楕円曲線と暗号東京理科大学理工学部数学科談話会 https://wiki.ma.noda.tus.ac.jp/rs/seminar/2020/05Read less
TLS実装の脆弱性「ROBOT」、19年前の攻撃が再来 大手各社の製品に影響
TLSの実装に関して1998年に発見された攻撃手法が、わずかに手を加えるだけで、現代のHTTPSに対して通用してしまうことが分かった。 インターネット上の通信暗号化に使われるTLSの実装に関して19年前に指摘されていた脆弱性が、主要メーカーの製品やサービスに存在していることが分かった。この問題を発見した研究チームは、当時「Bleichenbacher攻撃」と呼ばれた攻撃の再来として、「ROBOT(Return Of Bleichenbacher's Oracle Threat)」と命名している。 ドイツのルール大学ボーフムなどの研究チームは12月12日、この脆弱性に関する詳しい情報を公開した。それによると、1998年にダニエル・ブライヘンバッハ氏が、RSA暗号を使ったTLS通信の暗号化を破る攻撃手法を発見。研究チームは今回、この手法にわずかに手を加えるだけで、現代のインターネットを支えるH
理解してるつもりの SSL/TLS でも、もっと理解したら面白かった話 · けんごのお屋敷
apache や nginx の設定をしたことがあれば以下の様な行を見たことがある人も多いのではないでしょうか。(※ 下記は nginx の設定。apache の場合は SSLCipherSuite です。) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; これが暗号スイートを指定している箇所です。そしてこの部分、わけのわからない文字列の羅列なのですごく取っつきにくくて何を指定したらいいかわからないので、コピペしてしまう人も多いんじゃないでしょうか。かくいう私も数年前に趣味で TLS 対応の Web サービスを作った時はコピペで済ませていました。この暗号スイートは、以下のような OpenSSL のコマンドを使って対応している一覧を見ることができます。 $ openssl ciphers -v AES128-SH
米国家安全保障局でも破れない暗号化ツールの存在、新たにリーク
NSAが万能ではないということがわかっただけで、とりあえず一安心…かな? エドワード・スノーデン氏のリーク文書から、米国家安全保障局(NSA)でも傍受できない暗号化ツールが発見されたと独デア・シュピーゲルが報じています。2012年の時点でNSAでも傍受できなかったツールとして、匿名通信システムTorや電子メールサービスZoho、ファイル暗号化ソフトTruecrypt(現在は開発終了)、インスタントメッセージングOTR(Off-the-Record)の名前があげられています。驚くべきことに、20年以上前に開発された暗号化ソフトウェア、PGP(Pretty Good Privacy)も通信傍受では鬼門とされていたそう。 さらに、これらのツールを組み合わせた場合の通信傍受は、NSAにとって「悲惨」なくらい困難だったと記事は述べています。 例えばTorとインスタントメッセージシステムのCSpace
PCの電位変化から暗号化データを復号する新手のハッキング手法が登場
By Charis Tsevis 暗号化されたデータを復号するために、暗号装置の動作状況を物理的に調べることで間接的に復号用のキーを盗み出す攻撃方法は「サイドチャネル攻撃」と呼ばれています。さまざまな手法が開発されるサイドチャネル攻撃に「PCの電位状況を測定することでRSA暗号の秘密鍵を盗み出す」という攻撃法が編み出されました。 Get Your Hands Off My Laptop http://www.cs.tau.ac.il/~tromer/handsoff/ Touching a Laptop Can Break Its Encryption | MIT Technology Review http://www.technologyreview.com/news/530251/how-to-break-cryptography-with-your-bare-hands/ サイドチ
ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
crypto++でのお手軽暗号 - Y's note
C++プログラミング入門 作者:サティア,グレゴリー,ブラウン,ダウグオライリー・ジャパンAmazon お手軽暗号 @yutakikuchi_です。 今日はcppで暗号/復号するためのエントリーを書きます。PHPやPythonにはcrypt標準モジュールがありドキュメントも充実しているので簡単に暗号化できますが、cppではそれらがあまり整備されていない事もあってプログラム書く時にちょいと苦労します。尚、ここでお手軽暗号と言っているのは暗号化のブロック方式をECBで対応するためです。CBC方式でも良いのですがIVの管理も面倒だし、そもそもそこまで暗号化強度に拘らないケースを想定しています。cppでの暗号化を行う為のLibraryとしてcrypto++という様々な暗号化方式をサポートする物を利用します。 Crypto++ Library 5.6.2 - a Free C++ Class Lib
そろそろ「ZIPで暗号化」の謎文化をなくしたい - teruyastarはかく語りき
Twitter / dnobori: ファイルをZIPで暗号化し、まずZIPをメールで送り、しばら ... https://twitter.com/dnobori/status/346488232537632768 Daiyuu Nobori ファイルをZIPで暗号化し、まずZIPをメールで送り、しばらくして別メールで8文字程度の乱数パスワードを送るという謎のプロトコルが日本企業で流行っているが、ZIPのパスワードは総当たりでかなり高速に解析できるし、そもそもパスワードをメールで送っているので効果が疑問。 僕も昔そのように送られてきて同じ疑問もったことあります。 はてブコメントみると、 2度送ることであて先ミスによる添付からの情報漏れを防ぐという効果はそこそこ期待できる。 誤送信による一撃死を免れるためのプロトコル。 まぁでも実際メールやFAXの誤爆とかよくある事なわけで。 暗号の強度では
SSL is not about encryption
これはTroy Hunt氏によるSSL is not about encryptionの和訳である。@ten_forward氏による翻訳もあるが訳がわかりづらいので、ほとんど参考にせずに翻訳し直した。 SSL is not about encryption. は The basic purpose of SSL is not encryption. のように訳す。同様な文例に Copyright is not about copying. がある。@ten_forward氏による「SSLは暗号化のためのものではありません」は誤訳である。ここでは「主目的ではない」と訳す。 SSLの主目的は暗号化ではない SSLの主目的は保証することである。サイトが本物であることにある程度の信頼性を与えることで、データの送受信を行う際にデータが横取りされることも改ざんされることもなく意図した相手に届くと確信で
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メールの暗号化 - とみたまさひろ - Rabbit Slide Show