パスワードを忘れた? アカウント作成
Close
279813 story

キヤノンの「レタッチ検出システム」、破られる 30

ストーリー by hylom
使い物にならなくなりました 部門より

eggy 曰く、

キヤノンは同社製デジタルカメラ用のアクセサリとして画像の改変を検出できる「オリジナルデータセキュリティキット Canon OSK-E3」なる製品を発売している。これは、撮影時にカメラが画像に付加した「オリジナル画像判定用データ」を使用して画像がレタッチされているかどうかを判定する、というシステムなのだが、ロシア人ハッカーDmitry Sklyrov氏がこの製品のオリジナル画像判定機能には信頼性が欠けていることを証明したそうだ(本家/.)。

Sklyarov氏は、デジタル一眼レフカメラが判定用データを生成するのに使用する秘密鍵を見つけることに成功し、これを使用して画像処理を施した写真の暗号化記録を行ったところ、OSK-E3にオリジナルと判定させることができたという。たとえば画像処理により作成されたロシア人の月面着陸写真をオリジナルと判定させることができたそうだ。

詳細が記述されたレポートによれば、解決策は「現行モデル(のカメラ)では何も無い」とし、「将来的には暗号プロセッサにHMAC計算を採用し、秘密鍵が暴かれないようにしなさい」と提言。更に「セキュリティーに詳しい人を雇いなさい」という文言がニコニコ絵文字付きで付け加えている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

キヤノンの「レタッチ検出システム」、破られる More

  • 提言 (スコア:4, 参考になる)

    by Anonymous Coward on 2010年12月06日 20時10分 (#1869486)
    × 「将来的には暗号プロセッサにHMAC計算を採用し、秘密鍵が暴かれないようにしなさい」と提言。
    ○ 「HMAC計算には秘密鍵を外に漏らさない暗号プロセッサを用いなさい」と提言。

    PDFの資料だけでは解析の過程の詳細を良く理解できないのだが,提言としては容易に外部からアクセス,解析可能なARMプロセッサはセキュリティ関連のコードを動かすのには使うな,(仕様非公開,外部からのアクセス困難な)専用の暗号プロセッサを使え~ということなのかな?

    イモビライザの一件などと同じで,メンテナンス等の用途のためのアクセスポートなんかがあると必ずそこを突かれる.
    組込屋にとってはICSPやJTAGの端子は基板上に付けたらダメと言われてるようなもんで,この手のセキュリティ問題は真面目に考えると非常に頭が痛い.

    • Re: (スコア:0)

      by Anonymous Coward

      こういうのって、裁判で使うのを想定してたりするんだろうけど、仮に耐タンパがしっかりしていたとしても、扱う画像ファイル自体は一人歩きしているわけで、「本当にまだカメラがクラックされていない」ってことを証明するのが難しい気がするな。

    • Re: (スコア:0)

      by Anonymous Coward

      RMSも言ってたじゃん。ブラックボックスを付けろって。

    • Re: (スコア:0)

      by Anonymous Coward
      >組込屋にとってはICSPやJTAGの端子は基板上に付けたらダメと言われてるようなもんで
      「出荷製品の基板上」だから、金かけていいなら対処法は色々あると思うけれど。
      ポートだけの問題なら、量産時にデバッグポートの配線を消せばいいだけなので。

      というかそもそも「メンテナンスポートが問題」って認識自体が誤解じゃないかな。
      メンテナンス機構を維持しつつソフトウェア上に含まれる鍵を保護する手段は存在します。

      ・製品版では、デバッグピンを無効化する設定(またはデータ消去しないとデバッグ不能にする設定)をマイコンに書きこんでおく。
      #多くのマイコンにそういったロッ

  • 証拠能力 (スコア:1)

    by muhi drink (40616) on 2010年12月06日 21時50分 (#1869540)
    警察のカメラがデジカメに移行するってのも、こういう機能前提だったんじゃなかったっけ。

    • Re:証拠能力 (スコア:1, 参考になる)

      by Anonymous Coward on 2010年12月06日 22時04分 (#1869554)

      警察のカメラがデジカメに移行するのは銀塩カメラの保守や消耗品の入手が難しくなってきたからです.

      前提としては,撮影データ自体を消去や上書きができないwrite oneなメディアを使う専用カメラを使うことになっています.ですから「警察がハードをクラックして組織的に隠蔽とか捏造とかをするようなことが無い」という前提で言えば,そのメディア内のデータはレタッチしたり外部の人間が撮影したデータではないと保証されることになります.

