インターネットイニシアティブ(IIJ)は2021年11月12日、同社にパスワード付きZIPファイルが添付されたメールが届いても2022年1月26日以降はそのファイルを削除しメール本文だけを受信すると発表した。盗聴防止策として知られる「PPAP」にノーを突きつけた格好だ。 PPAPとは、ファイルをやりとりするときファイルをパスワード付きZIPファイルにしてメールで送信し、そのパスワードを別のメールで送る仕組みである。この仕組みをメールサーバーやメールソフトに実装するセキュリティー製品が販売されている。なお、PPAPは「パ(P)スワード付き暗号化ファイルを送った後にパ(P)スワードを送る暗(A)号化プ(P)ロトコル」の略語とされる。 このPPAPにはいくつかの問題点が指摘されている。その1つは、パスワード付きZIPファイルはデータを暗号化するため、セキュリティー製品がファイルの中身をチェックし
「あなた方がこれ(バックドア追加)を行わないなら、われわれがあなた方のためにこれを行えるようにしてあげよう」──。リンジー・グラハム米上院議員(共和党)は12月10日(現地時間)に開催した「暗号化と合法的なアクセス:公共の安全とプライバシーに対する利点とリスクの評価」と題する公聴会で、出席した米Facebookと米Appleのセキュリティ責任者に対し、こう語った。つまり、バックドアの追加を法律で義務付けるという意味だ。 この公聴会には、サービスをエンドツーエンドで暗号化しているAppleとFacebookの代表、司法省側の代表としてのニューヨーク地方検事、サイバーセキュリティの専門家の大学教授が召喚された。 1月に、Facebookが「WhatsApp」「Instagram」「Facebook Messenger」のメッセージ機能を統合し、エンドツーエンドで暗号化する計画だと報じられた後、
Professor at Colledge of Information Science and Engineering, Ritsumeikan University
DropboxやGoogle Driveといったクラウドストレージにアップロードしたデータを共有する場合など、URLを誰かに伝えることは日常的な行いです。無料で公開されているオープンソースサービス「Link Lock」を使うと、簡単にURLにパスワードをかけることができます。 Link Lock - Password-protect links https://jstrieb.github.io/link-lock/create/ GitHub - jstrieb/link-lock: Distributed application to password-protect URLs using AES in the browser https://github.com/jstrieb/link-lock さっそくウェブサイトにアクセスすると、URLやパスワードを入力する画面が表示されます。
文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を改訂し、新たに「暗号化消去」という用語を追加した。記録媒体を含む情報機器を廃棄する場合やリースの返却をする際にデータを復元できなくする手法だ。 時間がかからず媒体の再利用が可能 従来は記録装置の物理的な破壊やデータ消去ソフトウエアによる上書き消去といった手法を列挙していた。暗号化消去とは、記録媒体にデータを書き込む時点で暗号化して記録しておき、データの抹消が必要になった際に復号に用いる鍵を抹消することでデータの復号を不可能にする手法だ。記録媒体の一部領域のデータを抹消する場合にも利用できる。 通常の消去(上書き消去)とは何が違うのか。実は現在の記録媒体は容量が大きいため、通常の消去作業には膨大な時間がかかる。1テラバイト(TB)のHDD(ハード・ディスク・ドライブ)を1回上書きするのに数時間かかるとされる。確実に消去するため
量子コンピューターはよく誤解される 最近(2020年2月)、ハイプカーブの絶頂期に入った量子コンピューターですが、良い記事や書籍が増えてきました。しかし、それでも初期のころは、誤解を招くような記事が散見されたことも事実です。現状でも完全に無くなったとは言い難いところです。 一時期のAIブームの時のAIに対する見え方に似ていて、もうすでにものすごいものが動いているように見えている印象があります。 期待値が上がってくるのは、自称量子コンピューターエンジニアとしては嬉しいことではありますが、一方で過度の期待を招くものでもあり、それはそれで危険でもあります。 現状を正しい理解しておくことはとても大切です。 ここでは、雑談レベルで話しているときに、よく聞かれる内容をダンプしておきたいと思います。 量子コンピューターは並列処理ができるので速いらしいじゃん! ⇨ 並列処理ではなく、計算のルールの違いを巧
パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵
パスワード管理アプリ「LastPass」から情報が盗み出されていた問題で、セキュリティ専門家のウラジミール・パラント氏が、LastPassから出された声明文を「省略ばかり、真実が半分しかない、あからさまなウソに満ちている」と痛罵。具体的な内容を挙げて、厳しく非難しています。 What’s in a PR statement: LastPass breach explained | Almost Secure https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/ パラント氏はまず、声明がクリスマスを目前に控えた12月22日に出されたことを、「報道の数を抑えるために意図的に行われた可能性があります」と指摘しました。 声明内容にも1段落目から厳しい目を向けています。LastPassは「透
12月7日に設立が発表された、「一般社団法人日本メタバース協会」に、SNS上で疑問の声が上がっている。 設立したのは、4社の暗号資産(仮想通貨)関連企業だ。国内外の関連企業に参加を呼び掛けているものの、「仮想通貨はメタバースと関係がないのでは」という声も多い。 筆者もそれに同意する。だが、この話の本質とはどこにあるのだろうか。もう少し掘り下げてみたいと思う。 暗号通貨・NFTから「メタバース業界団体」が生まれる疑問 同協会は、Webサイト上で設立目的をこう説明している。 「メタバース(インターネット上で広がる3次元の仮想空間)技術及び関連サービスの普及、本技術に関する健全なるビジネス環境及び利用者保護体制の整備を進めることで、我が国の産業を発展させることを目的としています。 具体的には、本協会が内外の情報を収集し、また情報を発信する起点となればと考えています。そしてメタバースに関係する企業
お前らが絶対にFIREできない理由
最近のFIREのかたるところはだいたいこんな感じ。 1億円を米国株インデックスにつっこめば400万円の不労所得が得られるから、それで生活費まかなえるよね?ということ。1億円ってデカいけど、こつこつ積立ててれば思ったより早く達成できる。大丈夫!複利のちからを信じよう!とにかく米国株インデックスは平均4%/年のリターンがあるからね!とまあ、こういった具合だ。 4%の年利は過去のS&P500の実績から信頼できる数値といわれている。過去を振り返ればなんとなくいけそうな気がしてくる。 都合のいい過去を振り返ってこの波に乗ずれば勝てるだろうという希望的観測は、10倍株をあのとき買っていればいまごろ億万長者だったのに!というのとあまりかわらない。 もちろんインデックスファンドは個別株投資とくらべてリスクが少なく利回りは安定しており、テンバガーを狙うよりも投資の難度は桁違いに低い。その上、リーマンショック
【DAOとは何か徹底解説】私達は企業の労働者からDAOへの貢献者へ、メタバース時代の働き方はトークンエコノミーと共にある|shinichiro kinjo
web3に関してのトレンドを振り返ると、2020年はDeFi、2021年はNFTとクリプトゲームの年になりましたが、2022年はDAOがより大きく注目されると言われています。 This post English ver👇🏻 DAOは「Decentralized Autonomous Organization」の略であり、日本語では自律分散型組織と訳されます。それだけ聞いても「?」という感じですが(僕もそうでしたw)、簡単にいうと社長のいない会社のようなものです。 株主、経営陣、役員などのような管理者がいなくても、ミッション実現に向かってメンバーが自ら自律的に価値提供をして、事業を推し進めていく組織のことをDAOと言います(この組織(Organization)の部分はCommunityやCompanyとも言い換えることができDACと呼ばれることもあります)。 上司やリーダーいなくてもその
エニグマを実装してみた - Qiita
