BTC
ETH
HTX
SOL
BNB
View Market
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
ホーム
フラッシュニュース
深層分析
記事
ホットスポット
特集
イベント
視点
ツール
ダウンロード
設定
API
Theme Switch
ログイン

Vitalik新文:后深度伪造时代下如何保证信息安全?

区块律动BlockBeats
特邀专栏作者
2024-02-18 07:26
この記事は約2853文字で、全文を読むには約5分かかります
一种技术不需要完美才能发挥作用,将多种技术组合在一起仍能保证安全。
AI要約
展開
一种技术不需要完美才能发挥作用,将多种技术组合在一起仍能保证安全。

元のタイトル:「セキュリティの質問をする」

原作者:ヴィタリック

オリジナルコンピレーション: Luccy、BlockBeats

編集者注: 2 月 4 日、多国籍企業の財務責任者がビデオ会議中にディープフェイク技術を使用して同社の最高財務責任者になりすまして 2,500 万ドルを騙し取られました。この従業員は当初、英国に拠点を置く同社の最高財務責任者から秘密協定の必要性について言及されたとされるメッセージを受け取った後、フィッシングメールを疑った。しかし、ビデオ通話の後、その従業員は最初の不安を脇に置いた。なぜなら、他の出席者は見た目も声も彼の知っている同僚のようだったが、実際にはすべてディープフェイクのエンターテイメント製品だったからだ。

この点に関して、ヴィタリック氏は、暗号化がすべての問題を解決するわけではないと考えており、人間が本来記憶するのが得意な情報ベースを活用し、他の保護層に加えてセキュリティの質問を設定することはワークフローに組み込む価値があると指摘しました。しかし同氏は、安全保障問題は有益ではあるものの、まだ十分に人道的ではないとも述べた。 BlockBeats は元のテキストを次のようにコンパイルします。

フィードバックとレビューを提供してくれた Hudson Jameson、OfficeCIA、samczsun に特別に感謝します。

先週は記事が 1 件ありました記事非常にリアルなディープフェイクのビデオ通話を介して、財務スタッフが騙されて CFO を装った詐欺師に送金させられ、2,500 万ドルの損失を被った企業についての話が広まっています。

最近、ディープフェイク (人工知能によって生成された偽の音声やビデオ) が、暗号通貨の分野だけでなくそれ以外の分野でも頻繁に出現しています。過去数か月間、私のディープフェイク動画はさまざまな詐欺やドージコインの販売に使用されてきました。ディープフェイクの品質は急速に向上しており、2020 年のディープフェイク動画はかなりひどいものでしたが、ここ数カ月で見分けるのがますます難しくなりました。私のことをよく知っている人なら、私がドージコインを販売しているビデオが偽物だとまだわかります。なぜなら、私はビデオの中で「レッツ・ファック・ゴー」と言っているし、「LFG」は「グループを探している」という意味でしか使っていないからです。でも私の声を数回しか聞いたことがない人は簡単に騙されるかもしれません。

私は上記の 2,500 万ドルの盗難についてセキュリティ専門家に話しましたが、彼らは全員、これはさまざまなレベルでの企業運用上のセキュリティの異例で恥ずかしい失敗であり、標準的な慣例では、譲渡を承認する前に資金の 100% 以上を要求することに同意しました。その額に近い署名のレベル。しかし、2024 年の時点で、個人の音声やビデオ ストリーミングさえも身元を確認する安全な方法ではなくなっているという事実は変わりません。

ここで、「安全な認証方法とは何でしょうか?」という疑問が生じます。

暗号化方式だけでは問題は解決しない

人々の身元を安全に確認できることは、あらゆる状況のあらゆる種類の人々にとって重要です。個人は自分自身を回復する必要がありますマルチシグネチャまたはソーシャルリカバリウォレット、企業は商取引の承認が必要で、個人は暗号通貨を使用するか法定通貨を使用するかに関係なく、個人使用のための大規模な取引(例:新興企業への投資、家の購入、送金)、または家族がそれぞれと通信する必要がある場合でも承認が必要です。その他緊急時の確認。したがって、来るべきディープフェイクビデオの時代に対処できる優れたソリューションが必要です。

