ついに最後の謎「Intel® Identity Protection Technology (Intel® IPT)」です。
「ZIG猫さん、僕はもう疲れたよ…」
© NIPPON ANIMATION CO., LTD. (「フランダースの犬」より)
今の正直な感想です。
「疲れた」とか言ってても終わらないので、「Intel® IPT」について話していきましょうか。
Intel® IPT であるが、ざっくり言ってしまうと
ハードウェアによって強化された認証システムを提供する技術
である。
2つ目の謎「Intel® TXT」の冒険レビューでも書いたことだが、ソフトウェアは弱い。
ハードウェアを基盤とすることで、強力なシステムを構築できるというのが Intel® IPT の中核としてある。
Intel® IPT に含まれる機能は3つ。
- Intel® Identity Protection Technology with One-Time Password (OTP)
- Intel® Identity Protection Technology with Public Key Infrastructure (PKI)
- Intel® Identity Protection Technology with Protected Transaction Display (PTD)
それでは、それぞれについて説明していこう。
* * * * *
【 Intel® IPT with OTP 】
ZIGSOW を始めとする会員サイトにログインするときには当然、ユーザーIDとパスワードを入力する必要がある。
それは、ユーザー本人であることを確認するために他ならない。
言い換えれば、ユーザーIDとパスワードが分かれば本人になりすますことは容易である。
ZIGSOW 程度ならいいかもしれないが(勿論よくはないけど)、お金を扱うことの出来るサイトに不正にログインされたらどうだろうか。
アカウントが乗っ取られるだけでなく、金銭での不利益を被ることは必死である。
当然、こういったことは避けたい。
その際に役に立つのが「ワンタイムパスワード」というものである。
通常のログインパスワードに加え、一定期間有効な毎回変わるパスワードを使ってログインするというものである。
そのパスワードを生成する機構を PC 内で実現するのが「Intel® IPT with OTP」なのである。
そして、Intel® IPT with OTP はハードウェアトークンとソフトウェアトークンのいいところを組み合わせてくれている。
ハードウェア実装のため、信頼性が高い。
ワンタイムパスワードを入力する際、ハードウェアトークンではキーボードなどからキー入力を行う必要があるが、ソフトウェアトークンなのでワンタイムパスワードの入力はコピー&ペーストで済む。
PC に組み込まれているので、ハードウェアトークンを用意する手間も省ける。
色々と美味しい、良い事尽くめな機能なのである。
* * * * *
【 Intel® IPT with PKI 】
「公開鍵基盤」ってご存知ですか?
「利用者の身元を保証してくれる環境のこと」と言ったらいいのでしょうか。
唐突ですが、例えば「あなたが私と文通をしたい」としましょう。
あなたはまず、便箋に伝えたいことを書いて、封筒に入れ、私の連絡先を書いて送ります。その内容は当然私が読むものだと思って書いています。
でも、その連絡先が他人のものだったとしたら。
とっても親切な方なら中身も見ずに送り返してくださるかも知れませんが、見られてしまう可能性も十分に考えられます。
もしかしたら配達員の方が勝手に開けて見てしまうかもしれません。
誰だって、第三者に見られるのは気分のいいものではありません。
見られるだけではなく、改竄されている可能性だって十分にあります。
逆に、手紙が届いたとして、本当にその手紙は送り主が書いたものだと言い切れますか?
「筆跡が送り主のものに似ている」や「宛名が送り主のものである」では、真似できてしまうので絶対的な保証はできません。
でも、これは送り主や受け取り主が間違いなくその本人であるということが保証できれば解決できる話です。
そんなときに機能するのが「公開鍵基盤 (PKI)」なんです。
実際には公開鍵基盤によって利用者のものであると保証された鍵で、文章を暗号化や復号化したり、署名をしたりしています。
その鍵を PC 上のファームウェアに格納して使おうとするのが「Intel® IPT with PKI」という技術なのです。
* * * * *
【 Intel® IPT with PTD 】
Protected Transaction Display (PTD) …聞きなれない言葉である。
機能を説明するとすれば、「ハードウェアレベルでの画面表示」とでも言えばいいのだろうか。
「それって何が嬉しいの?」って話になるが、とりあえず話を聴いてほしい。
普段見ているディスプレイを介して見ているウィンドウシステムはOSレベルからの指示で描画が行われている。
スクリーンショットが取れるのがOSレベルで動作している証拠と言ってもいいだろう。
(話が飛躍しすぎかも知れないが)つまり、悪意のあるアプリケーションからもディスプレイを見ることは可能なのである。
そんな乗っ取られた画面で、ネットバンクなどでよくある、ソフトウェアキーボードでのキー入力を行ったらどうだろうか。ソフトウェアキーボードはキーロガーには対応できるが、画面をキャプチャされていたら太刀打ち出来ない。パスワードは流出確定である。
それは当然困るわけだ。
ここで「Intel® IPT with PTD」の登場である。
Intel® IPT with PTD はOSよりも低いレベルでディスプレイへの画面描画を行え、OSレベルから独立した画面をディスプレイに表示できてしまう。
これにより、保護された認証画面を提供できることに加え、本人がPCの前にいる保証までもできてしまうのです。
* * * * *
Intel® IPT の IP = "Identity Protection" というワードからも想像できるが、いずれもユーザー認証に関連した技術になっている。
