米Googleは4月24日(現地時間)、2段階認証アプリ「Google Authenticator」(日本では「Google認証システム」)をアップデートし、ワンタイムコードを端末ではなく、Googleアカウントに(つまりクラウドに)保存するようにしたと発表した。これで端末を紛失してもロックアウトされることがなくなり、機種変更時の移行作業も不要になる。 Google認証システムは2010年にリリースされた、サービスやアプリへの2要素認証(2FA)によるログインで利用できるアプリ。AndroidだけでなくiOS版もあり、TwitterやFacebookなど多数のサービスで利用できる。 これまではワンタイムコードを1つの端末にしか保存できなかったため、その端末を紛失したり盗難されたりすると、このアプリを使って2FAを設定したサービスやアプリにログインできなくなっていた。 既にこのアプリを使って
E2EE を開発していて思うこと
ここ数ヶ月は自社製品向けの End to End (Media) Encryption の設計と実装をしています。年内での提供を目標として開発を進めてい見ていますが、色々感じることがあったので雑に書いていこうと思います。 前提自分は暗号やセキュリティの専門家ではない自社製品向けの E2EE は Signal や Google Duo が利用している実績のある仕組みを採用しているE2EE や暗号の専門家を招聘し、相談しながら開発している自分の E2EE に対する考え悪意あるサービス管理者からユーザを守るために存在する機能と考えています。 Signal プロトコルはよく考えられすぎているSignal が考えた Curve25519 (x25519/ed25519) を利用した X3DH / Double Ratchet の仕組みは安全すぎると感じるくらいです。 相手からメッセージを受信するたび
令和2年10月11日、英国を始めとする関係国による暗号化に関するインターナショナル・ステートメントが発出され、我が国もこれに参加しました。同ステートメントの概要以下のとおりです(発出時の参加国:英国、米国、オーストラリア、ニュージーランド、カナダ、インド及び日本。その後、シンガポール、ジョージア、エクアドル及びヨルダンが追加的に参加(参加表明順)。)。 ステートメント参加国は、個人情報、プライバシー、知的財産、企業秘密、サイバー・セキュリティー、報道関係者や人権擁護者の保護において中心的な役割を果たす強固な暗号化を支持。しかし、暗号化技術は性的搾取を受けた児童のように社会の脆弱性の高い人々を含む公共の安全に対し、重大な挑戦にもなると指摘。 このため、参加国はテクノロジー企業に対し、政府と協力し、合理的かつ技術的に実行可能な方法に焦点を当て、以下の行動をとるよう呼びかけ。 (1)システム設計
GitHub - rung/messaging-security-2020: The State of Messaging Security 2020: メールおよびメッセージングアプリのセキュリティプロトコルの現在
2013年のスノーデン事件以降、PrivacyおよびSecurityは、インターネットの基盤として最重要視されるようになった。無償でTLS証明書を発行するLet's Encryptが設立され、Mozilla、Googleなどのブラウザベンダ、各大手CDNがスポンサーとなった。そういった活動などにより、日本を含む世界で、Webにおいては暗号化(HTTPS)の普及が一気に進んだ。 しかしながら、メールに関連する暗号化やセキュリティについては、特に日本において、エンドユーザ目線からの議論が十分に行われているとは言い難い。 Googleの公開する透明性レポートにおいて、メールにおけるTLS暗号化の普及率が、世界的には2014年の約30%から2020年には約90%に増加した。しかし、2020年10月時点でGmailなどから外部に送信されたメールドメインのうち、暗号化されず平文で送信されたメールのTo
エンドツーエンド暗号化と法規制 – JPNIC Blog
dom_gov_team 2020年12月14日 インターネットガバナンス エンドツーエンド(E2E)暗号化(E2EE)とは、端末間の全部の通信経路でコンテンツを暗号化することを意味し、通信経路の途中の仲介者がデータを復号化して内容を読むことが事実上不可能となります。Whatsapp、iMessage、Signalなどのチャットサービスで主に使われているようです。利用者にとっては安心ですが、犯罪などに使われた例もあるため、法執行当局からはこれまでテロや児童虐待などの対策の際に問題となるという主張がなされてきました。 2020年秋の動きとして、E2E暗号化に関する7ヶ国共同の声明が公開され、かつEUでの決議案のリークがありました。本稿ではその内容をご紹介したいと思います。 ファイブアイズ諸国とインド・日本による声明 2020年10月11日、英国、米国、オーストラリア、ニュージーランド、カナダ
スイスに拠点を置くE2EE(エンドツーエンド暗号化)メールサービスProtonMailに対する批判が高まっている。同社が当局の要請に従ってフランスの活動家にリンクしたIP情報を提供し、それがこの活動家のフランスでの逮捕につながったと、活動家グループが9月1日(現地時間)、反資本主義メディア仏Paris-luttes.infoで主張したためだ。 ProtonMailのアンディ・イェンCEOは6日、この問題について公式ブログで説明した。 ProtonMailへの要請は、フランス当局から直接あったのではなく、欧州刑事警察機構(EUROPOL)経由の要請をスイスの裁判所が承認した。イェン氏は「スイス当局から法的拘束力のある命令を受け、ProtonMailにはこれを順守する義務がある」と説明した。 同社のプライバシーポリシーによると、当局からの要請に応じて提供する情報には、ユーザーのアカウント情報が
GitHub - Infisical/infisical: ♾ Infisical is the open-source secret management platform: Sync secrets across your team/infrastructure and prevent secret leaks.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Web Crypto APIについて
