エンドツーエンド暗号化ファイル転送 + 受信者検証 (Piping Chunk 0.4.0) - Piping Server経由
https://youtu.be/bIiXd-ymUZs
GitHubリポジトリ
https://gh-card.dev/repos/nwtgck/piping-chunk-web.svg https://github.com/nwtgck/piping-chunk-web
安全性の向上
パスワードは手入力させない仕様に変更
鍵は転送ごとに変わり送信者・受信者・サーバーの誰も知らない
送信者も受信者もソフトウェア上で鍵が存在するだけで、誰も記録したりしない
ユーザー指定のパスワードと違いサーバー上のデータを保存していても、その鍵をユーザーに聞きただすことも仕組み上できない安全性
中間者攻撃を防ぐためにVerification Codeというものも共有される
共通鍵とは別にhex形式の上位32文字
共有される乱数列は中間者は知りえない。そのため相手を検証するために使われるはず
中間者攻撃すると互いに生成されるVerification Codeが違うものになるはず
Piping Chunkの用途は、1人が他の端末に送ったり、話せる距離にいる他人に送ったり、電話越し・チャット越しで話している相手に送ったりを想定している。そこでVerification Codeを伝えることを想定している
Verification Codeと共有鍵に全く関係性がないため、最悪Verification Codeが漏れても解読されるわけではない
以下の左が送信者、右が受信者のVerification Codeの表示。"VERIFY & SEND"を押すと転送される。
https://gyazo.com/b8939fb7a819d150b228cd5740adbf32