自堕落な技術者の日記 : jsrsasignの寄付金を募ることにしてみました(やりがいって何だっけ?) - livedoor Blog(ブログ)
私はjsrsasignというJavaScriptのオープンソース暗号、PKIライブラリを個人的な趣味で開発し公開しています。ところが最近、npmパッケージのダウンロードが月間60~70万件と、異常にユーザーも増え、製品でも使われ始め、ちょっと厄介なことになっており、いろいろ悩んだ挙げ句、これが正解なのかもわかりませんが、ライブラリの維持のために寄付金を募ることにした次第です。今日は、心の吐露をつらつら書いていくことにします。 jsrsasignとは 2010年ごろ、スタンフォードの学生さんであるTom Wooさんという人のJavaScriptでRSA暗号化できるコードを見つけ、自分はPKIや電子署名を専門にしていたので「JavaScriptでRSA署名できたら面白いな」と思い、2010年6月に、ほんのRSA署名単機能のライブラリとして公開したのが jsrsasign です。当時のはしゃぎっ
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが,それを応用していくには技術に関する理論の理解が必須になります。しかしSSL
Electronic Frontier Foundation iMessageで送受信される画像をスキャンするというAppleの新たなプログラムは、これまで暗号化メッセージのプライバシーとセキュリティを強く支持してきた同社の方針転換となる。このプログラムの適用範囲は現時点では米国内に限定されているが、クライアントサイドスキャン可能なエンド・ツー・エンド暗号化という歪んだ理解をもたらすことになる。Apple社は児童搾取・虐待といった問題の解決を目的として、極めて容易に監視・検閲に転用可能なインフラを構築する。Appleは(訳注:子どもの保護以外の)幅広い要求に応じることはしないと反論するが、仕組みそのものがその反論を否定しているのである。 これまで世界中の国々が、暗号化されたメッセージへのアクセスとコントロールを要求してきた。復号メッセージへの(訳注:都合のいい)アクセスは強力な暗号化とは相
![それを作れば彼らはやってくる:Appleが開く世界的な監視・検閲へのバックドア | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/b649ca4c28dc4e9d1b9756a50a52801268233cc5/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2021%2F08%2F2445354787_121af4481d_ae.jpg)
「量子暗号通信」と呼ばれる解読されない次世代の暗号技術を東芝が来年度、日本や欧米で事業化することを正式に発表しました。 中国などとの開発競争が激しくなる中、欧米の通信大手とも提携し世界でトップシェアを握りたいねらいです。 「量子暗号通信」は、スーパーコンピューターをはるかに超える計算能力を持つ量子コンピューターでも解読できない、次世代の暗号技術です。 東芝は、この量子暗号通信を来年度、日本や欧米で事業化することを正式に明らかにしました。 日本では政府から通信ネットワークのセキュリティー対策として受注していて、国内での事業化はこれが初めてとなります。 また、海外での事業化では、イギリスの「ブリティッシュテレコム」とアメリカの「ベライゾン・コミュニケーションズ」と提携しました。 量子暗号通信をめぐっては、中国が2025年までに全土に広げる方針を掲げるなど国際的な開発競争が激しくなっています。
SecurityWe updated our RSA SSH host keyAt approximately 05:00 UTC on March 24, out of an abundance of caution, we replaced our RSA SSH host key used to secure Git operations for GitHub.com. At approximately 05:00 UTC on March 24, out of an abundance of caution, we replaced our RSA SSH host key used to secure Git operations for GitHub.com. We did this to protect our users from any chance of an adve
