Amazon Web Services Developer Community : 秘密キーまたはパスワードの「公開」の範囲 ...

Saitou Daisuke(E)

Posts: 3
Registered: 2/8/06

秘密キーまたはパスワードの「公開」の範囲について
Posted: May 25, 2009 3:52 PM PDT

Reply

Product Advertising APIのライセンスで「秘密キーまたはパスワードの公開が出来ない」とありますが、以下は「公開」にあたるでしょうか。

・コンパイル型言語で秘密キー等を実行用バイナリ内に埋め込んで、
　実行用バイナリを公開する。
　ユーザーは自身のPCで実行用バイナリを実行する。

・インタープリタ型言語で秘密キー等をソースコードに埋め込み、実行形式としてパッケージ化し、
　パッケージの開梱禁止を利用条件として、実行プログラムとしてパッケージを公開する。
　ユーザーは自身のPCで実行用プログラムを実行する。
　提供者の意図しない方法でパッケージを開梱した場合、秘密キーを参照できる状態。

以上、よろしくお願いいたします。

yukihidea

Posts: 56
Registered: 2/9/06

Re: 秘密キーまたはパスワードの「公開」の範囲について
Posted: Jun 1, 2009 2:32 AM PDT

in response to: Saitou Daisuke(E)

Reply

私も、この質問には興味がある所です。
一部の、ある程度ハッキングスキルがあるユーザーから覗かれる可能性が
あるこのような秘密キーの埋め込み手法が「公開」にあたるのかあたらないのか…

あたらないのであれば、アプリケーションのユーザーに対してかかる負担が
大きく軽減されることにもなります。

mrsword

Posts: 2
Registered: 6/14/09

Re: 秘密キーまたはパスワードの「公開」の範囲について
Posted: Jun 14, 2009 5:52 PM PDT

in response to: Saitou Daisuke(E)

Reply

ttp://developer.amazonwebservices.com/connect/thread.jspa?threadID=32142&tstart=0
の「OSSからの認証利用について」のご質問もなのですが、
私もこれら規約に関してのアマゾンの見解を早めに伺いたいです。

規約を見てもどっちなんだろう？と迷うところです。

今回の仕様変更においては、暗号化とかプログラム技術的な事はこちらで何とか対処できますが、
規約に関する事においては、アマゾンさんのお返事を待つしかありません。

そろそろ8月15日まで2ヶ月となった事ですし、なるべく早めに見解を示していただけると助かります。

mrsword

Posts: 2
Registered: 6/14/09

Re: 秘密キーまたはパスワードの「公開」の範囲について
Posted: Jun 18, 2009 6:34 AM PDT

in response to: Saitou Daisuke(E)

Reply

例えば、以下の２つのサイトで配布されている
ソフトはシークレットアクセスキーを埋め込んで配布しているようですが、
このような対応の仕方でも宜しいのでしょうか？

http://www5.plala.or.jp/visage/download.html
http://nagaokastation.com/?p=330

ganzai

Posts: 8
Registered: 3/24/08

Re: 秘密キーまたはパスワードの「公開」の範囲について
Posted: Jun 18, 2009 8:36 PM PDT

in response to: Saitou Daisuke(E)

Reply

追加のパターンもお願いします。
・コンパイル型言語で秘密キーを暗号化した上で実行用バイナリ内に埋め込んで、実行用バイナリを公開する。ユーザーは自身のPCで実行用バイナリを実行する。
実行用バイナリをバイナリエディタで覗いた位では秘密キーは解読できないが、実行用バイナリコードをリバースエンジニアリングされれば秘密キーを得ることも可能な状態。

追記で書いたinner/outerパッドキーのことは忘れてください。
よく考えたら、秘密キーにxorしてるだけですね。寝る前に書くとろくな事ない(汗)

Message was edited by: ganzai

Aya@AWS

Posts: 150
Registered: 5/24/06

Re: 秘密キーまたはパスワードの「公開」の範囲について
Posted: Jun 22, 2009 5:52 PM PDT

in response to: Saitou Daisuke(E)

Helpful

Reply

お待たせいたしました。開発チームからの見解が出ましたので、お伝えします。
今までにお問い合わせいただきました、

・コンパイル型言語で秘密キー等を実行用バイナリ内に埋め込んで、
　実行用バイナリを公開する。
　ユーザーは自身のPCで実行用バイナリを実行する。

・インタープリタ型言語で秘密キー等をソースコードに埋め込み、実行形式としてパッケージ化し、
　パッケージの開梱禁止を利用条件として、実行プログラムとしてパッケージを公開する。
　ユーザーは自身のPCで実行用プログラムを実行する。
　提供者の意図しない方法でパッケージを開梱した場合、秘密キーを参照できる状態。

・ http://www5.plala.or.jp/visage/download.html および
http://nagaokastation.com/?p=330
　において配布されているような形式

・コンパイル型言語で秘密キーを暗号化した上で実行用バイナリ内に埋め込んで、実行用バイナリを公開する。ユーザーは自身のPCで実行用バイナリを実行する。
実行用バイナリをバイナリエディタで覗いた位では秘密キーは解読できないが、実行用バイナリコードをリバースエンジニアリングされれば秘密キーを得ることも可能な状態。

のいずれのケースについても、理想的な方法とは言えませんが、条件付きで利用可能であるという見解となります。

上記の実装を行っていただくにあたっての条件は以下の通りです。
1) すでにご質問においても提起されていますが、ユーザが何らかの方法を利用して秘密キーを参照・悪用するような事態が発生した場合に、速やかに秘密キーを変更（AWSアカウントページで随時変更可能です）いただくこと。。
2) 秘密キー変更後、速やかに新しい秘密キーを含んだ新しいアプリを既存ユーザに配布できるようご手配いただくこと。
もし、hack行為によってお持ちのIDが不正利用されているにもかかわらず、秘密キーの変更が速やかに行われなかった場合、Product Advertising APIチームによってアカウントがロックまたは停止され、このIDを利用したアプリが一切動作しなくなる危険性がありますのでご注意ください。

以上、ご不明な点、ご懸念などありましたらおたずねください。
よろしくお願いいたします。

Saitou Daisuke(E)

Posts: 3
Registered: 2/8/06

Re: 秘密キーまたはパスワードの「公開」の範囲について
Posted: Jun 23, 2009 2:42 AM PDT

in response to: Aya@AWS

Reply

Aya@AWS さん：

秘密キー公開範囲についてご回答いただき、ありがとうございました。

プログラムの修正を開始するのに十分な情報が開示されたと思います。よって本件これにて"Answered"に致します。

お忙しいところご対応いただき、まことにありがとうございました。