暗号通貨界隈でよく聞くこの質問に対する答えの 1 つは、「ENS/人間証明プロファイル/公開 PGP キー アドレスの暗号署名を提供することで自分自身を認証できる」です。その答えは興味深いものです。しかし、契約に署名する際に他の人を巻き込むことがなぜ有益なのかを完全に無視しています。あなたが個人のマルチ署名ウォレットを持つ個々のユーザーを代表し、多数の共同署名者の承認を必要とするトランザクションを送信しているとします。どのような場合に承認されるのでしょうか?実際に送金を希望しているのはあなたであると相手が確信したとき。トレーダーがあなたの鍵を盗んだハッカーまたは誘拐犯であると判断した場合、取引は承認されません。エンタープライズ環境では、多くの場合、より多くの防御層が存在しますが、その場合でも、攻撃者は最終リクエストだけでなく、承認プロセスの初期段階でもマネージャーになりすます可能性があります。間違ったアドレスを提供することで、進行中の正当なリクエストをハイジャックする可能性もあります。

したがって、多くの場合、他の署名者が、「あなたであること」を確認するためにあなたのキーで署名することを受け入れることは、目的全体を無効にします。契約全体が、1 つのキーの制御のみを必要とする 1 対 1 のマルチシグに変わります。資金を盗む可能性があります。

これは私たちが考え出した、実際に意味のある答えです。秘密の質問。

秘密の質問

誰かがあなたの友人誰々であると主張するテキストメッセージをあなたに送ったとします。彼らは、これまでに見たことのないアカウントからテキストメッセージを送信し、すべてのデバイスを紛失したと主張しています。彼らが実在の人物であるかどうかをどうやって判断しますか?

明らかな答えがあります。次のことに関連する、彼らだけが知りそうなことを尋ねます。

  • あなたが知っている

  • 彼らに覚えておいてほしいこと

  • インターネットが知らないこと

  • 推測するのは難しい

  • 理想的には、企業や政府のデータベースに侵入した人でさえ、そのことを知らないはずです。

次のような共通の経験についてお気軽に質問してください。

  • 最後に会ったとき、どこのレストランで何を食べましたか?

  • 私たちの友達の中で、古代の政治家について冗談を言ったのは誰ですか?それはどの政治家ですか?

  • 最近見たあの映画は気に入らなかったですか?

  • 先週、あなたは、XXX に関する私たちの研究に協力してもらえるかどうかを確認するために、誰々に相談してはどうかと提案しましたか?

私の身元を確認するために誰かが使用した秘密の質問の最近の実例

質問がユニークであればあるほど良いです。数秒間考える必要があり、答えを忘れてしまう可能性があるぎりぎりの質問が最適ですが、質問している人が忘れたと主張する場合は、必ずさらに 3 つの質問をしてください。 「ミクロ」の詳細(好きなこと、嫌いなこと、特定のジョークなど)を尋ねるほうが、「マクロ」の詳細を尋ねるよりも良いことがよくあります。前者は通常、第三者が誤って掘り出すのが難しいためです。 1 人がディナーの写真を Instagram に投稿すると、最新の LLM がそれをすばやくキャプチャし、リアルタイムで場所を提供できる可能性があります。質問が推測される可能性が高い場合、つまり考えられる合理的な選択肢が少数しかない場合は、別の質問を追加してエントロピーを増加させます。

セキュリティの質問が退屈だと、人々はセキュリティの実践をやめてしまうことが多いため、セキュリティの質問を興味深いものにしましょう。それらは、ポジティブな共有経験を思い出す方法となり、実際にその経験をする動機にもなります。

セキュリティ問題が追加されました

単一のセキュリティ戦略は完璧ではないため、複数の技術を組み合わせることが常に最善です。

  • 事前に合意されたパスワード: 一緒にいるときは、将来お互いの認証に使用できるように、意図的に共通のパスワードに合意します。

  • パニック ボタンについても同意するかもしれません。パニック ボタンとは、相手に強要されたり脅されたりしていることを示唆するために、文中に誤って挿入できる単語です。この単語は、使用するときに自然に感じられるほど一般的である必要がありますが、誤ってスピーチに挿入しないほどまれな単語である必要があります。

  • 誰かがあなたに ETH アドレスを送ってきたら、複数のチャネル (Signal や Twitter のプライベート メッセージ、会社の Web サイト、さらには共通の知人を通じてなど) で確認するように依頼してください。

