やはりお前らの「公開鍵暗号」はまちがっている。
※タイトルの元ネタは以下の作品です。 はじめに この記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。 少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。 ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証(本人確認)をするためのプロトコルだと理解して読み進めてください。 公開鍵暗号の前に:暗号技術とは 公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。 これは情報の機密性を守るための「暗号化」という技術ですが、実は「暗号技術」と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。 念のため補足して
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
はじめに このブログに書かれていること 自己紹介 注意 Part1 古典暗号 2つの暗号方式 スキュタレー暗号 アルゴリズムと鍵 シーザー暗号 原理 頻度分析 アルベルティ暗号 ヴィジュネル暗号 如何にしてヴィジュネル暗号は破られたか Part2 近代暗号 エニグマ エニグマの登場 エニグマの基本構造 如何にしてエニグマは突破されたか 前提条件 必ず異なる文字に変換される性質を利用 ループを利用 まとめ 参考文献 採用情報 はじめに このブログに書かれていること 前半 古代暗号から始まる暗号の歴史 エニグマの構造と解読法について 後半(後半ブログは こちら) RSA暗号の基本 楕円曲線暗号の基本 自己紹介 こんにちは!株式会社ABEJAの @Takayoshi_ma です。今回のテックブログですが、ネタに5時間程度悩んだ挙句、暗号を取り上げることにしました!暗号化手法の解説にとどまらず、そ
前振り 全国の暗号を使うエンジニアの皆さんこんにちは。今日は暗号移行とRSA暗号の話をしたいと思います。まず暗号を利用している皆さんであればCRYPTRECの「電子政府推奨暗号リスト」のことはご存じですよね!(言い切るw) CRYPTRECから2022年7月(昨年夏)に暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準(PDF直リンク)が公開されました。この中では暗号のセキュリティ強度で各種暗号と鍵長が整理されています。セキュリティ強度はビットセキュリティと呼ばれるビットサイズ(共通鍵暗号の場合のビット長)で区分されます。暗号アルゴリズムが違ってもセキュリティ強度で比較ができるということですね。例えば現在一般的に良く使われているセキュリティ強度は112ビットセキュリティが多く、これにはデジタル署名であればRSA暗号の2048ビットやECDSAのP-224等が含まれます。今日は公開鍵暗
この本の概要 テレビ会議やリモートワークが普及する中,情報を守る暗号や本人確認のための認証技術の重要性が増しています。本書は公開鍵暗号や署名などの理論を基礎から詳しく解説し,TLS1.3やHTTP/3,FIDOなどの新しい技術も紹介します。更にブロックチェーンで注目されている秘密計算,ゼロ知識証明,量子コンピュータなど最先端の話題も扱います。 こんな方におすすめ 暗号と認証の基礎を学習したい人 Web担当者やセキュリティ担当者など 1章 暗号の基礎知識 01 情報セキュリティ 情報セキュリティの三要素 情報セキュリティと暗号技術 利便性とコスト 追加された要件 02 暗号 暗号とは よい暗号と使い方 暗号の動向を知る 03 認証 パスワードによる認証 パスワード攻撃者の能力 パスワードの攻撃手法 認証の分類 認可 OAuth 04 古典暗号 シフト暗号 換字式暗号 符号化 2章 アルゴリズ
これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef
西日本高速道路(NEXCO西日本)は3月15日、個人情報191人分を保存していた可能性があるUSBメモリを紛失したと発表した。データは暗号化していたものの、メモリ本体にパスワードを貼り付けていたという。 保存していた可能性のある情報は、191人分の氏名、住所など。いずれも、道路を損傷させた人に復旧費用の負担を求める「原因者負担金」に関する情報という。 紛失は2月13日に判明。社員が気づき、捜索したが見つからなかったという。個人情報保護委員会への報告は3月11日に済ませた。情報を保存していた可能性がある人には個別に連絡するという。 関連記事 元日限定「JR西日本乗り放題きっぷ」発売 新幹線も利用可能 2017年の元日限定で、JR西日本と智頭急行の全線が乗り放題になる「元日・JR西日本乗り放題きっぷ2017」が登場。 USBメモリ、メモ、ノートPC……紛失事案が目立った10月セキュリティまとめ
