「盗聴」という言葉が死語になる日 - アンカテ
WhatsApp、全てのプラットフォームのエンドツーエンド暗号化を完了 | TechCrunch Japan あまり話題になっていないが、これはすごく大きなことだと思う。 end-to-end encryption というのは、それほど目新しいことではないし、メッセージングでこれをサポートしたのも、WhatsAppが最初ではない。技術的に見て画期的なこととは言えない。 しかし、facebook傘下で、10億人のアクティブユーザを抱えるベンダーが、原則として全てのユーザに対してデフォルトでこれをサポートすることの意味は大きい。 今までは、暗号化ソフトは沢山あっても、普通の人はそういうものを使わなかった。わざわざそういう面倒くさいものを使うのは、犯罪者かテロリストだけだ、は言い過ぎだけど、たとえば、普通の捜査で確度の低い情報からある容疑者を探し出したとする。そいつが暗号化ソフトで通信してたら、
ヤフー、「Yahoo!検索」をSSLで暗号化--検索キーワード解析が不可能に
ヤフーは8月12日、「Yahoo!検索」の検索結果をSSL(HTTPS)で暗号化すると発表した。8月18日から段階的に反映させる計画。ヤフーによれば、ウェブサイトを運用する企業や個人は、ウェブサイトのアクセス解析時に、Yahoo!検索から流入したユーザーの検索キーワードなどが解析できなくなる。 検索結果のアドレスは「http://search.yahoo.co.jp/*」から「https://search.yahoo.co.jp/*」に変わる。 SSL化にともない、利用中のOSによっては、エラーメッセージが表示されるなど検索結果が正常に閲覧できない可能性がある。ヤフーでは、Windows XP利用者向けに、その対応方法などの説明ページを公開している。 Googleはウェブ検索で、2011年10月にSSL化を進めることを発表していた。
信頼あるWebサイトでも4割に影響 - トレンドマイクロがSSL脆弱性で注意喚起
トレンドマイクロは3月5日、同社のセキュリティブログにおいて、1990年代から存在していたと考えられる脆弱性について注意喚起を行った。 脆弱性は「Factoring RSA Export Keys(FREAK)」と命名されており、この脆弱性が悪用されると、利用者がSSL/TLSを行う際に強度の弱い暗号(RSA Export Suites)を使用させられる。強度の弱い暗号が解読されることにより、通信の盗聴、改ざんが行われる危険性がある。 FREAKは、パリのフランス国立情報学自動制御研究所(INRIA)所属の Karthikeyan Bhargavan氏、および同研究所とMicrosoft による共同プロジェクトチーム「miTLS」によって確認。「OpenSSL」(0.9.8zd未満・1.0.0p未満の1.0.0バージョン・1.0.1k未満の1.0.1バージョン)および Apple の SS
FREAK脆弱性、サポートされている全ての「Windows」に影響--マイクロソフトが対応方針を発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは米国時間3月5日、SSL/TLS暗号化プロトコルに存在する脆弱性「FREAK」への対応方針を、セキュリティアドバイザリ3046015で明らかにした。 この脆弱性は、フランス国立情報学自動制御研究所(INRIA)の研究チームが発見し、3日に公表したもの。影響を受けるブラウザとウェブサイトは、本来の強固なRSA暗号から、「(米国)輸出仕様」の脆弱なRSA暗号に強制的にダウングレードされてしまう可能性がある。この輸出仕様のRSA暗号は、米国が1990年代に行っていた暗号化技術の輸出規制の副産物だ。 今回のアドバイザリによると、SSL/TLS暗号化の実装である「Secure Channel(Schannel)」にセキュリティ
Tracking the FREAK Attack
On Tuesday, March 3, 2015, researchers announced a new SSL/TLS vulnerability called the FREAK attack. It allows an attacker to intercept HTTPS connections between vulnerable clients and servers and force them to use weakened encryption, which the attacker can break to steal or manipulate sensitive data. This site is dedicated to tracking the impact of the attack and helping users test whether they
FREAK についてまとめてみた - piyolog
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
SSLの深刻な脆弱性「FREAK」が明らかに--ウェブサイトの3分の1に影響か
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-03-04 16:45 1990年代の初めには名案のように感じられたのかもしれない。Secure-Socket Layer(SSL)という暗号化技術が産声を上げた当時、米国家安全保障局(NSA)は外国でやり取りされる「セキュア」なウェブトラフィックの内容を確実に傍受したいと考えていた。このためNSAは「Netscape Navigator」のインターナショナル版には40ビット暗号を使用し、より安全な128ビット暗号は米国版でのみ使用するようNetscapeを説き伏せた。その後、2000年1月に暗号輸出管理規則が改正され、どのようなブラウザでもよりセキュアなSSLを使用できるようになった。しかし、旧来のセキュアでないコードは、15年が経過した今でも使用されており、わ
グーグル、検索結果で暗号化サイトを優遇 「HTTPS」増加を期待
<h4>WSJJapan のフェースブックページ</h4><div style="border: none; padding: 2px 3px;" class="fb-like" data-href="http://www.facebook.com/japanwsj" data-send="false" data-layout="button_count" data-width="250" data-show-faces="false" data-action="recommend"></div> <h4>WSJJapan をツイターでフォローする</h4><a href="https://twitter.com/wsjjapan" class="twitter-follow-button" data-show-count="true">Follow @wsjjapan</a>
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
What Exactly Are the NSA's 'Groundbreaking Cryptanalytic Capabilities'?
