このとこのセキュリティニュース@5/24
スマートフォンそのものが認証装置になる?
「Google、各種パスワードの一部を年内に「信頼度スコア」に置き換えか」
先日のGoogle I/Oでは、Android向けの"Trust API"という発表があったのですね。スマートフォンで位置や顔などの情報を取り入れて「信頼度スコア(trust scores)を計算し、十分高い場合は認証するというものです。バンキングアプリなどでの利用が想定されています。
この"Trust API"は、常時背後で動作してデータを仕入れています。スマートフォンに見張られてる感がすごいですね。オーウェルの「1984」でのテレビを思い浮かべる人もいるのでは。
Alloは基本設定が非暗号
「Googleのエンジニア、批判を受けて、Alloでの完全暗号設定推しをやめる」
BEASTやPOODLEなどの脆弱性に関して活躍するGoogleのセキュリティ専門家Thai Duong氏が、新しいチャットアプリ「Allo」について書いたブログについて、(おそらくは上司からの指示に基づき)暗号化設定に関する内容の一部を書き換えています。
AlloはAIで自動応答案を出したりGoogle検索結果を挿入できることなどが特徴で、その部分は暗号化ができません(Googleにデータを送らないと応答が得られないので)。しかしそれ以外は原則暗号化という設定も可能だし、元々の記事ではデフォルトを暗号化にしたいなどの話があったのですが、その辺が微妙にぼかされた表現に変えられています。
暗号の元の算出方法に革命?
「新しい乱数生成法を科学者達が発見、暗号強度の飛躍的向上も可能か」
暗号論的疑似乱数を生成する時の種となるエントロピー情報は強いものが必要ですが、弱いものを2つ組み合わせることで大幅な強化が可能という話。
一見、誰もが考え付きそうなアイデアですが、これまでできなかったのができるならすごいですね。自分はこの辺の理論についていくのは厳しいので理論の中身までは読んでませんが……。