暗号アルゴリズム「SHA-1」の廃止を発表、NIST
米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は12月15日(米国時間)、「NIST Retires SHA-1 Cryptographic Algorithm|NIST」において、暗号アルゴリズム「SHA-1」を廃止すると伝えた。SHA-1の暗号ハッシュ関数はすでに脆弱と評価されており米国政府機関での利用廃止が発表されている。 電子情報を保護するために初期に広く使われた手法の一つであるSHA-1アルゴリズムは、耐用年数が終了しているとして廃止が決定されている。SHA-1がまだ使用されているという現状から、より安全性の高い新しいアルゴリズムに置き換えることが推奨されている。 SHA-1という名称は「Secure Hash Algorithm」の頭文字からきており、1995年から連邦情報処理規格(FIPS:
暗号研究者。既存暗号の安全性解析や共通鍵暗号の利用モード開発などに携わる。2018年に国際標準にもなっていた認証暗号技術の一つである「OCB2」について、暗号が提案されてから14年間気づかれていなかった安全性の欠陥があることを発見した。暗号研究を始めたきっかけは、興味のあった代数学を使い実社会に応用できる分野だったから。(撮影:日経クロステック) 数多くのデバイスがインターネットにつながるIoT(インターネット・オブ・シングズ)時代に、必要不可欠な技術がある。暗号技術だ。パソコンやスマートフォン、クレジットカード決済端末、生産設備に取り付けられたセンサーをはじめ、さまざまな端末の通信で暗号技術が使われている。暗号技術のおかげで、第三者に見られたり意図しない内容に改ざんされたりせずに、データを安全にやりとりできる。 暗号技術を支える研究者の一人が、NEC セキュアシステム研究所の井上明子だ。
あなたの「公開鍵暗号」はPKE? それともPKC? - Cybozu Inside Out | サイボウズエンジニアのブログ
初めに サイボウズ・ラボの光成です。 いきなりですがクイズです。次のうち正しい説明はどれでしょう。 SSHやFIDO2などの公開鍵認証はチャレンジを秘密鍵で暗号化し、公開鍵で復号して認証する。 ビットコインでは相手の公開鍵を用いてハッシュ値を暗号化して相手に送る。 TLS1.3ではサーバ公開鍵を用いてAESの秘密鍵を暗号化する。 答えはどれも間違いです。 公開鍵認証は、(デジタル)署名を使って相手先の正しさを検証するものであり、暗号化は行われません。 同様にビットコインもデータや相手の正当性を確認するために署名が用いられ、暗号化は行われません。 TLS 1.3ではRSA暗号の公開鍵を用いて暗号化する方式(static RSA)は廃止され、ECDH鍵共有された値を元に秘密鍵を生成し、AES-GCMなどの認証つき暗号で暗号化します。 公開鍵暗号とは いわゆる公開鍵暗号には大きく2種類の意味があ
TLSが難しい?RustとLinuxカーネルで実装しよう!
TLS(Transport Layer Security)が難しすぎると、お嘆きのセキュリティファースト世代の皆様、RustでLinuxカーネルを実装しながら学んでみましょう! カーネルモジュールの実装は難しい?それは誤解です。TLSをアプリケーションとして実装しようとすると、各種のライブラリを検索していたつもりが、SNSを眺めていて、一日が終わっていることありますよね。カーネルモジュールを実装するために使えるのはカーネルの機能だけです。検索する必要はなく、雑念が生じる余地はありません。その集中力があれば、カーネル開発は難しくありません。 TLSとLinuxカーネル皆様の中には、LinuxカーネルはTLSをサポートしているのでは?と思っている方がいるかもしれません。TLSは実際のデータの送受信の前に、ハンドシェイクと呼ばれる、暗号鍵の合意や相手の認証を実施します。ハンドシェイク後、Linu
東京大学と九州大学マス・フォア・インダストリ研究所、日本電信電話(NTT)の研究チームは11月24日、量子コンピュータでも解読できない新たなデジタル署名「QR-UOV署名」を開発したと発表した。 この署名は、既存の技術よりも署名と公開鍵のデータサイズが小さいのが特徴。多項式の割り算の余りを使って新しい足し算や掛け算ができる代数系「剰余環」を公開鍵に使うことで、安全性とデータの軽減を両立しているという。 現在普及している暗号技術には、 Webブラウザに使われる「RSA暗号」や、画像の著作権保護や暗号資産に使われる「楕円曲線暗号」がある。これらは、大規模な量子コンピュータが実現した場合、解読されるリスクがあるという。そのため、量子コンピュータが大規模化した時代でも安全に利用できる技術の開発が進んでいた。 中でも、1999年に提案され、20年以上にわたり本質的な解読法が報告されていない「UOV署
