開発情報

非対称パスワード Asymmetric Password

名称

非対称パスワード、非対称な認証コード、非対称な検査コード PCT/JP2013/ 68181

技術分野

本発明は、より良き社会・経済基盤に必須のパスワードに関する。

特色

非対称パスワードは不正攻撃からもパスワード自身を守れるパスワードです。何故なら、非対称とはパスワードが分散管理されることであるから。

オリエンテーション

対称に対する非対称は一つしか無い。従来のパスワードは実装が対称形である。それと対比する非対称形は論理的にユニークであるから、非対称パスワードの発明も二つと無い。
対称パスワードには漏洩事件が付き物である;その問題解決なら非対称パスワードにすればいい。
特許内容を実装してみた。ログインそのものは何も変わらない。ただ、非対称パスワードの使い方には二通り有ることが解明されている。議論の機会に開示する用意があります。

背景技術

図1の対称形において、頭脳パスワードを登録すれば、それはハッシュデータに変わる。ハッシュ値Cjとハッシュ値Ciの一致「Cj=Ci」をサービス側で検査する。そのサービス側のパスワードCjを含むアカウント情報の流出事件が、連日のごとく起きている。

このパスワードの
  1. 第一の弱点は;秘密(頭脳パスワード)の共有状態をパスワードデータCjとCiの一致「Cj=Ci」に置き替えたこと。
  2. 第二の弱点は;一致検査「Cj=Ci」はデータCjのトートロジー「Cj=Cj」を区別しないこと。
  3. 第三の弱点は;パスワードCj・ファイルへのアクセス制限をする仕組みが無い。だから、パスワードCjの流出によってCjに傷がつかない「新しいパスワード」の出現を求める。
  4. 第四の弱点は;その「Cj=Ci」/「Cj=Cj」は登録時に決められた等号です。等号であるが故に、どちら側のパスワードが流出しても即事件になるし、両方で即対策を実行する必要がある訳です。

これら弱点は実装の問題ではないから、実装をどのように固くしても、弱点は弱点として残る。サイバー攻撃はこれらの弱点を突くシナリオであるから攻撃が止むことは今後も無い。

非対称パスワード ™のロジック

対称形パスワードの弱点を克服するロジックがただ一つだけある。議論の機会に解説する。

ロジックの実装

議論の機会に開示する。

従来基盤の統合の仕方

議論の機会に開示する。

非対称パスワード ™の強み

対称から非対称になると、何が嬉しいのでしょうか?連日のように発生する事件にどう係わるのでしょうか?それを考える一つの事例を挙げます
連日、約百万件のアカウント情報が漏洩した…約千万件だ. . . 、ログイン・パスワードとオンラインIDが流出した. . . アプリの脆弱性に対処してなかった. . . など報じられている。

その度に、サービス側はユーザに対策をお願いする;すなわち、
  1. 「早急にパスワードを変更してください…」。それと、他のサービスにも同じアカウント情報を利用している傾向があるから、「そちらのパスワードも併せて変更するように…」と呼びかける。このようにサービス側はユーザに対策をお願いしなければならない。システムに対策は無いのでしょうか?本当にアプリの脆弱性が原因だったのでしょうか? 非対称パスワードはそのスキームCj≠Ciの中に事後対策が織り込み済みですし、アプリの脆弱性のせいにはしません。
その度に、グローバル企業は訴訟リスクにさらされる;すなわち、
  1. 国によって法制度が違うからです。ソニーが蒙った損害は1千億円に近いと聞く。訴訟はソニーを悪者にしているが、果たして、ソニーに支払いの責務があったのでしょうか?ソニーは被害者であったのではないか?ソニーは被害者の立場を訴えるべきで有ったのではないか?
     
    もし、Sonyが非対称パスワードを知っていたら、知っているだけで訴訟に対抗できたでしょう。非対称の強みについて理解すればするほど、現状の対称パスワードの欠陥が見えて来て、Sonyは言えたかも知れない、または誰か他の者が代弁できたかも知れない、「告発そのものが不当である」と。 現状のIDパスワードには相互認証の仕組みすら無いし非対称パスワードも無い。それはSony の怠慢でしょうか?
     
    同じ攻撃に対して、もし、オンラインIDと非対称パスワードのシステムであれば、ユーザに事後対策を求める必要はなかった。しかし、2011年当時のSonyはそんなシステムを知らない訳ですから、「告発そのものが不当である」と言わざるを得ない。
お約束(Watanabe codeのブランド)

Watanabe codeの優位点は、コードシステムに第4の確率変数を含むこと。⇒ 特許情報の(2) 第4の確率変数が空間軸(ネットワーク経路)に現れる。

非対称パスワードはその第4の確率変数の焼印を押されて生まれました。次の効果は、もし、このブランド(焼印)が無ければ、意味の無い宣言です、言い変えればウソです。

  1. 非対称パスワードから個人情報は漏えいしない。
  2. フィッシングのメカニズムは非対称パスワードには効果が無い。
  3. サーバ側のコードCjが流出した場合でも、ユーザに事後の対策を求める必要は無い。
  4. サービス側にサイバー攻撃を仕掛けコードCjを奪っても、不正ユーザの問題は起きない。なぜなら、コードCjでユーザのコードCiを計算するのは困難であるし、非対称だからパスワード・クラックも不可能である。
  5. サービス側の訴訟リスクはゼロ%である。訴訟の不当性を請求できる。
ビジネスの自由度(次元)が一つ上がる

今まではパスワードは一つだけでした、「Cj=Ci」これだけでした。非対称になると、パスワードは二つになる、「Cj≠Ci」こうなります。一つから二つに増える訳だから、ビジネスの自由度も増える。ビジネスの次元が一つ上がる予感がします。

それだけでなく、実装の自由度も増えます。おそらく、皆様は今の環境に非対称フレームを実装するのだろうと想像しているかも知れませんが、「1次元の中に2次元は入らない、2次元の中に1次元は入る」訳ですから、それと同じように、「非対称パスワードを使うシステム」は従来の「対称パスワードの基盤」を統合する能力が有ります。それは、ITの状況を単純にする新しい方法です。複雑な手続きは要らない、もう考えなくていいのです。それを達成する仕方に二通りあります。

その一つは、例えば、グーグルの二段階認証 (Google’s 2-step verification)の統合の仕方です。グーグルの二段階認証はOTPのために携帯電話を導入していますが、「2次元の中に」統合を考えれば、キャリアIDもオプションの一つになります。単純になった効果は運用に現れる!

 

もう一つは、私のケースです;具体的に言うと、私はネットのクレジット決済には参加しないのですが、一度だけやったことがあります。キーインしながら不安を覚えました、私のデータはどこに行くのだろう?この不安を消してくれる何かが手元に欲しい、複雑な手続きは要らない。ここが消費者心理です;それに答えるのがもう一つの統合の仕方です。この統合の仕方がビジネスに新たな次元を加えると思う、特に金融決済には。

いずれにしろ、情報の流出リスクはどこにも有る話です、グローバル市場を形成しつつあると思う。情報の利害関係人は、情報が流出すれば、即、生命財産、信用、ブランド、同盟関係が危うくなることを知っている。が、情報の流出メカニズムは全く同じですから、パイプラインに解を流せば、グローバル市場に行き渡る、そのようなパイプラインとのインターフェースを創ることが私の仕事です。私はそこに戦力を集中する、限定的な戦いに。

もっと具体的に議論しましょう。

 

2013年8月19日
渡邊栄治/EIJI WATANABE