「認証」を整理する | IIJ Engineers Blog
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
やはりお前らの「公開鍵暗号」はまちがっている。
※タイトルの元ネタは以下の作品です。 はじめに この記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。 少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。 ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証(本人確認)をするためのプロトコルだと理解して読み進めてください。 公開鍵暗号の前に:暗号技術とは 公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。 これは情報の機密性を守るための「暗号化」という技術ですが、実は「暗号技術」と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。 念のため補足して
暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「
なぜ、宅ふぁいる便は「暗号化」していなかったのか
大阪ガスの子会社であるオージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいしたことが明らかになりました。 「外部からの不正アクセスによる情報漏えい」だけならば、そう珍しいことではありません。けれどこの一件では、パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいます。このデータを手に入れた誰かが、わざわざデータを復号しなくても、そのまますぐに悪用できるからです。 既にあちこちで報じられていることから対応済みの方も多いと思いますが、もし宅ふぁいる便で使っていたものと同じパスワードを他のサービスでも使い回していた場合、速やかに変更する必要があります。 「なぜ、暗号化していなかったのか」を考察 さて、この一件では、「今どき、パスワードを暗号化せず、平文のまま保存しているな
21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性
電子メールの暗号化に広く使われている規格に、暗号化されたメッセージを攻撃者が平文で入手できてしまう脆弱性が報告された。特にApple Mail、iOS Mail、Mozilla Thunderbirdなどのメールクライアントが危険だという。 電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。 脆弱性はドイツのミュンスター応用科学大学などの研究チームが発見し、「EFAIL」と命名。2018年5月13日から14日にかけて技術論文などを公開した。 電子フロンティア財団の発表やEFAIL解説サイトによると、EFAIL攻撃ではHTMLメールなどのコンテンツを悪用する手口で平文が抽出さ
サイバー攻撃とのはてなき戦い--“暗号アルゴリズムの危殆化”における問題点と技術者に求められるモノ
情報処理における全国のエキスパートが一堂に会したリクルート主催の「春の情報処理祭」。株式会社インターネットイニシアティブの須賀祐治氏は、暗号技術を取り巻く現在の状況ついて語りました。(春の情報処理祭りin京都より) 深刻な情報セキュリティ技術者不足 須賀祐治氏:はい、じゃあ、須賀です。さっさと始めます。(スライドが)220枚ぐらいあります。絶対無理です! 登場曲についてなんですけど、社内のみんなに「どんなのがいいかね?」って。石野卓球のCDだったり、電気グルーヴのCDだったり、クラッシック系だとリスト辺りがいいかなと思ったんですけど、結局最終的にこれ(『石野卓球 MIX-UP Vol.1』)にしました。 なぜかというと、修士1年、2年ぐらいのときによくこれを聴きながら論文を書いてたっていう記憶がありました。それで、これ、なかなか見つからなくて、うちの3階の納屋みたいなところにあって、やっと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
量子コンピュータでも解読が困難な新暗号方式が国内で開発