警察庁によるランサムウェア(Lockbit)暗号化済データの復元成功についてまとめてみた - piyolog
2022年12月28日、警察庁がランサムウェアにより暗号化されたデータの復元に成功したと報じられました。ここでは関連する情報をまとめます。 Lockbitによる暗号化されたデータの復元に成功 データ復元は警察庁のサイバー警察局、サイバー特別捜査隊が担当。暗号化されたデータからマルウェアを解析し、暗号化の復元を行うシステムを開発した。2022年4月以降、Lockbitの被害に遭った3社において捜査の過程でデータの復元に成功した。*1 復元成功に至った組織の一社はNITTANで、2022年9月13日早朝に暗号化によるシステム障害発生が発生し、2022年10月14日には警察、各システム会社及びサイバーセキュリティ専門会社の協力をうけシステム等の復旧作業を開始している。取材に対しては同社は復旧費などの損失を回避できたとコメント。*2 警察庁から欧州の複数の国の捜査機関に対して、今回の復元方法の情報
イラストで正しく理解するTLS 1.3の暗号技術
イラストで正しく理解するTLS 1.3の暗号技術 初めに ここではTLS 1.3(以下TLSと略記)で使われている暗号技術を解説します。 主眼はTLSのプロトコルではなく、「暗号技術」の用語の挙動(何を入力して何を出力するのか)と目的の理解です。 実際にどのような方式なのかといった、より詳しい説明は拙著『図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』(暗認本)や『暗認本』の内容を紹介したスライドや動画などの資料集をごらんください。 なお表題の「イラストで」は数式を使わないという程度の意味です。 TLSで守りたいもの TLSはコンピュータ同士が安全に通信するための規格です。 主に人がブラウザを介して「https://」で始まるWebサイトにアクセスするときに利用されます。 安全に通信するためには、通信内容が盗聴されても情報が漏れない機密性が必要です。 それから通信が改
キヤノン・ニコン・ソニーが写真にデジタル署名を埋め込むカメラ技術を開発中、AIが生成した精巧な偽物と写真を区別するのに役立つ可能性あり
AI技術の発展によって、実写と見分けが付かない精巧な画像を作成できるようになりました。しかし、画像生成AIで作成した精巧な画像は偽情報の拡散に用いられる可能性があるため、画像生成AIによって生成した画像とカメラで撮影した本物の写真を正確に見分ける技術の開発が求められています。新たに、キヤノン・ニコン・ソニーといったカメラメーカーが写真に「実写であることを証明するデジタル署名」を埋め込む技術を開発していることが報じられています。 ニコンやソニー、「AI偽画像」防ぐカメラ 電子署名で - 日本経済新聞 https://www.nikkei.com/article/DGXZQOUC21C520R21C23A2000000/ Nikon, Sony and Canon fight AI fakes with new camera tech - Nikkei Asia https://asia.ni
ご来店ありがとうございます。 原書の改題改訂への対応を進めていた『プロフェッショナルSSL/TLS』につきまして、きたる12月4日(月)に新刊『プロフェッショナルTLS&PKI 改題第2版』として当直販サイトから順次発売を開始いたします。長らく当サイトにて「2023年秋予定」とご案内させていただいていましたが、発売開始までもう少しだけお待ちいただければ幸いです。 本書は、Ivan Ristić氏が自著 “Bulletproof SSL/TLS” を2022年に改題改訂して新規発行した “Bulletproof TLS/PKI Second Edition” の日本語全訳版です。旧版である “Bulletproof SSL/TLS” とその翻訳版である『プロフェッショナルSSL/TLS』は、発売以来、大きな構成変更を伴わない追記や修正を施したアップデートを何回か実施しており、電子版については
知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) | DevelopersIO
知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) SSL/TLS証明書(以下証明書)には証明書の監視や監査を行って証明書の信頼性を高める「Certificate Transparency(証明書の透明性;以下CT)」という仕組みがあります。 Certificate Transparency : Certificate Transparency CAが証明書を発行する際には、パブリックなCTログサーバーに発行履歴を登録し、ログサーバーから受け取った署名付きのタイムスタンプ(SCT;Signed Certificate Timestamp)を埋め込んだ証明書を発行します(埋め込まない方法も有り)。 ブラウザは証明書に埋め込まれたSCTを確認し、存在しなければ証明書を不正とみなします(ブラウザによ