What Exactly Are the NSA's 'Groundbreaking Cryptanalytic Capabilities'? Whatever the NSA has up its top-secret sleeves, the mathematics of cryptography will still be the most secure part of any encryption system. The latest Snowden document is the US intelligence "black budget." There's a lot of information in the few pages the Washington Post decided to publish, including an introduction by Direc
朝日新聞デジタル:ネット暗号化、大半を解読 米NSAなど 英米紙が報道 - 国際
【ワシントン=中井大助】インターネットでやりとりする情報を守るための暗号化の多くが、米国家安全保障局(NSA)などによって解読されたり、無効にされたりしていることが5日、明らかになった。米中央情報局(CIA)のエドワード・スノーデン元職員から提供された文書などを元に、米紙ニューヨーク・タイムズ(NYT)と英紙ガーディアンが同時に報じた。 ネット上の情報の多くは「SSL」や「VPN」などと呼ばれる手法で暗号化され、第三者が傍受しても内容は読めないとされている。報道によると、NSAは暗号の解読を重要目標とし、スーパーコンピューターを駆使。IT企業やインターネットのプロバイダーなどの協力を得て、暗号情報に侵入するための「裏口」も設けているという。 暗号化には元々、米国の団体などが作った世界的な基準があるが、NSAは設計段階から関わり、侵入しやすいよう「弱い部分」を仕込んでいたという。 続きを
NSA、「画期的な」諜報機能の開発に投資か--新たな暴露文書で発覚
米国家安全保障局(NSA)の年間予算526億ドルの一部は、暗号を解読し、通常のインターネットトラフィックを解析することのできる「画期的な暗号解読機能」のための財源として要求されている。Edward Snowden氏がThe Washington Postに暴露した新たな文書によって明らかになった。 問題の文書は「Fiscal Year 2013 Congressional Budget Justification」(2013会計年度予算要求説明書)(「Black Budget」と呼ばれる)で、その4ページ目には「(前略)敵対者の暗号を解読し、インターネットトラフィックを解析するための画期的な暗号解読機能に投資している」と記されている。 Black Budgetに記載されていることから、この投資は米中央情報局(CIA)の独立系ベンチャーキャピタル投資企業であるIn-Q-Telとは別のものと考
匿名通信システム「Tor」や暗号化メールを使うとNSAにデータを保持される可能性が上がる
By DonkeyHotey 個人が特定されるIPアドレスを相手に知られることなくウェブの閲覧などができる匿名の通信システムTorを経由してインターネットに接続したり、メールを暗号化して送受信する方法は個人情報の流出などを防ぐ予防線として使われていますが、イギリスの全国紙The Guardianが公開したNSA(国家安全保障局)の極秘資料によれば、Torや暗号化したEメールを使用すると、しない場合に比べてNSAにデータを保持される可能性がより上がってしまうとのことです。NSAはGoogle・Apple・Yahoo!・Facebook・Microsoftなどインターネット関連企業のサーバに直接アクセスして情報を収集する「PRISM」という極秘プロジェクトを運営していることが発覚したばかりで、またユーザーからの非難を集めることになりそうです。 Procedures used by NSA to
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
全HTTPSサイトの33%でSSL/TLSが解読される恐れのある脆弱性「DROWN」、OpenSSLチームは修正パッチを配布 
SSL Server Test (Powered by Qualys SSL Labs)
/blog/2015/03/freak-3046015-schannel-1247/
TechCrunch | Startup and Technology News
MIT creates a system to “PRISM-proof” websites
NSA Efforts to Evade Encryption Technology Damaged U.S. Cryptography Standard
NSA: classification guide for cryptanalysis | World news | theguardian.com