暗号解読 | サイモン・シン | Amazon サイモン・シンの「暗号解読」を読んでいたら、エニグマの仕組みについて説明があり、意外と実装できそうだったので作ってみた。 ソースコードは GitHub にあげています。 ※以降、識別がしやすいように平文は小文字、暗号文は大文字で表記している 単一換字式暗号 エニグマは、キーボードで入力された1文字を別の1文字に変換して暗号化する。 このように入力された文字を別の文字に変換する暗号を換字式暗号という。 同じ換字式暗号としては、シーザー暗号が有名。 シーザー暗号では、文字を一定数だけずらすことで暗号化する。 たとえば、3文字ずらすシーザー暗号では、「a -> X」「b -> Y」「c -> Z」「d -> A」のように文字を変換する。 3文字ずらすシーザー暗号の変換表 変換表が一種類しか存在しないので、シーザー暗号のような暗号は単一換字式暗号と呼
約30億円相当の仮想通貨不正流出を起こした仮想通貨交換業者のビットポイントジャパン(BPJ)は、16日に行った緊急記者会見の中で「ホットウォレットの秘密鍵の暗号化」など、複数のセキュリティ対策を実施していたことを明らかにした。 流出が起きたのは、BPJが管理する仮想通貨であるビットコイン、ビットコインキャッシュ、イーサリアム、リップルの5銘柄。オンライン環境で迅速な出金ができる「ホットウォレット」に入金していた資産の大半が流出したという。流出したのは全てホットウォレットからで、送金を承認する秘密鍵をオンライン上で管理しない「コールドウォレット」からの流出は確認されなかった。 “二重のセキュリティ対策”にもかかわらず…… 流出した各仮想通貨のホットウォレットは「マルチシグ」に対応していた上、秘密鍵自身も暗号化していた。マルチシグは、送金の承認に複数の秘密鍵を必要とする技術。つまり、マルチシグ
HPKE とは何か | blog.jxck.io
Intro HPKE (Hybrid Public Key Encryption) が RFC 9180 として公開された。 RFC 9180: Hybrid Public Key Encryption https://www.rfc-editor.org/rfc/rfc9180.html HPKE は、公開鍵暗号方式と共通鍵暗号方式を組み合わせて(ハイブリッド)任意の平文を暗号化するための、汎用的な枠組みとして標準化されている。 この仕様は、多くのユースケースが想定されており、 RFC になる前から ECH (Encrypted Client Hello), MLS (Message Layer Security), OHTTP (Oblivious HTTP) など、さまざまな仕様から採用を検討されている。 本サイトで書く予定の他の記事でも HPKE は頻出する予定であり、今後より多く
暗号初期化ベクトルは役に立つのか?|徳丸 浩
Peingで表題のような質問をいただきました。少し長くなるので、こちらで回答します。 現在、暗号化ではIV(暗号初期化ベクトル)が不要なECBモードは推奨されず、それらが使用されるCBC等が推奨されています。 しかし、暗号化後の文章も、暗号化初期ベクトル(平文)も同様にDBに直接保存される為、結局のところ意味をなすのでしょうか? 暗号化後の文章が漏れる≒IVが漏れると思いますが、どのような時にIVを設定したことによる恩恵が受けられるのでしょうか? https://peing.net/ja/q/c63a9669-0d8e-4a23-b7f8-67869bf9e0b0 より引用結論から言えば、IVは必須です。詳しくは暗号の教科書(手っ取り早いところではWikipediaの暗号利用モードなど)を読んでいただければよいのですが、わかりやすい例を2つ紹介します。 まずは、以下の2つの住所をAES-2
御社の常時SSL (TLS) への対応はお済みですか。というわけで本稿ではRFCで標準化されているプロトコルのうち、SSL (TLS) に対応済みのものを列挙していきたいと思います。 用語の定義 本稿では、以下の用語を使います。 Implicit TLS (暗黙のTLS) TCPコネクション開始と同時にTLSセッションがいきなり始まる方式です。httpsなどはこれです。平文通信用と暗号通信用に別々のポートを割り当てる必要がありますが、そのぶん低レイテンシーを実現できます。 Explicit TLS (明示的TLS) TCPコネクションが確立すると、最初は平文で通信が始まり、そこからTLSへ移行する方式です。STARTTLSとか、そんな感じのコマンドが用意されているのがこれです。特徴としては、平文通信と暗号通信を同じポートでカバーできます。平文で始まって暗号へ切り替わるという手順を踏む分、レ