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を改訂し、新たに「暗号化消去」という用語を追加した。記録媒体を含む情報機器を廃棄する場合やリースの返却をする際にデータを復元できなくする手法だ。 時間がかからず媒体の再利用が可能 従来は記録装置の物理的な破壊やデータ消去ソフトウエアによる上書き消去といった手法を列挙していた。暗号化消去とは、記録媒体にデータを書き込む時点で暗号化して記録しておき、データの抹消が必要になった際に復号に用いる鍵を抹消することでデータの復号を不可能にする手法だ。記録媒体の一部領域のデータを抹消する場合にも利用できる。 通常の消去(上書き消去)とは何が違うのか。実は現在の記録媒体は容量が大きいため、通常の消去作業には膨大な時間がかかる。1テラバイト(TB)のHDD(ハード・ディスク・ドライブ)を1回上書きするのに数時間かかるとされる。確実に消去するため
Avastが無料でランサムウェア復号ソフトを配布
感染したマシン上のファイルやフォルダーから有効な暗号化対象を選択した上で暗号化するランサムウェアは、感染するとマシンのデータが暗号化されてシステムへのアクセスが制限されるため、暗号化の鍵と引き替えに身代金が要求されます。全世界で4億人の利用者を抱える無料アンチウイルスソフトの定番である「Avast」が、ランサムウェアを解読して復号するツールを無料で公開しています。 Decrypted: BianLian Ransomware - Avast Threat Labs https://decoded.avast.io/threatresearch/decrypted-bianlian-ransomware/ Avast releases free BianLian ransomware decryptor https://www.bleepingcomputer.com/news/securi
暗号化の「見方を変えた」Appleが監視社会へのバックドアを開く投稿者: heatwave_p2p 投稿日: 2021/8/142021/8/14 Electronic Frontier Foundation Appleは、今後のオペレーションシステムのアップデートを公表した。その中には、新たに追加される「子どもの保護」のための機能が含まれている。「暗号戦争」について過去に耳にしたことのある人なら、これが何を意味するかをご存知だろう。Appleはデータストレージシステムとメッセージングシステムにバックドアを作ろうとしているのである。 児童性搾取は深刻な問題である。この問題に対処するために、プライバシー保護の姿勢を捨てたテクノロジー企業は、Apple社が初めてではない。だがその選択は、ユーザのプライバシー全体に大きな犠牲を強いるものになるだろう。Appleはこのバックドアの技術的実装がいかに
![暗号化の「見方を変えた」Appleが監視社会へのバックドアを開く | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/d047aa2a142c072b2dd07e0e450803743ca39b19/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2021%2F08%2F3426593704_5a6682e35c_e.jpg)
2018年開催の技術書展5で配布した「マイナンバーカードと電子署名の本」を無料配布します。 マイナンバーカードと電子署名の本(PDF)たまにSNSなどで再販しれくれないかと要望が来ていたのだけど、BOOTHなどの販売ページを用意するのが面倒で放置していました。 そのたびに無料公開しようかなと考えていましたが、それは購入してくれた人に対して不義理になるのではと考えてるうちに3年が経ち、さすがにもう良かろうと思うので無料配布します。古い内容があるかもしれないのでその点ご注意ください。 そういえば最近Markdownが話題ですが、この本もMarkdownで書いて組版しています。 誤りなどありましたら、原稿レポジトリでissue報告をお願いします。 https://github.com/hamano/myna-book どうしてもお金を払って読みたいという人はGithub sponsorで支払いで
