Access Control by Testing for Shared Knowledge,
Michael, T., Xiannhang, Z., James, F. and James, A.L.,
Proc of the 26th annual SIGCHI conference on Human factors in computing systems (CHI 2008), pp.193-196, (2008).
ACM Digital Library
■ Abstract
- onlineでのprivacy制御は容易ではなく、しばしば混乱の基となっている
- social access controlの提案.ユーザは共通知識に関する簡単な質問を設定し、明示的なアクセス制御規則を設定する
- プロトタイプを実装し、写真共有システムとして評価を実施.問題作成の難しさ、攻撃者による安全性の測定そしてユーザの理解しやすさとこのシステムの安全性に対する予測を評価
以降、走り書き
■ Introduction
- なんの共有であっても、そのためにはアクセス制御が必要
- white list/black listは数学的に厳密でいいのだが、現実的には不便なことが多い
- 80人の人と写真を共有するのにアカウント/パスワードを作るのか? Whiltelistを用意するのか?
- 社会的なグループは共有している知識がある(図1).それをアクセス制御に利用.guard questions of shared knowledge
- 設計上の問題と調査、shared knowledge questionのsecurityに関して議論
- social securityでは、厳密だったり暗号といったものを必要としているのではなく、利便性や柔軟性、多義性や微妙な差異を認められる手法を求めている.
□ Traditional Access Control: Whitelist and Blacklist
- White/Black listは社会的な関係をリストに明示的に書き出す必要がある.これはいくつかの点において面倒である
- Tedious: リストの作成維持を共有情報毎にしなければいけない.それは手間だし忘れてしまう
- Rude and Lacking Social Nuance: 社会的な関係はそもそもあいまいである.それはwhite or blackという二値で表すのは難しい.そういう行為は先入観や差別を生むと言われている[4].社会的なニュアンスを認められるようなポリシーの追求が望まれる
- Inexpressive or Complicated: 長大なリストの管理負担を減らすために、Webサイトでは既定のグループを定義して使用できるようにしている.しかしこれでも"親密な友達"とか、ある特定の人だけ除外するという設定は困難であり、柔軟性は低い.UNIXにおけるgroupの概念もあるが、これもその設定が面倒であり、事前にその仕組みを学習する必要がある.
- White & Black listにはzero-sum trade-offがある.グループがないとその維持作業は退屈であり複雑化するが、既定のグループは現状を反映しにくくなる.しかし共有知識はそれよりも柔軟であると推測される.
■ COPING with GUESSERS and FORGETTERS
- shared knowledge systemは、攻撃者による推測攻撃と、正規ユーザのパスワード忘れに対する対処が必要
- 3種の推測攻撃者
- 1. 社会的につながりのない攻撃者: 推測を助けるような情報がないので、推測できる情報数には限りがある
- 2. social graph内のユーザによる攻撃: ログやアクセス試行を晒す
- 3. 答えを忘れてしまったりフレーズを誤ったりする友人: アクセスを許可すべきユーザ
- アカウントはいらない.推測制限とロギングで対処.Nike+iPodの例
- IPアドレスは地理情報へのmappingが可能
- システムの実装にはこれらの設計要素がある.
■ STUDY: GUARD QUESTIONS FOR PHOTO SHARING
- 社会的関係と共有情報によるセキュリティシステムの効果について要約した、次は形式的実験によりその背景にある問題を探し出す
- 1つめは誰と写真を共有したいか、そしてそれらのグループを分割しうる共有情報が存在するか
- 2つめはどんな質問が考えられるか? そしてそれはどの程度難しいか?
- 3つめはそれがどのくらい推測されやすいか? そしてその脆弱さを正確に予測できるか?
-- 3つめは作成してもらった質問を公開し、匿名の人たちに報償付きで推測してもらった
□ Designing Questions
- 特定の人たちと写真を共有したい31人が被験者
- それぞれの質問で10人の攻撃者がそれぞれ10回推測攻撃する.
- 男女比は男47/女53%、平均27歳.
□ Results: Desired and Undesired Recipients
- 被験者を回答を9つのカテゴリーにわけた(表1)
- 人々はアクセス権を与えるよりも、アクセスを拒否する方に注意を払っている
□ Results: Questions Designed
- 概念は簡単に理解でき、すぐに問題を作れるようになっていた.
