コモドを攻撃したハッカー、DigiNotarへの攻撃を表明--別の認証機関への攻撃も示唆
「Comodohacker」として知られるハッカーが、オランダの認証機関DigiNotarへの攻撃を認め、別の認証機関からも不正なデジタル証明書を発行できると述べている。 DigiNotarは、今回の攻撃により、Googleに加え、CIA、MI6、Facebook、Microsoft、Skype、Twitterなど、さまざまな組織に対する不正なSSL証明書を発行したことを認めている。 Comodohackerという名前は、3月に発生した同様のセキュリティ侵害に由来している。当時、米ニュージャージー州に本拠を置いてデジタル証明書を発行しているComodoが同様の攻撃を受け、GoogleやMicrosoftなどの主要なウェブサイトに対する証明書が不正に取得された。 Comodoを攻撃したこのハッカーは4月、米CNETに対し、自分は21歳のイランの愛国者だと語り、米国政府の中東政策に抗議するため
不正な証明書発行の根本原因は「安易なパスワード運用」 - @IT
2011/03/29 ソフォスは3月27日、SSL認証局を運営するコモド(Comodo)に侵入して、不正にSSL証明書を発行した犯人が名乗り出たと、同社ブログ上で報告した。犯人は単独犯であり、「Iranian Cyber Army」とは無関係だと主張しているという。 この事件では、コモドのパートナー企業からIDとパスワードが盗み取られた。犯人はそれを使って同社のRA(登録局)にログインし、「login.skype.com」や「mail.google.com」といったサイトの電子証明書を不正に発行した。 犯人によると、当初目的としていたのはSSLルート証明書システムのハッキングだったが、その過程で、「GlobalTrust.it」「InstantSSL.it」というパートナー企業のWebサイトの脆弱性に気付いた。これらのパートナー企業では、証明書署名リクエスト(CSR)用にDLLファイル(T
日本ベリサイン、被災者向けサイトにサービス無償提供--SSLサーバ証明書など
日本ベリサインは3月28日、東日本大震災における被災者への救済や、被災地での支援活動を目的とするウェブサイトを開設する企業、団体、行政機関向けに、同社の提供するサービスを無償提供すると発表した。 無償提供されるのは、「SSLサーバ証明書」「VeriSign Trust Seal」「エクスプレスサービス」「ドメインネーム取得サービス」「コンテンツアクセラレーションサービス」の5つ。無償期間は、SSLサーバ証明書、VeriSign Trust Seal、ドメインネーム取得サービスが各1年。エクスプレスサービスが1申請分、コンテンツアクセラレーションサービスが4月30日までとなる。 震災以降、被災地支援の義援金を受け付けたり、震災情報や被災情報を提供するウェブサイトが多数立ち上げられるなかで、個人情報の流失防止やなりすまし防止などのセキュリティ対策が施されていないウェブサイトが見受けられたり、善
コードサイニング証明書獲得に用いられる企業ID窃盗
すべてのCAが、どのような名称でも証明書を交付できるという現行モデルは、セキュアではあり得ない。有効なAuthenticodeコードサイニング証明書でサインされたファイルについて調査すると、このことを再認識させられる。 このようなものを、われわれは以前目にしたことがある。しかし今回のケースは、連絡先が非常に本物らしい点が奇妙だった。通常、有効だが悪意ある証明書では、詳細は明らかに虚偽であるか疑わしいものだ。 わたしは、この証明書にある名称とアドレスに該当する企業を探し、産業用プロセス制御とオプティマイゼーション関連のサービスを提供する小規模なコンサルティング会社を見つけた。 この会社に連絡をとり、彼らのコードサイニング証明書が盗まれたことに気づいているかどうかを尋ねた。そして彼らがコードサイニング証明書を有していないと回答したため、事態はわたしにとってより興味深いものとなった。実際、彼らは
C-LIS Crazy Lab. - "Microsoft Authenticode"を変換してJARファイル(apk)の署名に使う
