記稿.2015/05/26
> イメージはこうだ
ネットのパス打ちに印鑑を読み取らせる。
勿論、私たちの知る従来の印鑑ではない。
こんな感じ。
BDやDVDの二層構造の読み取りを応用する。
一層目の画像と二層目の画像の組み合わせ。
一層目には鍵画像、二層目には本画像。(本画像を見た目隠す為の順番)
> ‥とりあえず
256×256ビット程度の画像が、印鑑の面に二枚重なった仕組みになる。
‥レーザーで逐一スキャンするシステムが求められるし、焼き出す道具も必要になる。
焼く方法としては、誰が作って持っているのかを知られたくないわけだから、
コンビニにでもその手の機械を置くなりして利用して貰うことを考えるとする。
印鑑の面を何でも良いから何かの先っちょに貼り付けて置けば良い。
もしくは、メモリーカードに差し込めるような変換で読み取れたら理想かな。
(‥その時、画像がどのように生成されるかがポイントになる)
(データをメモリカード等に入れて持ち込むともなると、感染ルートになりかねないから嫌われる)
(そう考えると、それこそただのランダムな点の配列という感覚に成りそうだ‥)
(どのような乱数を用いて、どのような情報を元に加工するかになる。そこで)
(まぁ手っ取り早いのが、光彩だったり指紋だったり脈だったりだろうか)
> 二枚の画像を使って、ログイン登録する時、
その段階で登録先に送られるのは、二枚の画像を使って鍵を掛けた合成状態のデータになる。
鍵が掛かった合成状態のデータだから、そのデータが流出したとしても元がわからない。
‥まぁだから何と思われるだろう
ブログ等の暗号はそれでも十分かも知れないが、金融機関に登録する場合はそうは行かない。
そこでこうなる。
登録はネットからもできるように、鍵を掛けた状態のデータを預けるのは同じ。
違うのは、鍵データを送って、本画像との比較をさらに追加する。(転送用の暗号はまた別)
つまり、鍵の掛かった合成データを預けるだけで、流出リスクが薄まるという仕組みにできる。
> 問題となるのはなりすましの場合だ
暗証番号があってもなくてもなりすましサイトの場合、比較の結果が戻ってこないことが問題だ。
ブラウザー側が比較さえしてくれていれば、誘導偽サイトなんか偽でも何でも無い。ただの間違いだ。
そこで、普段から相手側からも、鍵を掛けた合成データを戻して貰うとする。
その戻ってきた合成データをブラウザーが受け取ると、まずはログインしているアドレスを確認する。
その時、そのログイン先アドレスが
普段のログイン時に、その合成データを使用してそうなサイト候補の中に該当があるかを比較する。
(まさかの‥鍵を掛けた合成データが流出した時対策)
そうでないなら、そこで即ログアウト&警察サイトに通報。
安全確認OKなら、とりあえず自分の印鑑情報と比較する。イコールなら何ら問題なし。
ブラウザーはログインの状態を維持する。
「‥ふふふ♪、こりゃ日常になるとスゲーな。零戻経済にもバッチリだ。」
