発表報告(小川(電子情報通信学会 2005年ソサイエティ大会))
A-7-16 携帯アプリダウンロード時の情報保護方式に関する一考察
- 発表感想
- HTTPプロトコルを想定した携帯電話アプリケーション(AP)ダウンロード時の情報保護方式に関する提案を行った.携帯電話では,AP内に重要な情報を格納しダウンロードする場合がある.提案方式では,APのダウンロード準備段階では重要情報を送信せず,APのダウンロード段階では重要情報を暗号化してダウンロードすることで情報保護を実現する.発表に関する事前確認にミスがあり,発表方法は,パワーポイントではなく,OHPだけである事を会場で知り,動揺したままの発表であった.以降,事前確認を確実に行おうと思う良い経験になった.また,時間配分を誤ってしまい,改良プロトコルの提案部分及び,まとめの部分が十分に説明できなかった.
- 質疑応答
- Q1
- INHH05では,Serverに事前に保管されている重要な情報(ID,PWD)はないが,改良プロトコルでは,Server-Clientで事前に共有している重要な情報があるので,Serverには重要な情報が保管されている.その際,Serverへの攻撃を想定しないでよいのか?
- A1
- 今回の改良提案は,重要な情報を如何に安全にダウンロードできるか?ということを念頭において検討を行ったので,Serverに保管されているデータは,安全に保管されているという前提です.そのため,Serverへの攻撃は検討外としました.
- Q2
- 今後の課題として,「暗号化した重要なデータをAPに含めない構成での検討」とあったが,実際には,どういったことか
- A2
- 今回は,改良提案だったので,改良前の前提条件と同等にするため,重要なデータをAPに含める方法で検討を行いました.重要なデータをAPに含める方法は携帯電話環境では一般的ですが,いろいろな保護方法を検討する必要もあります.そのため,重要なデータをAPに含めない方法も検討する必要があると考えました.
- Q3
- 今後の課題として,「耐タンパーデバイスを積極的に用いる環境での検討」とあったが,耐タンパーデバイスに対する攻撃に関しては,どのように考えるのか?
- A3
- 今後検討を行うため,明確ではありませんが,耐タンパーデバイスは,一般的に実装可能なUIMなどを想定しています.その耐タンパーに対する攻撃は考えていません