしましょう。
つまり、固有IDを窃盗時にも、空港でも身につけていなかった
場合です。これでも実は問題があります。
空港や宝石店なら、どんな固有IDが空港に入ったかを確認する
くらい簡単にできます(すべての入り口にスキャナを設置する
だけ)が、固有IDが蔓延していれば固有IDを持たない人が入っ
てきた場合もまた珍しいものとなり、そういう人はカメラで確
認することができるでしょう。
おそろしやボブのプライバシーはズタズタです。
そしてボブ自身が取り付けたダイヤのIDでさえ、誰でもスキ
ャンできるなら、その固有IDは空港に入ったとき、空港内で
生成されたならその瞬間から、そして密輸先で奪われてIDを
無効にするまで続きます。さてさて・・他にどのような可能
性が考えられるでしょうか・・・
犯罪者も楽じゃないなぁ
#あ、「迷惑度極大な読み取り機」は別にただのネタですよね??
taka4
自意識過剰 (スコア:1)
ここのあたりを読んでいて、トゥルーマンショーっていう古い映画を思い出しちゃいました。
無数の人間を同時に追跡しなくても、ネタを提供してくれそうな人だけでいいんですよ。
注目している ID が近づいてきたら、監視カメラをこっそりそちらに向けるってことも、きっと将来は可能になりますよねぇ。
現状の技術では暗闇の中で動き回る人たちの衣擦れの音を聞き分ける程度のイメージでしょうけれど、それはそれで妄想が逞しくなる…かも。
-- 環境負荷に配慮して言葉のオブラートを少なめにしています --
Re:自意識過剰 (スコア:1)
したりはしないでしょう。
誰かをリアルタイムに監視するという意味で今回の
話は全くといっていいほど意味がありません。
(つまり論点が違う)
ちなみに今問題になっているのは、「個人の今」が
つつぬけだってことではなくて、このデータの蓄積
さえあれば、そのIDの持ち主が判明した時点でどこ
までも遡って過去の行動を導き出せる点じゃないか
と思います。
そしてそれがなんの規制も無く行える可能性がある
と。
taka4
Re:自意識過剰 (スコア:1)
迷宮入り事件が激減?
何の話なんだろう・・・
taka4
Re:自意識過剰 (スコア:1)
マスコミの話でしたか。
マスコミが流すかどうかという情報とは根本的に別物の話題です。
そもそもマスコミはプライバシーに関わるような情報は流さないようにつとめているでしょう。
※なんでこんな初歩的な説明をしないといけないのか疑問ですけど・・・マジでわからないのか逃げを打ってるのかわからないので、一応フォローしときますね。
この「プライバシー」がいったいどういうものか認識が違うから食い違うんでしょうね。
別に犯罪じゃなくったっていいんですが、ある特定の情報が他の誰かに知られたくない時、それが漏れてしまうようならプライバシー侵害になりませんか。
例えば掲示板に匿名で投稿したとします。「この投稿が自分の投稿だと明かしたくない」と思っていたなら、誰かが「コレは○○の投稿だ」と言い出したらプライバシー侵害。
車を購入したとき、他人に自慢したい人は「こんな車買ったんだ」と人に話すでしょう。こういう人には車の車種なんて誰がどこで話していようとおかまいなしなので、プライバシー侵害じゃない。
でも、この人が車を所有していることすら人に知られたくないと思っていたとしましょう。この場合それを見つけた誰かが「○○は△△に乗ってるぞ」という話を他人にすればプライバシー侵害になるかもしれません。
これは極端な例ですが、これが「Hな本の購入履歴」だったり「風俗店への入店履歴」だったりすればなおさらでしょう。その知られる相手が誰かを特定しないにしても、とにかく「自分がそんなことをしている」とか「自分がこんなものを持っている」とか「こんな癖がある」とかなんでもいいですが、「知られたくなくて守っている情報をアカの他人に知られること」はすべてそうじゃないですか?