ランサムウェアの知識、古くなってない? 従来型とは別手法の「システム侵入型」が台頭(1/2 ページ) 「ランサムウェア」の攻撃パターンといえば、ある日メールが届き、何だろうと思って添付ファイルを開いたら、PC画面に警告が表示され「PC内のデータを暗号化した。解除したければ身代金を支払え」という趣旨のメッセージが表示される――そんなシナリオが頭に浮かんだ人は、知識のアップデートが必要だ。 「ランサムウェアという言葉が一人歩きしていますが、従来のランサムウェアと昨今の攻撃では手口が全く違うので、一言でまとめてしまうと、それらがごっちゃになってしまい、勘違いする人も多い印象です」 そう話すのは、インターネットイニシアティブ(IIJ)の秋良雄太さん(セキュリティ本部)だ。 特集:ランサムウェア徹底解説 流行りの侵入経路と最新対策 Log4j 2の脆弱性やEmotetの再流行、ロシアのサイバー犯罪グ
リモートでコンピューターにアクセスするためのプロトコルであるSSHは、コンピューターの認証を行うために公開鍵暗号を利用しています。公開鍵暗号の方式には「RSA」「DSA」「ECDSA」「EdDSA」があり、それぞれの仕組みと「SSHに適した方式」についてソフトウェア企業「Gravitational」のVirag Mody氏が解説しています。 Comparing SSH Encryption Algorithms - RSA, DSA, ECDSA, or EdDSA? https://gravitational.com/blog/comparing-ssh-keys/ 公開鍵暗号は、暗号化と復号に別々の鍵を用いる暗号方式のこと。例えば、ボブとアリスがやり取りを行う時、アリスは秘密鍵と公開鍵を作成し、公開鍵をボブに渡しておきます。ボブはアリスの公開鍵でメッセージを暗号化してアリスに送信。暗号
暗号解読よりも難しい、古代の言語解読という知的冒険譚!──『ヒエログリフを解け: ロゼッタストーンに挑んだ英仏ふたりの天才と究極の解読レース』 - 基本読書
ヒエログリフを解け: ロゼッタストーンに挑んだ英仏ふたりの天才と究極の解読レース 作者:エドワード・ドルニック東京創元社Amazonこの『ヒエログリフを解け: ロゼッタストーンに挑んだ英仏ふたりの天才と究極の解読レース』は、古代エジプトの象形文字であるヒエログリフ解読の過程を追ったノンフィクションだ。無論解読にあたっては何人もの人間が関わってきたわけだが、本書ではシャンポリオンとヤングという二人の主人公を中心に話を展開していく。 ヒエログリフもロゼッタストーン(1799年に発見された、ヒエログリフが刻まれた石柱)も存在自体は知っていたが、そこまで興味を持つ対象ではなかった。そのため、本書もうわーおもしろそう! とかそんな前のめりな気持ちで読み始めたわけではなかったのだが、冒頭から非常におもしろく、最後まで一気に読み切ってしまった。 ヒエログリフは先に書いたように古代エジプトの文字(𓎛𓅱
(CNN) 「ゾディアック」の名で呼ばれる連続殺人犯が米カリフォルニア州北部で犯行を開始してから50年あまり。アマチュアの暗号解読チームが、ついにゾディアックの暗号の1つを解読したとみられることが分かった。 この暗号は1969年に地元紙サンフランシスコ・クロニクルに送付されたもので、「340サイファー」と呼ばれる。今回、バージニア州に住むソフトウエア開発者とベルギー人プログラマー、オーストラリア人数学者の3人が解読に成功した。 解読されたメッセージは以下の通り。文字はいずれも大文字で句読点はなく、天国のスペル「paradise」を「paradice」とする誤りが見られる。 「あなた方が私を捕まえようとして大いに楽しんでいることを望む 私のことを扱ったテレビ番組に登場した人物は私ではない ガス室送りになれば一層早く天国に行けるので私は怖くない なぜなら私はいま十分な数の奴隷を所有しているが他
認証に電話網を使うのはそろそろやめよう
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして
KDDIとKDDI総合研究所は12月26日、次世代暗号(耐量子暗号)として標準化が進められている「Classic McEliece」方式において、これまでは総当たりによる探索での解読には1兆年以上要するとされてきた1409次元の暗号を、わずか29.6時間で解読に成功し、2023年11月13日に世界記録を更新したことを共同で発表した。詳細は、2024年1月23~26日に長崎で開催される「2024年 暗号と情報セキュリティシンポジウム(SCIS2024)」で発表される予定。 量子コンピュータの性能が向上した将来、現在の方式では暗号強度が不足することが指摘されており、アメリカ国立標準技術研究所(NIST)は2030年ごろに向けて、将来の量子コンピュータの性能にも耐えうる耐量子暗号の検討を進めている。NISTは2022年7月に、耐量子暗号の標準として4つの暗号方式を選定しており、さらに現在はCla
Soon, Android users will be able to drag and drop AI-generated images directly into their Gmail, Google Messages and other apps.