- 168個のuniqueな問題が得られ、6つのカテゴリーに分類できた(表2)
- 179枚のうち3枚を除いて質問は作成できていた (98%)
- 質問作成値の中央値は8秒、しかし一方で長い時間がかかる場合もあった.平均は15秒、標準偏差は28秒
- 個人による差が大きい.8つの質問を作成するのに平均155秒で、最長は600秒という人もいた
- 質問作成時間と推測に対する脆弱性に有意な影響は見られなかった
□ Cracking the Questions
- 設問の推測に対する脆弱性をはかるために実験.10人の攻撃者により10個の回答をそれぞれの設問に対して取得.
- 3回までの推測で正解した人は6%.10回までの推測で成功した人が11%.推測を3回までに制限すれば、半数の攻撃者は排除できる
- いくつかの質問は、ユーザが意図的に推測されやすい質問を設定していたと考えられる.
- 図3に設問者の難易度予測と実際の推測成功率の比較.右下、左上が誤まった予測(想定難易度と推測成功率に大きな食い違い)に該当
- 168個中10個の質問が、その安全性を過大評価されていた
- 予期せず推測された7つの例について調査: 2つの共通した誤りを発見.5つの設問は、全ての回答選択肢を容易に列挙できてしまう例(いつも夜更かししている曜日は?)、残りの2つはWeb検索エンジンで検索した結果、結果を見たそのページに回答がある例であった(Chrisのクローゼットで生きているのは誰?).
- Web検索のオントロジーを使うことで、脆弱な質問を自動検出できるかもしれない.
■ Handling Ambiguous Answers
- ユーザが共有の知識持っていても、その回答フレーズは異なる可能性がある
- あいまいな回答を扱うためにいくつかの規則を用意.37行のアルゴリズム
-- Intra-word deviations: スペル間違いや中間部の違いなどは許可 (Teriers <=> Terrier)
-- Alternative words: 省略形、頭字語、類語は間違いとして扱う
-- Extra or missing words: stop words(and, or, to)は無視.extra wordは許可.(例) "seattle downtown"を"seattle"の間違いとして入力した場合はOK.missing wordは誤り.(例) "grandparents"を"gabe's grandparents"の間違いとして入力した場合はNG.
- このアルゴリズムには2つの問題がある
-- 1) "case western"は"western"の特殊形ではないものの、正解と判断される
-- 2) "2005 and 2007"という解の場合、"2003 2004 2005 2006 2007"という推測回答を正解としてしまう
■ Related Work
- 個人認証は個人の持つ知識を照合.母親の旧姓など[5]
- 共有情報を使用することで個人からグループへ
- 写真の知識もアクセス制御に使えるだろう.個人からグループへ[3]
- 共有パスワードなどもアカウント生成することなしにアクセス制御もできるが、guard用の質問とは異なり鍵を事前に配布しなければならない.またそれを記憶保持し、適切に管理しなければならない.
- 共有知識による回答はユーザの実生活に基づいたものであるから、その記憶が容易である.また事前に配布する必要がないため、必要に応じて質問を変更することができる.
- また事前に配布する必要がないため、ad-hocなユーザ間でWebを共有するにも使用できる.我々はこの研究を形式化し、設計指針をまとめ、その有用性を広めていく予定である
- また最近の研究[1]では、white/black listに基づいたシステムの利便性を改善するものもある.
■ Future Work
- 社会的に関係のあるまたは友達による攻撃実験は行わなかったので今後の課題.この被験者の定義には様々な要素が考えられる.
- 評価のためのシステム実装
- 予想外の推測成功率を下げるためにいくつかの手段が考えられる
-- 推測攻撃とでたらめ攻撃の実時間視覚化システム
-- 代替回答や回答の境界を指定するためのインタフェース
-- 脆弱な質問/回答のための経験則的調査
-- 事前に安全だと思われる質問/回答の用意
-- 規則による推測攻撃の過小評価に関する認知的解析
-- 脆弱な質問の自動検出
-- 自然言語解析による回答検証と脆弱な質問の検知
- 写真共有以外への適用: blog、wi-fiアクセスなどなど
- 既存のアクセス制御とGuard questionの組み合わせの模索.
■ Conclusion
- アクセス制御として共有知識に基づく質問応答手法を提案.
- ユーザはその手法をすぐに理解し、問題作成の負担も比較的少なかった
- 多くの質問は他人による推測が困難であった.
- ユーザは質問の安全性を予測できていたが、いくつかの点では攻撃者の能力を過小評価していた.それはWeb検索エンジンによる方法や、回答選択肢の洗い出しに関する点である.
- いろいろな場面で使えるであろう手法であると考えている