  • 中間者攻撃を防ぐ: Signal の「安全な番号」、Telegram の絵文字、および同様の機能は理解して警戒する価値があります。

  • 1 日あたりの制限と遅延: 非常に重要で元に戻せない操作に遅延を課すだけです。これは、ポリシー レベル (署名前に N 時間または数日間待機するという署名者との事前同意) またはコード レベル (スマート コントラクト コードに制限と遅延を課す) で行うことができます。

高度な攻撃となる可能性があるのは、攻撃者が承認プロセスの複数の段階で経営陣や被付与者になりすますことです。セキュリティの問題と遅延の両方がこれを防ぐことができるため、両方を使用することが最善です。

秘密の質問が役立つのは、他の多くのテクノロジーとは異なり、秘密の質問が不親切だからではなく、ユーザーフレンドリーが十分ではないために失敗するためです。セキュリティの問題は、人間が自然に記憶するのが得意な情報に基づいています。私は何年も秘密の質問を使用してきましたが、これは実際には非常に自然で違和感のない習慣であり、他の保護層に加えてワークフローに組み込む価値があります。

上記の「個人対個人」のセキュリティ問題は、別の場所に旅行したためにクレジット カードを複数回無効にした後に電話をかけるなど、「企業対個人」のセキュリティ問題とはユースケースが大きく異なることに注意してください。クレジット カードを再度有効にするために銀行に行き、音楽を聴きながら 40 分間列に並んでいると、銀行員が現れ、名前、誕生日、そしておそらく最近 3 件の取引を尋ねられます。個人が答えを知っている種類の質問と、企業が答えを知っている種類の質問は大きく異なります。したがって、これら 2 つのケースを別々に検討する価値があります。

状況は人それぞれ異なるため、身元を確認する必要がある人と共有する固有の情報の種類は異なります。多くの場合、人々をテクノロジーに適応させるよりも、テクノロジーを人々の状況に適応させる方が良い場合があります。テクニックが完璧に機能する必要はありません。理想的なアプローチは、複数のテクニックを同時に組み合わせて、自分にとって最も効果的なものを選択することです。ディープフェイク後の時代では、何が偽造しやすく、何が依然として偽造しにくいという新たな現実に適応するために戦略を調整する必要がありますが、それを行う限り、安全を確保することは依然として完全に可能です。 。

元のリンク

Vitalik
安全性
Odaily公式コミュニティへの参加を歓迎します
購読グループ
https://t.me/Odaily_News
チャットグループ
https://t.me/Odaily_CryptoPunk
公式アカウント
https://twitter.com/OdailyChina
チャットグループ
https://t.me/Odaily_CryptoPunk
検索
記事目次
著者ライブラリ
区块律动BlockBeats
本日開始された WLFI の価値はいくらになるでしょうか?
市場のトレンドに逆らって急上昇してきたZECは、今後も上昇を続けることができるのでしょうか?
3 か月で 20 倍に増加した ZEC の「ビットコイン シルバー」説は妥当でしょうか?
記事ホットランキング
Daily
Weekly
2025年ディーラーの生き残りルール:かつて金はどこにでもあったが、今はこの2枚の切り札に頼っている
2025年ディーラーの生き残りルール:かつて金はどこにでもあったが、今はこの2枚の切り札に頼っている
カルシ氏はコインベース、ロビンフッドなどと予測市場コンソーシアムを結成し、「カジノ理論」の終焉を目指している。
x402がV2バージョンにアップグレードされました。主な特徴は何ですか?
Axe Compute [NASDAQ: AGPU] が企業再編を完了 (旧 POAI)、エンタープライズ グレードの分散型 GPU コンピューティング パワーである Aethir が正式に主流市場に参入します。
XT.com 2025年年次レビュー:年間成長のハイライトとグローバルエコシステムの台頭
Odailyプラネットデイリーアプリをダウンロード
一部の人々にまずWeb3.0を理解させよう
IOS
Android
会社概要
お問い合わせ
採用情報
パートナーリンク
広告協力
利用規約
プライバシーポリシー
免責事項
メディアキット
海南省モディ文化メディア有限責任会社
琼ICP备 2022000863号