OpenSSLプロジェクトによれば、今回のアップデートは「緊急」(CRITICAL)の脆弱(ぜいじゃく)性に対処するためのものだ。リリースに備えてユーザーには準備期間が設けられており、公開され次第迅速にアップデートを適用してほしいという意図がうかがえる。 OpenSSLでは、2014年に見つかった「CVE-2014-0160」いわゆる「Heartbleed」の名称で呼ばれる深刻な脆弱性が話題を集めた。それまで安全な通信を実現する基盤として広く利用されてきたOpenSSLに脆弱性が存在していたという事実は驚きを持って迎えられた。 今回リリースが予定されるOpenSSL 3.0.7で修正される脆弱性の深刻度は「緊急」とされており、CVE-2014-0160よりもリスクが高い可能性がある。今後の情報アップデートに注視し、迅速に対処することが求められる。 関連記事 世界でサイバーセキュリティ人材は
メールやメッセージアプリを使えば他人へのファイル送信を気軽に実行できますが、メールやメッセージアプリでは数MBまでのファイルしか送信できず、大容量ファイルを他人に送信する場合はクラウドストレージやファイル転送サービスなどを利用する必要があります。無料で使えるファイル転送サービス「Wormhole」では、登録不要で最大10GBまでの大容量ファイルをサクッと送信可能であることに加え、エンドツーエンドの暗号化によって送信者と受信者以外にはファイルの中身を閲覧不可能にできるとのこと。めちゃくちゃ便利そうなので、実際にWormholeを使ってみました。 Wormhole - 簡単でプライベートなファイル共有 https://wormhole.app/ Wormholeにアクセスすると、以下のような画面が表示されます。 使い方は非常にシンプル。まず、送信したいファイルを画面内にドラッグ&ドロップします
Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明
ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices. TL;DR: Don't turn it on. The new update allows users to sign in with their Google Account and
登壇者の紹介 平野善隆氏(以下、平野):「ここが変だよPPAP」ということで、進めます。まずは登壇者の紹介です。私、平野が株式会社クオリティアから来ました。メールに関しては1900年代後半からいろいろといじっていまして、PPAPを最初に見たのが、2000年前半ぐらいです。 そのあと当社、当時のトランスウェアに入り、いろいろなメールのソフト、サービスを作っていく中で、PPAPをもしかしたら普及させてしまったかもしれない誤送信防止のソフトやツールなどの、プロダクトマネージャーをしていました。 そういう意味で、PPAPの立場としてはなかなか複雑です。しかし、「止めたほうがいいよ」とも、「おもしろいよ」とも、どんな話もできる立場で、このセッションは「ちょっと変だよ」と技術的にディスりながらしたいと思っています。次はVadeの関根さん、お願いします。 関根章弘氏(以下、関根):Vade Secure
PPAPはセキュリティ対策としての効果が薄いばかりか、生産性の低下を引き起こすと指摘されている。約9割のメール通信サービスが対応している機能を使えば、PPAPの矛盾を解消し、安全かつ楽に添付ファイルを送信できるという。 脱PPAP論の上原 哲太郎教授と問題解決の方向性を議論 セキュリティ効果が薄く業務効率を下げるといわれる「PPAP」(暗号化ZIP添付メール)だが、「周りが続けているからやめられない」という本音も漏れ聞こえる──メール誤送信防止サービスを提供するクオリティアは2022年8月、脱PPAP論で知られる立命館大学教授の上原 哲太郎氏を招いてオンラインセミナー「上原哲太郎氏×老舗メールセキュリティベンダーのガチンコ対談 ~『脱PPAP』対策:コスト・慣習の壁を打ち破る現実的な進め方~」を開催した。PPAPの弊害とともに、メールサーバの多くが対応する機能を生かした脱PPAPアプローチ
※本ブログは2024/2に執筆されています。そのため、アップデートによってここに記載されている内容が現状と乖離する可能性があります。記載する内容を参照する場合は自己責任でお願いします。 はじめに こんにちは! ドワンゴでエンジニアをやっている小林と申します。競技プログラミングを趣味にしています。 今回は業務には関係ありませんが、個人的に興味のあるトピックであるセキュリティーについて執筆します。 対象読者: 以下のどれかを満たす人 AtCoder で青色〜黄色以上、あるいは意欲のある水色以上 暗号理論に興味のある人 数学が好きな人 また、簡単な群論の知識を仮定します。(群の定義など) まとめ セキュリティーの強さはセキュリティーレベルと呼ばれる尺度で測ることができます。 \(k\) ビットセキュリティーはおよそ \(2^k\) 回の計算を要するレベルです。 \(n\) ビットの楕円曲線暗号方
実務で使える メール技術の教科書 基本のしくみからプロトコル・サーバー構築・送信ドメイン認証・添付ファイル・暗号化・セキュリティ対策まで | 翔泳社