RFC1123が倒せない(2010/08/20) 選択できる言語をもっと増やす 『More Locale 2.1』(2010/03/22) Google DevFest 2010 で ぼくとあくしゅ(2010/03/02) 選択できる言語をもっと増やす 『More Locale 2』(2009/12/09) Android Dev Account Tracker is now available(2009/09/22) ラボノート(実験ノート)のトップへ カテゴリ 研究・開発 の最新配信 RSS RDF ATOM ラボノート(実験ノート) - "Microsoft Authenticode"を変換してJARファイル(apk)の署名に使う カテゴリトップ » 研究・開発 » Android 前へ 次へ はじめに 前回、Androidアプリをインストールする為には、エミュレータでも実機であって
MS Authenticode対応 | SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社)
MS Authenticodeプラットフォームでの署名対象 MS Authenticodeプラットフォームにおいては、マイクロソフト社が提供する署名ツールにてEXE、CAB、DLL、OCX、Windowsストアアプリ(サイドローディング利用時)等への署名が可能です。マイクロソフト社に認定された認証局の証明書だけが署名可能なWindowsVista 64bitカーネルモードドライバ(※注)にも対応しています。 Windowsプログラム(.exeなど)の署名の確認方法 ソフトウェア(exeファイル等)をブラウザ経由でダウンロードしようとする場合、署名の有無によってセキュリティ警告の表示が異なります。 ※OSのバージョン等により、警告表示の内容は異なります。
個人でも簡単にコードサイニング証明書を取得できる!
実は、国内のコードサイニング証明書の世界には、未解決の問題が潜んでいた。個人事業主や個人が、簡単に証明書を取得できなかったのだ。それが可能になったのが、グローバルサインの個人向けコードサイニング証明書発行サービスである。 ついにはじまった 個人が使えるコードサイニング証明書 グローバルサインが、個人向けのコードサイニング証明書発行サービスを開始した。これまで、国内の個人開発者がコードサイニング証明書を取得するのは、たいへんな労力をともなっていた。なぜなら、完全に日本語で、しかも日本国内だけで証明書の発行手続きが完了する認証局がなかったからだ。 もちろん、いままでも国内にはコードサイニング証明書発行の手続きをしてくれる代行業者はあったものの、結局途中で英語でのやり取りが発生してしまうなど、使い勝手はいまひとつであった。国内では個人事業主だとコードサイニング証明書の取得が困難であることから、取
CERTUMでコード署名 - 虚構人形廃棄場
無料でexe等へのコード署名ができないものかと思ったら、Thawteが個人向け無料サービスを昨年10月に終了してしまっていました。 何とかならないかと探したところ、オープンソース開発者向けに、ポーランドUnizeto社のCERTUMが無料サービスをしていることがわかりましたので、申し込んでみました。詳しくはこちら。 Code SigningからMicrosoft Authenticodeを選択、Issueを購入します。アカウントを作成して個人情報を入力。Companyは"Open Source Developer"とします。なお電子メールアドレスは必須で、これはexeファイルの署名にも入ります。 支払いをSpecial Offerとし、その右のOffer Codeに"Open Source Developer"と入力して手続きを進めます。 翌営業日にでしょうか、向こうからメールが来るので、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 
http://japan.internet.com/allnet/20110124/4.html
C-LIS Crazy Lab. - ファイルへの署名 - コードサイニング証明への道(4)
C-LIS Crazy Lab. - コールバック認証 - コードサイニング証明への道(3)
C-LIS Crazy Lab. - 申請 - コードサイニング証明への道(2)
C-LIS Crazy Lab. - 認証機関の選定 - コードサイニング証明への道(1)
コードサイニング証明書|GMOグローバルサイン【公式】
GMOグローバルサイン、デジタル署名の証明書発行サービスを個人開発者向けに拡大
ついに「暗号2010年問題」に決着、サイバートラストが2011年以降も SureServer を継続して発行 - japan.internet.com
Microsoft – クラウド、コンピューター、アプリ & ゲーム
vistaで自作アプリがブロックされる
CAcert.org のセキュリティ上の問題点|てくめも@ecoop.net