私は決して世界レベルで優秀なエンジニアではない。ただ、幸いなことにグローバルに活躍するエンジニアの方々と一緒に仕事をする機会には恵まれてきた。 エンジニアとしてだけでなくビジネスマンとしても、彼らからたくさんのことを学ばせてもらってた。 今日は彼らから学んだ成長するための立ち回りについて紹介しようと思う。 質問力が高い彼らと働いていて驚かされたことがある。 それは「これほど優秀な人がこんな基本的なことを質問するのか?」という場面に何度も出くわしたことだ。 知らないことが罪のように感じていたグローバル人材と働く前はゴリゴリの日系Webベンチャーで働いていた。その際は、簡単なことを質問することに対する抵抗感が大きかった。 「基本的なことを聞いてしまって申し訳ないのですが。。。」といった言葉を頻繁に聞いたことはないだろうか? これは私だけかもしれないが、日本コミュニティにいると基本的なことを知ら
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 今回はアドベントカレンダーの11日目として、前回投稿した「macOSの暗号化zipファイルはパスワードなしで解凍できる」という記事に寄せられたコメントのうち、特筆すべきものをピックアップして回答していきます。 前回の記事を読んでいない方や、もう覚えてないという方は是非前回の記事を見てから続きを読んでいただければと思います。 Q. 正解するまでbkcrackを回さなくてもzip内のCRC32値と比較すれば良いのでは? はい、その通りです。 筆者が前回の記事を書いている時には完全に失念していましたが、zip内にはファイル破損を検出するためにCRC32形式のハッシュ値が含まれています。そのため、bkcrackを正解パターンを引くまで都度回さなくても簡単に正解の.DS_Storeを見つけ出すことができます。 実際に
κeenです。こちらのスライドが話題になっているようです。 10秒で衝突するUUIDの作り方 - Speaker Deck 笑い話としても乱数の難しさの側面としても面白いのですが、これを見た人たちの反応がちょっと勘違いしてそうだったので補足します。 別に私は暗号とか乱数とかの専門家ではないです。 発表者の方のコードは読みましたか? 少し速度が必要になるのでRustに移植します。 [package] name = "genuuidv4" version = "0.1.0" edition = "2018" # See more keys and their definitions at https://doc.rust-lang.org/cargo/reference/manifest.html [dependencies] rand = "0.7.2" sfmt = "0.6.0" use
【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに25個のチェック項目が追加されました | DevelopersIO
【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに25個のチェック項目が追加されました はじめに みなさん、セキュリティチェックしていますか?(挨拶 AWS Security Hub の『AWS 基礎セキュリティのベストプラクティス v1.0.0』に新たに 25個のチェック項目(コントロール)が 追加されました。AWS公式も以下のようにアナウンスしています。 この新しいチェック項目は Security Hub の [設定 > 一般 > 新しいコントロールの自動有効化] を ON に していると自動的に追加されます。 いつのまにか CRITICAL/HIGH の項目で失敗していて、大量に通知が飛んできた方もいらっしゃるかもしれません。 本ブログで新規追加されたコントロールを簡単なコメント付きで紹介していきます。 (コントロールの題目はまだ日本
VMware ESXiを狙ったランサムウエアキャンペーンESXiArgsについてまとめてみた - piyolog
