約9分で読めます
公共コンピューターモード:共用デバイスで CardanoWall を使う
公共コンピューターモードは、CardanoWall がアイデンティティ関連のデータをブラウザに書き込まないようにします。これにより、共用デバイスを離れても痕跡が残りません。ただし、サインイン中に侵害されたマシンを安全にするわけではありません。
借りたコンピューターや共用コンピューターでも CardanoWall は使えます。公共コンピューターモードは、それをより安全にしてくれますが、安全になるのはある一点に限られます。このモードは、アプリがアイデンティティ関連の情報を一切ブラウザに書き込まないようにします。そのため、立ち去った後にセッションに関するものがマシンに残りません。一方で、サインイン中のご自分を守ることはできません。デバイスが侵害されていた場合、公共コンピューターモードでもその事実は変わりません。
ですから、ルールはシンプルです。共用コンピューターはリスクが高いものとして扱い、公共コンピューターモードをオンにし、価値の高いシードをご自分の管理下にないデバイスに貼り付けないでください。
公共コンピューターモードとは
これは、アンロック時やアイデンティティの作成時にオンにできる、セッション限りで永続化を抑えたブラウザモードです。
ご自分が所有していないデバイスでは、次に使う人のためにアイデンティティ関連の状態を CardanoWall が残してほしくないはずです。公共コンピューターモードは、そのための明示的なトグルです。次のような場面のために用意されています。
- 図書館やホテルのビジネスセンターのコンピューター
- コワーキングスペースやカンファレンスのマシン
- 共用のニュースルームのワークステーション
- 借りたノートパソコン
- 完全には信頼していない組織が管理するデバイス
このトグル自体は、意図的にどこにも保存されません。「自分は公共コンピューターを使っている」という情報を永続化することは、ブラウザストレージへの書き込みそのものであり、まさにこのモードが避けようとしているものです。共用マシンでは、リロードすれば常に安全なデフォルト、つまり毎回あらためて尋ねる状態に戻るべきです。
公共コンピューターモードは何を変えるのか
ブラウザストレージへのアイデンティティ関連の書き込みを、すべてオフにします。
ご自分が所有し信頼するデバイスでは、CardanoWall は秘密ではない利便性のためのデータをいくつかキャッシュし、以降のセッションをスムーズにします。暗号化された保管庫のコピーをブラウザに保持しておけば、リロード時にネットワーク取得ではなくパスキーを 1 回タップするだけで済みます。また、オンボーディング中は秘密ではないセットアップのメタデータを保持しておくことで、不意のリロードでフローが壊れないようにできます。重要なのは、ブラウザに置かれる保管庫のコピーは、サーバーが保持しているものと同じ暗号文だという点です。これは age で暗号化されており、ご自分のパスキーだけが開けるものであって、シードの平文コピーではありません。
公共コンピューターモードでは、これらの経路がすべて抑制されます。記憶された保管庫キャッシュも、ローカルアンロックのショートカットも、バージョンのピン留めも、オンボーディングメタデータのミラーもありません。ゲートは各ストレージのチョークポイントに設けられているため、このモードが書き込まないと定めているものを、アプリのどの部分も誤って書き込むことはできません。
残るのは、メモリ上のアンロック状態です。サインインしている間、シードとそこから導出された鍵はセッションメモリにのみ存在します。これらはタブが生きている限りアプリ内のナビゲーションをまたいで保持されます。ロックやサインアウトはベストエフォートでこれらを消去し、タブを閉じるかリロードするとページ全体が破棄されます。要は、何も残さないことが目的です。ブラウザが何を保持し何を保持しないか、より詳しい全体像はCardanoWall がブラウザに保存するものをご覧ください。
公共コンピューターモードは何を変えないのか
信頼できないコンピューターを信頼できるものに変えることはありません。
これが最も重要な部分です。敵対的なブラウザ拡張機能、ページに保存されたクロスサイトスクリプティングのバグ、キーロガー、リモートアクセスソフトウェアなどに由来する悪意あるスクリプトがアクティブなセッション内にあれば、アンロック中にご自分が入力した内容やアプリがメモリに保持している内容を読み取れてしまいます。これには、貼り付ければIdentity Seed(アイデンティティの種)が、アイデンティティがアクティブな間は秘密鍵が含まれます。
CardanoWall は、厳格なコンテンツセキュリティポリシー、最小限のスクリプト、そしてアンロックと復号はご自分が明示的に操作したときにのみ実行し、自動では決して行わないというルールによって、このリスクを軽減します。これらの対策は確率を下げますが、ご自分のセッション内ですでにコードを実行している攻撃者を排除することはできません。これは、CardanoWall に固有の欠陥ではなく、ブラウザ経由で提供されるあらゆる暗号処理に本来備わった限界です。公共コンピューターモードは残されるものを減らしますが、アクティブな侵害を打ち破るわけではありません。
公共コンピューターで Identity Seed を貼り付けるべきか
許容できる露出範囲であればという条件付きですが、価値の高いアイデンティティについては、正直に言えば答えはノーです。
Identity Seed は、ご自分の Label 309 アイデンティティの根幹です。これを手に入れた者は、ご自分になりすまして署名でき、そのアイデンティティ宛ての封印付きレコードを過去・未来を問わずすべて復号できます。したがって、これを管理下にないデバイスに入力することは、日常的な操作ではなく、重大な決定です。