直接顔を合わせ(る必要の)ない情報化社会では、本人でなくても本人になりすまし易い性質があります。
この技術は、その穴を塞ぐまではできないにしても、小さくするのに一役買ってくれそうな技術です。
現代のニーズに合っている気がします。
失敗ばっかりしてる…
5つの謎の中で一番完成度の低い検証状況な気が…
何より、一番感じているのが手詰まり感。どうにもならないので、解答だけはたっぷり書いておきましたw
今までの謎は(個人的には)結構頑張ったので、どうかご勘弁を m(_ _)m
【 Intel® Identity Protection Technology のインストール 】
ひとまず、Intel® Identity Protection Technology (Intel® IPT) というテクノロジと同名アプリケーションをダウンロードしてインストールしてみた。
…が、失敗(笑)
確かに対応マザーにDQ77MKの文字はないけど…
後から気づいたことなので、何が元でこうなったのかは不明ですが、Firefox と Thunderbird にアドオンが追加されていました。
どう使われるのかは不明。
* * * * *
同Zチームの aquasky7 さんから、付属のドライバディスクにこのアプリケーションが含まれいているとの情報を頂き、早速試して見ることに。
普通に書いてあるよ… こんな単純なことに気が付かないなんて…
aquasky7 さんには感謝。
あった。そして、あっさりとインストール完了。
このアプリケーションについて何か情報がないかな…とディスクの中身を漁っているとこんな記述が。
このアプリケーションは "Client Middleware" だそうで。
これが入ってないと、Intel® IPT はユーザー側から使えないってことでしょう。おそらく。
【 OTP: Symantec™ VIP 】
Symantec™ Validation and Identity Protection (VIP) で使用されるとの情報をキャッチ。
VASCO社の「DIGIPASS for Windows」というものでも使えるらしいのですが、見当たらないのでスルーしてしまいました。
後から知ったのですが、同社の「MYDIGIPASS」というサービスがあって、こちらだと使えるみたいです。
どうしたら有効化出来るのか調べてみると、どうやら Symantec™ VIP Access for Desktop を使うと自動的に使われるらしい。
Source (Slide 4): Symantec VIP and Intel IPT - Symantec Vision 2013
とりあえずダウンロードしてインストールしてみました。
恐ろしく簡単に終了。これでおしまいでいいんですか…((((;゚Д゚))))ガクガクブルブル
けれども Intel® IPT が有効なのかはわからない… (Intel® IPT Client Middleware を入れてからも試しました)
VIP ("VeriSign™ Identity Protection" or "Symantec™ Validation & ID Protection) のロゴが表示されているサイトで使用可能だそうです。
対応サイトが少ないですね。
何より、私の使っている(アカウントを持っている)サイトがひとつもない(笑)
仕方ないので、PayPal に登録して、試してみた。
【 PayPalで使ってみた 】
とりあえず、ログインします。(登録は適当に済ませました)
ページ下部に「Verisign Identity Protection」のロゴがあるのがわかると思います。「Syamtec™ VIP」が使えるということは「Intel® IPT with OTP」が使える!
「PayPay セキュリティー キー」にアクセス。
このサービスがワンタイムパスワードを使うためのサービスです。
ページ下部の「PayPal セキュリティ キーで今すぐセキュリティを向上」をクリックすると、
「セキュリティーキーを注文」 or 「利用開始」できます。
当然、「セキュリティーキー」 = 「vPro 対応 PC 本体」なので、利用開始を選択します。
なん、だと…
理由は不明ですが、うまく行かず…
サービス終了とか言わないですよね?
結果、失敗(笑)
* * * * *
何故か PayPal だと上手くいきませんでしたが、他のサイトなら上手く使えるんじゃないかと…
これを機に、ZIGSOW も Symantec™ VIP を導入するのはどうですか?(←冗談)
せめてログイン画面を HTTPS (SSL/TLS) にしてください。(←こっちは結構気になってる)
【 PKI & PTD: Symantec™ Managed PKI Service 】
Intel® さんから、「Intel® vPro™ Use Case Reference Design - Intel® IPT with PKI」が公開されています。
その中で出てくるのは、これまた Symantec™ さんのところの「Symantec™ Managed PKI Service」というサービス。
テストドライブ(体験版)もあるのですが、企業名などを入力しなければダウンロード不可能なので「こういうのがあるよ!」って紹介しか出来ない…
そもそも個人が公開鍵基盤なんて使う必要ないですし(笑)
PKI の名前しかサービス名には入っていないのですが、機能の一部に Intel® IPT with PTD の技術が用いられているとのこと。
Source: https://www.verisign.co.jp/mpki8/ipt/index.html
今回の Intel® IPT は vPro™ の中でも比較的新しい技術なので、実際の利用例が多くないのが残念でしたが、どんどんこの技術が広まっていってくれれば、よりよいネットサービスが提供されるのでは、と思いました。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。