2023年2月3日(現地時間)、フランスのナショナルサートCERT-FRは、VMware ESXiを狙った脆弱性悪用のキャンペーンが確認されているとして注意を呼び掛けています。ここでは関連する情報をまとめます。 何が起きたの? ⚠️Alerte CERT-FR⚠️ CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (03 février 2023). https://t.co/KN6GDUdXcL— CERT-FR (@CERT_FR) 2023年2月3日 2月4日未明よりVMware ESXiを狙ったサイバー攻撃が発生しているとCERT-FRをはじめ複数のセキュリティ研究者などから報告があがっており、被害に遭ったとみられるホスト数が増加傾向にあることから攻撃が続い
イラストで正しく理解するTLS 1.3の暗号技術
イラストで正しく理解するTLS 1.3の暗号技術 初めに ここではTLS 1.3(以下TLSと略記)で使われている暗号技術を解説します。 主眼はTLSのプロトコルではなく、「暗号技術」の用語の挙動(何を入力して何を出力するのか)と目的の理解です。 実際にどのような方式なのかといった、より詳しい説明は拙著『図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』(暗認本)や『暗認本』の内容を紹介したスライドや動画などの資料集をごらんください。 なお表題の「イラストで」は数式を使わないという程度の意味です。 TLSで守りたいもの TLSはコンピュータ同士が安全に通信するための規格です。 主に人がブラウザを介して「https://」で始まるWebサイトにアクセスするときに利用されます。 安全に通信するためには、通信内容が盗聴されても情報が漏れない機密性が必要です。 それから通信が改
『暗号学園のいろは』公式 @angou_iroha 【『暗号学園のいろは』最新4巻本日発売!】 勝者総取りクラス対抗暗号バトル勃発!学年大将への道、知恵の矛を突き立てろ!! コミックス限定、描き下ろしおまけ漫画『裸眼!享楽教室』を豪華10ページ掲載! 書店では、暗号学園模擬試験第一期を開催!いろは達になった気持ちでお楽しみ下さい!! pic.twitter.com/Yv2d9LKp5i 2023-10-04 12:06:46 『暗号学園のいろは』公式 @angou_iroha 【最新コミックス4巻(10/4〜)発売記念!】 暗号学園模擬試験第一期、開催決定!暗号を解いて特別プレゼントをゲット!! 是非書店に足を運んで、お楽しみ下さい! 開催書店リストはこちら shu-sales.box.com/s/jtvrdo3oa8op… 解答用紙等の配布方法は書店により異なります。 配布物はなくなり次
「解除不可能」ロシア・ハッカー犯罪集団のコンピューターウイルスはなぜ解除できたのか? サイバー攻撃を受けた徳島・半田病院、復旧の裏で起きていたこと【前編】 | 47NEWS
「解除不可能」ロシア・ハッカー犯罪集団のコンピューターウイルスはなぜ解除できたのか? サイバー攻撃を受けた徳島・半田病院、復旧の裏で起きていたこと【前編】 2021年10月、徳島県つるぎ町の町立半田病院が、ロシアを拠点とするハッカー犯罪集団からサイバー攻撃を受けた。身代金要求型の「ランサムウエア」と呼ばれるコンピューターウイルスによる攻撃で、電子カルテなどのデータが盗まれ暗号化されてしまい、病院機能がダウンした。ウイルスは高度な暗号技術が使われており、身代金を支払わないと「解除は不可能」とされる。病院は「身代金は支払わない」と表明し、東京都内のIT業者に調査とシステムの復旧を依頼、2カ月後には復旧して全診療科が再開した。解除不可能なウイルスは一体どのようにして解除できたのだろうか―。ハッカー犯罪集団、復旧を請け負ったIT業者らに取材を敢行し、その「謎」に迫った。(共同通信=角亮太) ▽未明
4月末に、会社のほうで「Can QUIC match TCP’s computational efficiency?」というブログエントリを書きました。我々が開発中のQUIC実装であるquiclyのチューニングを通して、QUICのCPU負荷はTLS over TCP並に低減可能であろうと推論した記事です。この記事を書く際には、Stay Homeという状況の中で、手元にあった安いハードウェアを使ったのですが、その後、10gbe NICを入手し、ハードウェアによるUDP GSOオフロード環境でのパフォーマンスを確認していくと、OpenSSLのAES-GCM実装がボトルネックになることがわかってきました。 TCP上で通信するTLSでは、一般に、データを16KB単位でAEADブロックに分割して、AES-GCMを用いてAEAD暗号化します注。一方、UDPを用いるQUICでは、パケット毎にAES-GC