だから「過去を追跡できる」という事も、警察が事件の調査をしたり、マスコミがどこまで調べられるかとか放送できるかとかいう話は二次的な問題であって「そのことができる」ことと、しかも「一般人や一般企業がデータを勝手に構築できてしまう」ことが問題なんじゃないかという話です。
taka4
Re:自意識過剰 (スコア:1)
うあ。やっぱりわかってなかった人みたいなので離脱します。
taka4
Re:どーでもいいことに反応する俺 (スコア:0)
Re:勉強不足 (スコア:2, すばらしい洞察)
RFIDの話には技術的な議論があるでしょうが、それはともかく「IDが固有であること」「本人の意思とは別にIDを読まれてしまうこと」によって起きる問題点について考察しているのだ、と思います。
だからこそ技術的な面は未考察なのですが、問題点の指摘をしておけば「これは技術的に可能」「将来的には可能かもしれない」「原理的に無理」などなどの考察ができるってことだと思います。
Re:勉強不足 (スコア:1)
このシンプル・シナリオでは、固有IDは番号であると制限されれていますが、
番号ではなくても固有のものでさえあれば、いずれのシナリオも成り立つはずです。
発信機で十分というのも、
その発信機が固有の信号を発生しているのでしょうから、
(でないと、他と混同することがありえる)
その発信機も固有ID発生器の1つと考えられます。
シナリオ中で「固有ID(265159358)を割り当てたチップ」と変に具体的にかかれているから、
「ID自体必要がない」なんて思われるのでしょうね。
Re:勉強不足 (スコア:1, 参考になる)
>3.複数のRFIDが重なっている状況でも読み取れるRFIDを作るのにはもっとコストがかかる
東レのやっすいタグでガツガツ読んでますが。
実演見てきた人の話だと、タテ・ヨコ・ナナメ、自在に瞬時に1m距離から読んでたそうで。
どっちが勉強不足なんだか。
やや関係者なのでAC [impress.co.jp]
Re:勉強不足 (スコア:1)
> 1. RFIDを読み取れなくするのは簡単
これはRFIDを例えば購入後に(物理的不可逆に?)無効にする技術のことでしょうか。それが簡単なら、法制度でそれを義務付けるなどすれば商品購買以降もIDを追跡される可能性は無くなるでしょうね。買った食品を冷蔵庫に入れると自動認識される、などが難しくなるかもしれませんが(別種のID無しで情報だけのRFIDを入れておけばいいか)。
問題は常にIDを有効にしないと運用できないサービスですが、これは出来ればユーザに説明した上で納得して使ってもらうしかないですね。
> 2.離れている距離でも読み取れるようなRFIDを作るにはコストがかかる。
> 3.複数のRFIDが重なっている状況でも読み取れるRFIDを作るのにはもっとコストがかかる
これは結城氏も何度か述べてますが、RFIDが将来的に基本インフラになった場合、10年後にも技術的に難しいままですか? と言うことでしょう。
広く使われるようになった場合に、RFID 読取装置の性能やコストが下がることは容易に想像できます。もし潜在的な問題があるのなら、早めに解決のための技術検討を求めるように動くのは真っ当な反応じゃないでしょうか(RFID推進側は「将来的にはこの問題も技術的解決が可能」と言うことも出来ますよね)。
もちろん、現時点での技術のみを論じた場合には FUD になりかねない部分があるとは感じます。
> 4.固有IDを返すような暗号化と毎回変わるような暗号化を施すようなRFIDを作るコストはほとんど変わらない。
これが本当だとしたら、例えば先ほどの常に有効にして持ち歩かなければならないような種類のRFIDに関しては毎回応答値がかわるRFIDを利用すればいいわけですが、コストは実際にはどれくらい違うんですがね。
問題は、この固有IDの問題が全く無視された場合、一般的には「よりコストの低い」はずの固有IDを返すRFIDを全ての場合に使いかねないと言うことかなと思います。
Re:勉強不足 (スコア:1)
これ、妨害電波が世界中いたるところで出ていないと無理ですよね。現実的に難しいと思うんですが。個々のユーザがスクランブラを持ち歩く? そうで無い場合、つまり次の場合
> 常に出してるのがいやなのであれば読み取りのための電波にIDを返すのと同じ要領でノイズを返せばよい。
これなんですけど、RFID 自体がノイズを返すってことですかね。
このケースでは本来の機能である読み取りへの正しい応答が必要な場合、シグナルを返すかノイズを返すかの判別はどう実現するんでしょう。お互いに秘密・公開鍵を持って認証するのかな。チップ側に演算回路を持たせるのは(少なくとも現時点では)コストが高そうな気がします。そして企業は、それが無いとユーザが利用してくれない、ないし法的に決められている、という事でもなければこうした対応はしてくれないんではないでしょうか。
> RFIDが広く使われるようになった場合にRFID 読取装置の性能やコストが下がる一方読み取らせないようにするための性能やコストも下がる。
これはその通りだと思います。但し「読み取らせないようにする」必要があることが認識されていない場合、ないし今回の「固定IDの危険性」が認識されていない場合、その部分の技術開発にコストが割かれない可能性は高いんじゃないかと思います。なので早い時期に問題提起をしておけって事じゃないでしょうか。
Re:勉強不足 (スコア:1)
> このケースでは本来の機能である読み取りへの正しい応答が必要な場合、シグナルを返すかノイズを返すかの判別はどう実現するんでしょう。お互いに秘密・公開鍵を持って認証するのかな。チップ側に演算回路を持たせるのは(少なくとも現時点では)コストが高そうな気がします。
/.J の過去の議論で既に出てましたね。同定不能プロトコル [srad.jp] コストは現時点では高そうですね。坂村教授ですら「10年後を目処」と言っているようですし(まぁ企業が本気になれば10年はかからない気がしますけど)。
Re:勉強不足 (スコア:1)
難しい点があるような気がします:
現在のセキュリティプロトコルのいくつかは信頼できる第三者機関(Trusted Third Party, TTP)を仮定していますが,この TTP が悪意ある人物によってクラックされたら非常にまずいことになります.
