米BeepCardは技術系企業だ。クレジット・カード用の音声認証装置を販売している。同社の音声認証装置の外見はクレジット・カードそのもので,たわみ具合や信頼性など,クレジット・カードのあらゆる仕様を満たしている。ただし,スピーカと音声チップを内蔵し,カードの特定の部分――この部分が“ボタン”になる――が押されると,128ビットのランダムな文字列を音声として出力する。
この文字列は,相手側(認証する側)ではソフトウエアで再生成できるものの,カード側で同じ文字列が繰り返し出力されることはない。このため,攻撃者がある文字列1つを記録しても,それを使ってなりすましたり,今後出力されるであろう文字列を推測することはできない。「SecurID」(訳注:米RSA Securityが販売するワンタイム・パスワード・トークン)と似た仕組みだ。
私の長い経験のなかでも,これはおそらく最も優れたセキュリティ技術だ。BeepCard社は,「Webサイトで同技術に対応したクレジット・カードを使って買い物する」というデモを用意している。取引時に認証するには,カードをコンピュータのマイクに近づけてボタンを押せばよい。出力された音声は,専用のJavaアプレットまたはActiveXコントロールが取得し,認証のための情報として使う。JavaアプレットやActiveXコントロールを使うので,プラグイン・プログラムなどをインストールする必要はない。このシステムでは,取引を行う人が「ある番号(例えばパスワード)を知っている」ということではなく,「その人の手元にカードがある」ことを保証できる。クレジット・カードの業界用語で表現すれば,取引を“間接型(card not present)”から“直接型(card present)”に変えたことになる。
さらに優れているのは,カードにマイクも内蔵してシステムを強化している点だ。この工夫により,ボタンを押す際パスワードをカードに吹き込むようユーザーに求めることができる。
なぜBeepCardが気に入ったかだって? 特別な読み取り装置を必要としない物理的な認証を行えるシステムだからだ。このシステムは,インターネット・カフェに置いてあるどのコンピュータでも使えるし,電話でも利用できる。本当に簡単で,本当に優れたあらゆる用途が思いつくはずだ。価格が十分安ければ,BeepCardは成功するだろう。
Copyright (c) 2004 by Bruce Schneier.
◆オリジナル記事「BeepCard」
◆「CRYPTO-GRAM April 15, 2004」
◆「CRYPTO-GRAM April 15, 2004」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