システム管理者・開発者が知っておきたいメール技術のすべて 【本書の特徴】 ・豊富な図解で、わかりづらい仕組みもよくわかる ・メール技術を軸に学ぶことで、「サーバー構築」「DNS」「セキュリティ」の仕組みが腑に落ちる ・システム開発・運用の実務で「使える」知識を網羅。1冊あれば安心! 【本書の内容】 SNSやメッセージアプリに押されている印象のメール。 しかし、ほとんどのSNSやWebサービスのアカウント作成にはメールが必要です。ビジネスシーンでは、メールで連絡をする人がまだまだたくさんいます。 つまり、システムやサービスの開発・運営において、メールはいまでも不可欠なインフラなのです。 ところが、メール技術全般について体系立てて説明された情報源は、いつの間にかほとんどなくなってしまいました。結果として実務の現場は、必要な知識だけをインターネットで調べたり、先輩に聞いたりして、「その場をしのぐ
複数のデバイス間でテキストやファイルをやり取りする際、通常はメールやSNSなどを使用しますが、こうしたツールでは安全性が気になるという人もいるはず。「CryptBoard.io」は、複数のデバイス間で暗号化したテキストやファイルを安全に送受信できる上にアカウント登録も不要とのことで、どんなサービスになっているのか実際に使って確かめてみました。 CryptBoard.io - encrypted web clipboard and anonymous chat https://cryptboard.io/ GitHub - MihanEntalpo/cryptboard.io: Web clipboard and simple messanger with end-to-end RSA+AES encryption https://github.com/MihanEntalpo/cryptb
暗号化消去のルール整備進む
文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を改訂し、新たに「暗号化消去」という用語を追加した。記録媒体を含む情報機器を廃棄する場合やリースの返却をする際にデータを復元できなくする手法だ。 時間がかからず再利用が可能に 従来は記録装置の物理的な破壊やデータ消去ソフトウエアによる上書き消去といった手法を列挙していた。暗号化消去とは、記録媒体にデータを書き込む時点で暗号化して記録しておき、データの抹消が必要になった際に復号に用いる鍵を抹消することでデータの復号を不可能にする手法だ。記録媒体の一部領域のデータを抹消する場合にも利用できる。 通常の消去(上書き消去)とは何が違うのか。実は現在の記録媒体は容量が大きいため、通常の消去作業には膨大な時間がかかる。1TBのHDD(Hard Disk Drive)は1回上書きするのに数時間かかるとされる。確実に消去するために複数回上書き
JPCERT/CCと情報処理推進機構(IPA)は2月6日、ラーメンチェーン店を展開する一蘭(福岡市)の「一蘭公式アプリ」(iOS/Android)で、サーバ証明書の検証不備の脆弱性が見つかったと報告した。問題を修正した最新版は公開済み。 影響を受けるのは3.1.0より前のバージョン。影響度を示すCVSS v3のベーススコアは6.5。悪用されると暗号通信の盗聴が行われる恐れがあった。JPCERT/CCから連絡を受け、アプリ開発元のビートレンド(東京都千代田区)で修正対応をした。 一蘭公式アプリは、最新情報の発信の他、店舗検索機能やポイント管理機能を持つアプリ。一部コンテンツの利用にはメールアドレスや電話番号を使った会員登録が必要。 関連記事 ChatGPTに“おすすめラーメン店”を聞いたら幻の名店を教えてくれる その正体とは……? AIチャットbot「ChatGPT」に、人間には答えにくい質
こんにちは、技術開発室の滝澤です。 前回(2021年7月)、『TLS証明書チェッカーcheck-tls-certの公開』というエントリーを公開しました。このcheck-tls-certを開発するにあたって、テスト用のPKI(Public Key Infrastructure、公開鍵基盤)を構築しました。 opensslコマンドを利用したPKI用のスクリプトを整備したのですが、開発当時ではOpenSSL 3.0の開発が進んでいることもあり、OpenSSL 3.0でも利用できるようにとドキュメントを読んでみると、「deprecated」(非推奨)の文字が散見されました。そのため、それを踏まえたスクリプトを書きました。この際に得られた知見を本記事で紹介します。 なお、2021年9月7日にOpenSSL 3.0.0がリリースされました。 本記事を1行でまとめると次のようになります。 OpenSSL