AWSボリュームに暗号化は必要なのか? 当初、実際にAWSのデータセンターの実サーバーに物理的に侵入された場合や、AWSの管理システムへのハッキングした時くらいにデータを守れるという認識だったのでそれが正しいのかどうかAWSサポートに問い合わせをしてみた. AWSサポート問い合わせ結果(原文は載せれないので要約) 1. お客様のセキュリティあるいはコンプライアンス要件を満たせるようにご用意している機能 多くのユーザーはこのコンプライアンス基準へ準拠のためだけに、ストレージ暗号化の機能を利用しているのが現実らしい 2. AWSのデータセンターに対して物理的な侵害が発生した場合に、保護する事が可能になる これは想定していた当然のメリットである. 3. EBS と EC2 インスタンスとはネットワークを経由で通信するが、暗号化ボリュームを使用している場合この通信経路上も暗号化される これは少しび
尼崎市が個人情報USB紛失した記者会見で「パスワードは英数字13桁」「毎年変えている」→amagasaki2022がトレンド入り
尼崎市役所【公式】 @City_Amagasaki 尼崎市公式アカウントです。まちの身近な出来事や魅力、災害情報など様々な尼崎市の情報を発信します。当アカウントでは、フォローやリプライは行いませんので、ご了承ください。city.amagasaki.hyogo.jp 尼崎市役所【公式】 @City_Amagasaki 【個人情報を含むUSBメモリーの紛失について】 住民税非課税世帯等に対する臨時特別給付金における個人情報を含むUSBメモリーの紛失が判明しました。 当該USBはパスワードが付され、内容については暗号化処理が施されています。現時点において外部への漏洩は確認しておりません。 2022-06-23 13:17:52
年収300万彼女が追徴課税3000万受けた深刻理由
暗号資産投資の税務上の悲劇 日本居住者のビットコインなど暗号資産投資については、税務申告をめぐる悲劇が存在する。2017年12月の価格急騰局面で、保有する暗号資産を別の暗号資産に等価で乗り換えたあと、その後の暴落に巻き込まれたケースがそれだ。暗号資産の税務に詳しい税理士が解説する。 「暗号資産の売買益に対する課税に関して、投資家の大半は『法定通貨と交換して換金した場合に課税される』と認識していました。 ところが価格急騰中の2017年12月1日、国税庁個人課税課が同庁のホームページ上で唐突に公表した『仮想通貨に関する所得の計算方法等について(情報)』(FAQ=よくある質問)の中で、『保有する仮想通貨を他の仮想通貨を購入する際の決済に使用した場合、その使用時点での他の仮想通貨の時価(購入価額)と保有する仮想通貨の取得価額との差額が、所得金額となります』とされました。 つまり保有する暗号資産をほ
知られざる王小雲。米国の暗号学的ハッシュ関数MD5、SHA-1を過去に葬り去った女性研究者 - 中華IT最新事情
第4回未来科学大賞で多額の賞金が、数学者、王小雲に授与され、彼女の名前がにわかにメディアに注目をされた。王小雲は2004年に米国のハッシュ関数「MD5」の脆弱性を発見した研究者だったと資訊咖が報じた。 ネット社会に必須のハッシュ関数 デジタル時代、ハッシュ関数はさまざまなところで使われる。最もよく知られているのは、パスワードの保管や書類の改竄検知などだ。 ハッシュとは「混ぜこぜ」という意味で、元のデータを混ぜこぜにして、まったく別のデータに変換をしてしまうというものだ。例えば、「元の数値を2倍にして1を引く」という単純なアルゴリズムでもハッシュ関数に近いことができる。2であれば3になるし、7であれば13になる。元の数字とは異なったものになる。 しかし、これでは何かの役に立つことはできないため、暗号学者、数学者たちは、複雑なアルゴリズムを考案し、ハッシュ関数としてさまざまな応用をしてきた。こ
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog
Today we published an advisory about CVE-2022-3786 (“X.509 Email Address Variable Length Buffer Overflow”) and CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”). Please read the advisory for specific details about these CVEs and how they might impact you. This blog post will address some common questions that we expect to be asked about these CVEs. Q: The 3.0.7 release was announced as
暗号化ZIPファイルにして送信。その後、メールでパスワードを追いかけて送る。これは「おまじないにしか過ぎない」。さらには「意味がないだけではなく有害だ」と専門家は指摘する。リモートワークでも障害が出る。
「イカゲームコイン」運営者が逃亡、時価総額60億ドルが蒸発 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
ネットフリックスの人気ドラマ「イカゲーム(Squid Game)」にインスパイアされて作られた暗号通貨の価格が11月1日に暴落した。ニュースサイトGizmodoは、このプロジェクトの背後にいる詐欺師たちが、推定210万ドル(約2億4000万円)を持ち逃げしたと報じている。 CoinMarketCapのデータによると、10月20日に発行されたSquid Gameトークンと呼ばれる暗号通貨の価格は一時、2861ドル以上に達したが、11月1日早朝(米国時間)に急落し、15分間で約60億ドルの時価総額が失われた。 【関連】メタバース関連の暗号通貨が急騰、時価総額1.5兆円突破 Squid Gameトークンの開発者は、11月に開催予定のイカゲームのビデオゲームのトーナメント内で、この通貨を使えるようにすると述べていた。しかし、彼らは突然プロジェクトを停止し、Tornado Cashと呼ばれるプロトコ
クラウドストレージサービスの「MEGA」は、ユーザーがアップロードしたファイルをエンドツーエンドで暗号化しており、たとえ何者かにインフラストラクチャー全体が押収されてもファイルを復号できないと主張しています。ところが、スイス・チューリッヒ工科大学の研究チームが発表した調査結果によると、MEGAには暗号化されたファイルを復号したり、悪意のあるファイルを勝手にアップロードしたりできる脆弱性(ぜいじゃくせい)があるとのことです。 MEGA: Malleable Encryption Goes Awry https://mega-awry.io/ Mega says it can’t decrypt your files. New POC exploit shows otherwise | Ars Technica https://arstechnica.com/information-techn
アメリカの複数大学からなる研究チームが全てのIntel製CPUおよび複数のAMD製CPUを対象にしたサイドチャネル攻撃の新手法「Hertzbleed Attack」を公表しました。研究チームはHertzbleed Attackを用いることで攻撃対象CPUの暗号化を突破できると主張しており、IntelとAMDは対策方法をアナウンスしています。 Hertzbleed Attack https://www.hertzbleed.com/ ◆Hertzbleed Attackはどんな攻撃なのか Hertzbleed AttackはCPUが計算処理を行う際の消費電力を分析することで暗号化キーを奪取する攻撃手法です。消費電力の分析によって機密情報を盗み出す手法(単純電力解析)は古くから研究されていましたが、単純電力解析では攻撃対象の消費電力を高い精度で測定する必要がありました。しかし、今回発表されたH
また、IIJより社外の方へパスワード付きファイルを添付し送信する場合においても、今後順次別の手段へ変更いたします。 上記の変更にともない、ファイルを共有するための別の手段を用意し、移行いたします。その利用につきましては、お客様、お取引先様に、個別にご連絡を差し上げます。 変更に至った背景 メールにパスワード付きのzipファイルを添付して送信し、そのパスワードを後送する「PPAP」は、日本において多く見られる情報セキュリティ対策の一つですが、効果が薄いだけでなく、ウィルススキャンをすり抜けてしまうことから、米国のサイバーセキュリティ・インフラセキュリティ庁においてもブロックすることが推奨されています。 この仕組みを悪用したマルウェアは今後も発生することが予想されることから、当社だけでなく、お客様、お取引先様よりお預かりする情報を守るためにも、対応が必要との考えに至りました。 当社のお客様、お