結城君は (スコア:1)
# 古い友達なんでID
Re:勉強不足 (スコア:1)
RFID の素人です。
RFID を読み取れなくする方法と言うのはどのようなものなのでしょうか。
盗難防止装置などでは、レジで無効化するために、過電流を流して焼き切るタグがあると聞きました。 私が簡単に思いついたのは、 RFID に機能停止用の回路を組み込んでおき、特定の信号を受けたら自殺するというものです。
その無効化方法で、どんなメーカーのどんなタグでも確実に無効化できるのでしょうか。
過電流による焼き切りの場合、どの周波数、どれくらいの強さの電磁波を照射したら焼き切れるのかは、タグの種類毎に大きく違うように思えます。電子レンジでも使えば大抵焼き切れるのでしょうが、そのような事が出来ない物に付いているタグもありますよね。
機能停止用の回路で行う場合は、その回路を持たないタグを作ればいいので、確実に無効化するのは無理ではないでしょうか。
盗難防止目的のタグなどは、簡単に無効化出来ては困るので、統一的な無効化方法が出来るとは思えませんでした。
すみませんが、もう少し教えていただけませんでしょうか。
# 無効化処理を施したあとに、全てのタグが無効化されたことを、自分で確認できる方法があれば良いのかな…。
Re:勉強不足 (スコア:1)
質問元です。
引用が前後しますが…。
はい、その通りです。わかりにくかったでしょうか。すみません。
私は、壊すのではなくても、所有者が自由に on/off 出来ればいいのではないかと考えています。ただし、所有者以外が on/off 出来ないのが前提ですが。
例えば、玄関を通って外に出たRFタグは無効化される、とか出来たらいいなぁと。
#383367 さんの発言ですが、
煽ったり、何でもダメだと言うつもりは全然無くて、ちゃんと知識を持って判断したいだけです。伝えられていなかったようで、申し訳ありません。
Re:まさに勉強不足だね (スコア:2, 参考になる)
アンチコリジョンに対応していればマルチリードが可能と
いうわけではありません。
アンチコリジョンはタグが R/W から見て安定した環境下に
置かれていなければ働きません。ベネトンで使用する予定だった
タグは Philips のI.CODE だと思われますが、
これは ISO/IEC15693(13.56MHz) に対応しています。
この周波数帯のタグは波長の関係から極端に密着した場合
応答しなく or しにくくなります。
実際に 15693 対応の RFID のデモを見るとわかりますが、
タグ同士が密着していることはありません。読めませんから。
密着したタグをマルチリードする場合(紙幣の偽造防止等)は
高い周波数を使用してこの問題を回避します。
ミューチップの場合は 2.45GHz ですね。
(現段階ではマルチリードに対応していませんが。)
Re:まさに勉強不足だね (スコア:1)
Re:シンプルシナリオ読みましたが・・・ (スコア:1)
セットトップボックスとかルータには、昔のCray1くらいのMIPS値をもったプロセサが入っていますけど、こういうのを連携させるソフトを作れば、たった今でもある程度の費用で実現可能じゃないかな。
そこらじゅうにセンサを配備して、通信でつなぐコストが大変なのであってデータベースの方はそんなに大変でもないかも。センサを束ねるポイントに数万円の処理装置を配備してデータの蓄積と検索機能をもたせればOK。もちろんそういうDBMSはまだないから研究開発になるけど、問い合わせトランザクション処理能力が小さくていい前提なら、1年くらいでできるかもしれませんよ。
Re:シンプルシナリオ読みましたが・・・ (スコア:1)
他で例が出ているNシステムだって全ての裏道にまで設置されているわけではありませんし。
限定的なID収集でも目的によっては十分役に立つことがあるでしょう。
そのコストが目的に見合うかどうかは、個別判断でしょうけれど、そういう考察をすることがが必要だ、というのがもともとのシンプルシナリオの提出意図だと思います。
Re:シンプルシナリオ読みましたが・・・ (スコア:1)
がんば。
Re:RFIDを念頭においているようだけど (スコア:1)
システム性能や管理主体の存在にかかわらず危険な「場合がありうる」と
指摘しているのだと思いますが。
そういう意味においては警察の存在以前に「民営Nシステム」ができても
おかしくないのが現状です。
みんつ