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。 LINEヤフー Tech Blog LINE株式会社およびヤフー株式会社は、2022年11月17日・18日の2日間にわたり、技術カンファレンス「Tech-Verse 2022」をオンライン(ライブストリーミング形式)にて開催しました。特別連載企画「Tech-Verse 2022 アフターインタビュー」では、発表内容をさらに深掘りし、発表で触れられなかった内容や裏話について登壇者たちにインタビューします。今回の対象セッションは「JavaScriptホワイトボックス暗号とLINE Chromeのセキュリティ強化」です。 LINEが提供するアプリケーションはさまざまなプラットフォームで動作しています。ネイティブであれWebであれ、すべての環境で高いレベルのセキュリティ
FBIがハッカー集団「BlackCat」のサイトを押収し復号キーを配布、BlackCatは効いていないと主張するも致命傷の可能性
アメリカ司法省が2023年12月19日に、ランサムウェアグループ「BlackCat」のサイトがFBIによって押収されたと発表しました。BlackCatは新しいサイトを立ち上げて押収の影響は軽微だと主張していますが、専門家は「無能が露呈したランサムウェアグループが復権することは難しいだろう」との見解を示しています。 Office of Public Affairs | Justice Department Disrupts Prolific ALPHV/Blackcat Ransomware Variant | United States Department of Justice https://www.justice.gov/opa/pr/justice-department-disrupts-prolific-alphvblackcat-ransomware-variant FBI d
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ
暗号の歴史と現代暗号の基礎理論(RSA, 楕円曲線)-前半- - ABEJA Tech Blog
RSAの終わりの始まり - 暗号移行再び - Qiita
図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書
Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
NEXCO西日本がUSBメモリ紛失 データは暗号化済……ただしパスワードは本体に貼り付け
14年間気づかれなかった暗号の脆弱性を発見、焦りと戦ったNECの若手研究者
量子コンピュータでも解読できない暗号技術、東大らが開発
12月4日に新刊『プロフェッショナルTLS&PKI 改題第2版』発売予定
OpenSSL-2022/software at main · NCSC-NL/OpenSSL-2022
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
記録媒体の廃棄はドリルよりも「暗号化消去」、ルール整備で認知高まるか
Windows 11で可能になったパブリックDNS利用時のDoHによる暗号化を試す【イニシャルB】
暗号化の「見方を変えた」Appleが監視社会へのバックドアを開く | p2ptk[.]org
マイナンバーカードと電子署名の本(無料配布) - cuspy diary
OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース
【Ubuntu日和】 【第37回】UbuntuでもBitLockerのようなストレージ暗号化を実現してみよう
無料で最大10GBの大容量ファイルを暗号化して安全に送信できるウェブサービス「Wormhole」を使ってみたよレビュー
セキュリティ的にはパスワード付きもリンクも変化なし “変”と言われる日本独自のPPAPの使われ方
添付ファイルの暗号化はもはや必要ない 脱PPAPの真実と代替案
楕円曲線暗号方式の強度について - dwango on GitHub
複数デバイス間でテキストやファイルを暗号化して安全に送受信できる「CryptBoard.io」を使ってみた
ラーメン「一蘭」公式アプリに「盗聴の恐れ」 サーバ証明書の検証不備で 最新版で修正済み
マイナンバーカードの電子証明書の更新に行ってきた ~いたって簡単、青色申告の個人事業主は注意~
OpenSSL 3.0のTLS証明書用プライベート鍵生成方法
JavaScriptホワイトボックス暗号とLINE Chromeのセキュリティ強化の裏話
【第2回】「テレワーク」や「ハイブリッドワーク」はWi-Fiのセキュリティ対策をお忘れなく! 最新の暗号化通信や正しい機器の設定で安全かつ快適にWi-Fiを活用する
minicotan.hatenablog.com
news.livedoor.com
togetter.com
bensei.jp
capydayo.hatenablog.com
blog.goo.ne.jp/mt-draco