お品書き 概要 歴史 何に使えるの? どう使うの? 概要 ブラウザには、Web Crypto APIという暗号ライブラリが入っています。 JavaScriptから使うことができます。 色んなことができます。 これまで暗号化したいなと思ったらnpmから色々暗号用のライブラリを追加していました。それはもういりません。 使える機能 乱数生成 ハッシュ計算 共通鍵暗号 鍵ペア生成 公開鍵暗号 署名・検証 生の秘密鍵に触らないようにできるらしいです。 つまり、鍵ペアを生成したときに、ブラウザが鍵の生データを隠し持って置き、アプリケーションにはその参照だけが渡されるようにできます。 そうすると、万が一アプリケーションの開発でミスがあっても秘密鍵が漏洩する可能性を下げられます。 選べるアルゴリズム 暗号には様々なアルゴリズムがあります。 業界の規制などによって使えるものが限られていることがあります。 W
E2EE で守れないもの 悪意ある参加者 認証を握っているであろうサービスの管理者が悪意がある場合は拒否できない 悪意ある参加者を拒否するには本人確認がサービスとは別の仕組みでできる必要があり、それは E2EE とは関係ない ローカルへの保存 受信したデータをローカルで復号する以上は防げない、これはもうどうしようもない E2EE で求められるもの パケットへの署名 公開鍵ペアを生成し秘密鍵を利用してパケットに署名を行う事で途中でパケットが改ざんされていないことを確認する 公開鍵がサービス外の第三者によって共有されていることも重要となる これで悪意ある管理者がパケットを改ざんしていないことを確認できる 例えば接続完了時に公開鍵のフィンガープリントを口頭などで共有することで確認することができる Zoom や Cisco はフィンガープリントを数値のみにしたりして、共有しやすくしている メンバー
メッセンジャーアプリのSignalのベータ版において、ユーザー名のサポート機能が追加されました。ユーザー名を登録すると、電話番号を共有せずに他の人とのチャットが可能になります。 Signal >> Blog >> Keep your phone number private with Signal usernames https://signal.org/blog/phone-number-privacy-usernames/ Signal now lets you keep your phone number private with the launch of usernames | TechCrunch https://techcrunch.com/2024/02/20/signal-now-lets-you-keep-your-phone-number-private-with-t
Download hi-res images and animations to elevate your next Zoom meeting. Browse backgrounds
Web Crypto API で AES-CBC や AES-GCM の初期ベクトルをより安全に生成する - 2019-02-08 - ククログ
先日の Web Crypto API の基本的な使い方の解説(改訂済み)においては、説明を簡単にするために AES-GCM の初期ベクトルを乱数に基づいて生成しましたが、これはセキュリティの観点からはあまり好ましくありません。本記事では、Web Crypto API で AES-CBC や AES-GCM を用いて暗号化する場合の、より安全な初期ベクトルの生成方法について解説します。 望ましい初期ベクトルとは? 前の記事でも述べていますが、初期ベクトルについて簡単におさらいします。 共通鍵暗号のアルゴリズムである AES にはいくつかの「暗号モード」があり、中でも CBC や GCM といったモードでは、暗号化に際して初期ベクトルというパラメータが必要となっています。これは、データを暗号化する際に添加する無関係のデータのことで、それによって暗号文から元のデータを予測しにくくするという意味が
E2EE暗号化の仕組み
はじめに E2EE暗号化が普及した背景には、疑似乱数生成アルゴリズムDual_EC_DRBGにバックドアが存在する可能性がある疑惑や、エドワード・スノーデン氏が内部告発したPRISMによる監視・盗聴行為などが明らかになり、高度な暗号化や安全性の高い暗号化技術が求められるようになりました。 E2EEとは E2EE(End-to-end encryption)とは、利用者のみが鍵を持ち、端末間で暗号化されているためMITM攻撃などによる盗聴の対策になります。 前方秘匿性(FS)や楕円曲線上の離散対数問題の困難さから、安全性の高いことが特徴です。 第三者による解読を困難にするため事実上、利用者のみデータを復号出来ます。 一方で、犯罪捜査や違法コンテンツなどの対策が困難になることが問題視されてる。(サービス提供者も復号出来ないため) E2EEが利用されてるサービス ProtonMail Wire
Excalidraw is a whiteboard tool that lets you easily sketch diagrams that have a hand-drawn feel to them. It is very handy to dump your thoughts many of which are sensitive: designs for new features not yet released, interview questions, org charts, etc. By default, Excalidraw doesn’t send anything you draw to the server. But sometimes it is useful to be able to send a link to the scene you are wo
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Google認証システム」がアカウント同期に 機種変が気楽に
エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント
E2EEメールサービス「ProtonMail」、当局に活動家情報を提供したことについて説明
リアルタイムコミュニケーションにおける End to End Encryption (E2EE) について
暗号化メッセンジャーアプリ「Signal」にユーザー名を設定する機能が追加、チャット相手に電話番号を教えることが不要に
Zoom Rolling Out End-to-End Encryption Offering
「Zoom」でようやくエンドツーエンド暗号化が利用可能に ~来週より技術プレビュー/無料ユーザーも利用可能
End-to-End Encryption in the Browser | Excalidraw Blog