値動きが大きいことで知られる暗号資産のひとつ「ビットコイン」。 去年11月に史上最高値を更新しましたが、2022年は年明け早々に急落。 要因の1つに、意外な国の名前が挙がっています。その国とは? (経済部記者 加藤ニール) 暗号資産の代表格ともいえる「ビットコイン」の価格が大きく下落しています。 大手交換会社のビットフライヤーによりますと、1ビットコインの価格は2021年11月には700万円を超えて史上最高値を記録。 その後は、アメリカの金融引き締めの動きを受けて下落するも、12月27日時点ではおよそ590万円でした。 しかし、年明けの1月6日には500万円台を割り込み、10日にはおよそ470万円まで下落しました。 12月下旬から比較すると、2割もの急落となります。 なぜ、急落したのか? 市場関係者に聞くと、ある国の名前が浮上しました。 中央アジアの「カザフスタン」です。 カザフでは、燃料
まえがき 昨年LastPassのセキュリティインシデントが話題になりましたが、みなさんはパスワードや秘匿情報の保護はどのようにされていますか? SSOログインや、YahooさんのようにSMS認証でパスワードそのものを排除する方式もあったり様々なパターンがでてきました。 とはいえ、引き続きID/Passwordを必要とする場面はまだまだ継続するんじゃないかなと思っています。 また、WEBサイトのID/Password以外にもクレジットカード番号や、ソフトウェア開発するときに必要となるSSH秘密鍵等のように保存しておきたい秘匿情報も多いかと思います。 1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除した@Web Scratchにもあるように、ローカルからどんどん秘匿情報を削除する素晴らしい方法もあります。 私も日々生成される
ハッシュ関数「SHA-256」の計算プロセスをわかりやすく視覚化してくれる「Sha256 Algorithm Explained」
アメリカの国家安全保障局(NSA)によって開発された「SHA-2」は電子署名やブロックチェーンに応用される暗号学的ハッシュ関数の1つです。そのSHA-2の中でも特に使われているSHA-256でハッシュを生成するための計算プロセスがよくわかるサイト「Sha256 Algorithm Explained」を、Domingo Martin氏が公開しています。 Sha256 Algorithm Explained https://sha256algorithm.com/ Sha256 Algorithm Explainedにアクセスするとこんな感じ。 上部にある入力欄に、好きな文字列を入力します。今回はGIGAZINEのURLである「https://gigazine.net/」を入力してみました。すると、入力したURLをバイナリに変換したメッセージブロックが表示されます。メッセージブロックは32b
Microsoftのクラウドサービスがパスワードで保護されたZIPアーカイブのスキャンを開始 | ソフトアンテナ
MicrosoftのクラウドサービスOneDriveやSharePointなどで、ユーザーがアップロードしたパスワードで保護されたZIPファイルのスキャンが行われていると報じられています(gHacks)。 従来、マルウェアを配布するためには、ZIPやRARなどのアーカイブファイルが使用されてきましたが、現在ほんとどのセキュリティソフトウェアはアーカイブファイルのスキャンに対応し、攻撃に使用されるアーカイブファイルはパスワードで保護されるようになっています。 セキュリティ研究者のAndrew Brandt氏は月曜日、MicrosoftがSharePoint上でパスワードで保護されたZIPアーカイブのスキャンを開始したことを明らかにしました。Brandt氏は、Microsoftが、パスワードで保護されたZIPアーカイブに含まれる、マルウェアサンプルのいくつかをマルウェアと判定し始めたことに気が