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        ですから「警察がハードをクラックして組織的に隠蔽とか捏造とかをするようなことが無い」という前提で言えば

        その前提がすでに破綻しているような気が。

        • Re: (スコア:0)

          by Anonymous Coward

          破綻はしていないよ。
          例外としてはみ出る人間が居るだけで。

          流石に刑務所内の有罪者と警察官では信頼度の差は有意にある。
          どこのどんな国でもその優位の差が必要充分に有るって前提でしか、法治国家なんてやれないわな。

          • Re: (スコア:0)

            by Anonymous Coward

            >流石に刑務所内の有罪者と警察官では信頼度の差は有意にある。
            警察官と比較すべきは有罪が確定した者でなく、有罪かどうかわからない一般市民ですよ。
            どんな一般市民であっても警察官が疑った時点で、信頼度の差が有意になると仰る?
            また、仮に有意の差があったとしても、以て灰色は全て有罪とするのは卑しくも法治国家のすることではないですよね。
            大切なのは、どちらが信頼できるかではなく、警察官(検察)の言に確信を持てるか、そうでないか、で判ずることだと思います。

            >どこのどんな国でもその優位の差が必要充分に有るって前提でしか、法治国家なんてやれないわな。
            だからまじめな話、我々の住むこの社会が真に法治国家であるか、法治国家を真似た別の何かであるかは
            疑問に思い問いかけていくべき事ではないでしょうか。

        • Re: (スコア:0)

          by Anonymous Coward
          銀塩写真の証拠能力も同じ前提の上になりたってるわけで。

    • Re: (スコア:0)

      by Anonymous Coward
      そっちは単純にライトワンスの媒体使うんじゃなかったっけ?
  • 切実に必要なのは、改竄のないことを証明できるフロッピーだった。

  • セキュリティは全体をみないといけないから大変ですね (スコア:1, 参考になる)

    by Anonymous Coward on 2010年12月07日 10時55分 (#1869787)
    元ネタのURLを見てみると、ファームウェアをダンプして鍵をみつけたといってますね。
    http://www.elcomsoft.com/presentations/Forging_Canon_Original_Decision_Data.pdf
    ↓にあるように折角個別のセキュリティ機能で認定受けていても、他の大穴があったら
    意味が無いといったところでしょうか。
    http://www.ipa.go.jp/security/jisec/certified_products/c0115/c0115_it6108.html

    ちなみに元記事で検証用アルゴリズムをバイト数から推測していますが
    以下の資料5ページ目を読めば128bitのFIPS PUB 198のSHA-1のアルゴリズムをつかって
    検証しているってのまでは分かるようですね。
    http://www.ipa.go.jp/security/jisec/certified_products/c0115/c0115_rpt.pdf

  • そもそも (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2010年12月06日 20時15分 (#1869488)
    そんな機能を実現できる考えることが誤り。

    • Re: (スコア:0)

      by Anonymous Coward
      撮影の都度、外部のサーバから鍵をもらえばいい。
      そのためには、カメラに携帯電話機能をつけて通信を…あれ?

      • Re:そもそも (スコア:1)

        by ginga (20279) on 2010年12月06日 23時41分 (#1869609)

        べつに冗談ではなく、警察用とかだったらそういう機能があってもいいんじゃないですかね。
        (SD型のwifiなんてのも有るわけだし携帯カメラ以外でも
        そんなに非現実的ではないでしょう)

        あと鍵をもらうのもいいけどどちらかというと、
        その場でchecksumをサーバに送りつけて保存してもらう
        っていう方が重要じゃないかな…

        シェア
        親コメント

        • Re: (スコア:0)

          by Anonymous Coward

          > checksumをサーバに送りつけて
          送り先のサーバを信用できるかという問題があるな。
          VeriSignはまったくアテにできないことがWikileaksの件で明らかになったし。

          • Re: (スコア:0)

            by Anonymous Coward

            >VeriSignはまったくアテにできないことがWikileaksの件で明らかになった

            詳しくお願いします。

        • Re: (スコア:0)

          by Anonymous Coward

          何をどこまで信用していいのってことですよね。

          外部型は、サーバーやSSL証明書発行機関や果てはアナデジ問わず専門家による鑑定まで、国家権力からめば圧力かけてどうとでもできちゃうじゃないかって。

          今回のはカメラ内で完結する試みで、画像のchecksumを生成して、そのchecksumも捏造されないよう暗号化。ところがそこやぶられちゃおしまいよねって話。じゃあその秘密鍵は国家権力等の圧力でメーカーからもれたりしないの?ってこともふくめて。

          # 多数決方式も場合によっちゃぁ

  • そもそも (スコア:0)

    by Anonymous Coward on 2010年12月06日 20時35分 (#1869498)

    比較的簡単にレタッチできることがデジタルカメラの売りだと思うんだけど。

    #価格と画質のバランスで言えば、たいていのケースではまだ銀塩カメラに分があると思う

    • Re:そもそも (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2010年12月06日 20時42分 (#1869500)
      そんなの非改竄証明というオプションの存在価値を否定する物ではないよ。
      むしろ銀塩カメラの方が技術的な非改竄証明できない。鑑定することは出来るけどそれだけ。
      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        いやぁ、デジカメでも同じでしょう。
        写真は改竄されていなくても極端な話、どこかの書き割りを撮影している可能性だってあるんだからさ。

      • Re: (スコア:0)

        by Anonymous Coward

        単なる非改竄証明なのに、
        「この写真は非改竄証明があるカメラで撮ったもので真実です。」とかいいそう
        珊瑚記事捏造とかで大活躍!?

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人