カラクリスタ

「輝かしい青春」なんて失かった人のブログ

また寝オチしてしまった

ので、日付を弄ってごまかす。


今日 (と言うか厳密には昨日だけど) は定期的な診察の日で、 朝から昼の 13 時まで外出していたんだけど、その時の待ち時間などで、

サーバサイド P2P で各ノードが連携する Web アプリで、一意な ID 認証は出来るか否か

みたいな事を考えていえて、結論としては下記の様な感じになった:

  • 個人が所有する連絡手段で、誰もが使えそうなのは Email Address ぐらい
  • 信頼できないノードをネットワークに含む場合、パスワード認証は安全上使えない
  • パスワード認証が使えないとなると、公開鍵ベースで共通鍵作って署名して云々が必要
  • IT 詳しくない人が公開鍵云々しようと思うと、色々と自動化する必要がある

そして、最終的には、

  • Email に fernet spec な JSON Token を添付して Forward するなりして処理を自動化すれば良さそう
  • その上で、本人証明などでは、公開鍵で共通鍵とか作って秘密鍵で署名とかすれば良さげ
  • そしてログインとかでそれを使おうと思うと、 Email を入力したのが本人かどうか確認する必要がある

という感じなった。


ま、今の僕の中のアイディアだけだと何らかのセキュリティ上の穴とかありそうなんで怖いけど、 その辺りをなんとか出来れば、Proof of Concept とか作れたらなぁ、とか思ってます。はい。