Clubhouseを支えている技術とアーキテクチャ、セキュリティについて - LayerX Research
#LayerX_Newsletter 2021-02-19 TL;DR Clubhouseは極めてシンプルなアーキテクチャ 音声データはAgoraを、リアルタイム性の高い情報の扱い(ルームの中など)はPubNubを利用 音声データが暗号化されていないなどセキュリティ面での課題も多い Clubhouseは招待制の音声配信SNSで、2020年Aplha Exploration社が開発したこのサービスは、つながりがある人同士でラジオ放送のように自由に会話を楽しんだり、興味ある人はその会話を傍聴、さらには会話に飛び入り参加もできる特徴がある。2021年に入り世代・国籍・性別を問わず爆発的人気となっており、日本では2021年1月からスタートアップ界隈を中心に一気に話題が広がっている。また、テスラの創業者や有名人・著名人などが利用しはじめたことで大きな注目を浴びた。今回はClubhouseはどのような
面白そうだったのでHTTPS通信パケットを復号してみました。HTTPS通信パケットを復号するにあたり、まずはHTTPSの暗号化方式について調べてみたのでまとめます。 HTTPSの暗号化方式 HTTPS通信の暗号化には公開鍵暗号方式と共通鍵暗号方式の両方を利用したハイブリッド方式により暗号化が行われます。それぞれの暗号化方式についての説明です。 共通鍵暗号方式では、サーバー側もクライアント側も、データの暗号化と復号に同じ鍵を使用します。この方式のメリットは処理時間が短いことです。一方でデメリットとしてサーバーとクライアントで鍵を交換する際に、鍵を盗まれる危険性があります。下の図はすでに鍵交換を終えて、データをやり取りしている状態の図です。どうやって鍵を交換するかまでは、この暗号方式では特に決まっていません。 公開鍵暗号方式は、送受信データの暗号化と復号に異なる鍵(公開鍵と秘密鍵)を使用します
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
それを作れば彼らはやってくる:Appleが開く世界的な監視・検閲へのバックドア | p2ptk[.]org
東芝 “解読されない” 次世代の暗号技術 国内外で事業化へ | IT・ネット | NHKニュース
We updated our RSA SSH host key
ランサムウェアの知識、古くなってない? 従来型とは別手法の「システム侵入型」が台頭
SSHの公開鍵暗号には「RSA」「DSA」「ECDSA」「EdDSA」のどれを使えばよいのか?
米連続殺人犯「ゾディアック」の暗号、アマチュアが解読 送付から51年
1兆年以上かかるとされていた1409次元の暗号、KDDIなどが29.6時間で解読に成功
米FBIがイーサリアム開発者を逮捕 〜北朝鮮の暗号通貨カンファレンスに出席、制裁回避の技術を伝えた疑い
TechCrunch | Startup and Technology News
優秀なエンジニアと働いてわかった成長するための立ち回り|Yossy@英語とプログラミング
macOSの暗号化zipの話の続き - NFLabs. エンジニアブログ
メルセンヌツイスタはそんなに衝突しない - Qiita
暗号学園模擬試験がいろはのいじゃ済まないハンター試験並み難度だった件
QUICむけにAES-GCM実装を最適化した話 (1/2)
AWSボリュームの暗号化の必要性について - Qiita
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには
ドライブの暗号化技術「BitLocker」で情報流出リスクに備えを ~Microsoftが呼びかけ/Windows 10の場合“Pro”以上のエディションで無償利用できる
大手クラウドストレージサービス「MEGA」のファイル暗号化を破る手法が発見される
ほとんどのCPUからリモートで暗号化キーを奪取できる攻撃手法「Hertzbleed Attack」が発表される
PPAPに対する当社運用の変更について | インターネットイニシアティブ(IIJ)
ビットコイン急落 裏には“あの国”が?【経済記者コラム】 | NHKニュース
どのように1Passwordへのログイン方法を管理しているか
量子コンピュータでも解読困難。宇宙線ミュー粒子を用いた暗号通信技術
HTTPS通信の暗号化方式 | DevelopersIO