価値の低いアイデンティティや本当の緊急アクセスであれば、短いセッションのためにそのリスクを受け入れることもあるでしょう。重要なものについては、必ずご自分が信頼するデバイスを使ってください。公共コンピューターモードは共用マシンで通常モードを使うよりも優れていますが、所有していないコンピューターに秘密を入力することの根本的な危険を取り除く効果は何もありません。
共用デバイスでのパスキーはどうか
そのデバイスでパスキーが利用できるかどうかによります。そして、たとえ利用できても、デバイスのリスクが消えるわけではありません。
同期されたパスキーがご自分のパスキープロバイダーのアカウントを通じてそのデバイスに届いていれば、シードをまったく貼り付けずにアンロックできる場合があり、これによりシード入力の露出はなくなります。これは確かな改善です。しかし、アンロックされたセッションには依然として導出された秘密鍵がメモリに保持されており、デバイスは依然として信頼できないかもしれません。敵対的なローカル環境は、一度も入力しなかったシードの代わりに、ライブセッションそのものを狙えばよいだけです。
同期されたパスキーは、それを提供する事業者のセキュリティおよびリカバリーのモデルも引き継ぎます。一方、ハードウェアキーには異なるトレードオフがあります。その選択については同期パスキーとハードウェアキーで扱っています。いずれにせよ、機微なアイデンティティについては、ご自分が管理するデバイスでのみアンロックしてください。パスキーが保管庫をどのように守るかについては、パスキーがアイデンティティ保管庫を守る仕組みをご覧ください。
公共コンピューターモードが実際に役立つのはいつか
最も役立つのは、痕跡を残さないことだけが目的の、リスクの低い作業です。
向いている用途は次のとおりです。
- 証明リンクを開いての確認
- 公開されたオンチェーンの証明メタデータの閲覧
- 機微でないファイルのハッシュのローカルでの検証
- 機微でないアカウント情報の閲覧
- 意図的にリスクを低く設定したアイデンティティでの短いセッション
- 信頼できるデバイスが手元にないときの緊急アクセス
秘密を露出させたり、永続的な変更を加えたりする用途には不向きです。
- Identity Seed の表示
- 機微な封印付きレコードの復号
- 重要なレコードへの署名
- 共有またはチームのアイデンティティの管理
- パスキーの追加
- リカバリーやセキュリティの設定の変更
共用コンピューターを離れる前に何をすべきか
ふたを閉じるだけでなく、意図してセッションを終了してください。
立ち去る前に、次のことを行ってください。
- アイデンティティをロックする
- サインアウトする
- タブとブラウザのウィンドウを閉じる
- 復号したファイルのダウンロードを避け、作成してしまったものは削除する
- 秘密をコピーした場合はクリップボードをクリアする
- ブラウザにパスワードやパスキーをデバイス上へ保存させない
プライベートウィンドウやシークレットウィンドウは、閉じると自身のストレージを破棄するため、便利な追加の層になります。ただし、マルウェアに対するセキュリティ境界と取り違えないでください。それは境界ではありません。
リスクのあるデバイスをすでに使ってしまったらどうするか
ご自分のシードが露出した可能性があるかどうかを判断し、漠然とした不安にではなく、その事実に対応してください。
公開レコードを閲覧しただけであれば、たいてい行うべきことはほとんどありません。しかし、アイデンティティをアンロックした、シードを貼り付けたり表示したりした、あるいは保証できないデバイスで機微なファイルを復号したという場合は、その可能性を真剣に受け止めてください。
シードの露出を否定できない場合は、そのアイデンティティを侵害されたものとして扱ってください。漏洩したシードをリセットする手段はありません。対応は、新しいものへ移行することです。
- 新しいアイデンティティを作成する
- 新しい公開鍵を帯域外で公開し共有する
- CardanoWall で古いアイデンティティを無効化する
- 古い受信アドレスの使用をやめる
- 役立つ場合は、新しいアイデンティティを指し示す上書きレコードを公開する
ここで非対称性に注意してください。パスキーを削除すると、保管庫が残りの要素に対して再暗号化され、古い暗号文は削除されます。そのため、削除されたパスキーは現在の保管庫をもう開けなくなります。しかし、これが役立つのは、シードそのものが一度も露出していなかった場合だけです。シードの漏洩は完全な侵害であり、パスキーの削除でそれを取り消すことはできません。アイデンティティの運用を終える仕組みについては、アクティブ・無効化・削除済みのアイデンティティで扱っています。
まとめ
公共コンピューターモードは、一つの仕事をきちんとこなします。所有していないデバイスのブラウザに、CardanoWall がアイデンティティ関連の状態を残さないようにすることです。共用コンピューターではこれをオンにしてください。すでに侵害されているマシンに対する防御だと取り違えないでください。
アイデンティティが重要なものであれば、信頼するデバイスを使ってください。そして、最も安全な共用コンピューターのセッションは、やはりシードを一度も貼り付けず、価値の高いアイデンティティを一度もアンロックしないものです。このサービスが何を観測でき何を観測できないかという、より大きな問いについては、CardanoWall に見えるものをご覧ください。
さらに読む
- アイデンティティはシードである
- CardanoWall がブラウザに保存するもの
- パスキーがアイデンティティ保管庫を守る仕組み
- 同期パスキーとハードウェアキー
- なぜ鍵はデバイスから出ないのか
- Label 309、CardanoWall のアイデンティティと証明を支える公開標準です。