セキュリティで保護されていないネットワークと通じてコンピューターに安全にコマンドを送信する「Secure Shell(SSH)」プロトコルにおいてハンドシェイクプロセス中にシーケンス番号を操作してSSHプロトコルの整合性を破る「Terrapin Attack」という攻撃が発見されました。この操作で、攻撃者は通信チャネルを通じて交換されるメッセージを削除あるいは変更できるようになり、さまざまな攻撃が可能になります。 Terrapin Attack https://terrapin-attack.com/ Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation (PDFファイル)https://terrapin-attack.com/TerrapinAttack.pdf Terrapin a
TechCrunch
Tesla’s been undergoing some major changes, and now we have a sense of why: The company says it is upending its product roadmap because of “pressure” on EV sales. The new and acceler
「PIXIV DEV MEETUP 2021」は、完全招待制のオンラインカンファレンスです。ライブセッションをはじめ、さまざまなイベントを通して、ピクシブのメンバーとピクシブのプロダクト開発における知見、組織文化を共有します。金川氏は、「BOOTH」で発生する決済スパイクに対する取り組みについて発表しました。 突然の決済スパイクに悩まされていた「BOOTH」 金川祐太郎氏(以下、金川):「オンライン即売会を支えた技術」。BOOTH部の金川がお話します。よろしくお願いします。 「BOOTH」では、突然の決済スパイクに頭を抱えていました。決済スパイクは、例えば有名なクリエイターの期間限定販売や、「YouTube」などVTuberの配信中に商品が公開された時、あとは最近行われるエアコミケといったオンライン即売会などで発生します。 決済スパイクが起きる時、BOOTHでは同じ商品に注文が集中します。
by Kaboompics .com ブラウザでウェブサイトにアクセスする際、ドメイン名をIPアドレスに変換するドメイン・ネーム・システム(DNS)が利用されています。一般的にDNS通信は平文で行われていますが、GoogleなどはこのDNS通信を暗号化してセキュリティを向上させようという取り組みを進めています。ところが、大手インターネットサービスプロバイダ(ISP)のコムキャストが、ロビー活動によってDNS通信の暗号化を妨害していることが明らかとなりました。 Comcast Is Lobbying Against Encryption That Could Prevent it From Learning Your Browsing History - VICE https://www.vice.com/en_us/article/9kembz/comcast-lobbying-again
Web会議サービス「Zoom」の公式サイトには、すべてのミーティングはエンドツーエンド(E2E)で暗号化されると明示されているが、実際にはしていないことが、米The Interceptの3月31日付の記事で明らかになった。 “エンドツーエンドの暗号化”の一般的な定義では、データをやり取りする自分と相手の端末以外ではデータにアクセスできない。たとえ第三者がデータを盗んでも、解読できない。 ZoomはInterceptの問い合わせに対し、Zoomのビデオ会議はTCP接続ではTLSを使い、UDP接続ではTLS接続でネゴシエートされたキーを使ってAESで暗号化していると答えた。つまり、採用している暗号化手法は一般的なHTTPSサイトと同じだ。 ちなみに、Zoomと競合する米Microsoftの「Microsoft Teams」も、会議はE2Eの暗号化はしていない。Interaceptはジョンズホプ
MongoDB、暗号化したままのデータベースを検索「Queryable Encryption」発表。データ格納時、メモリ上、データ転送、ログ、バックアップのすべてが暗号化データのまま
MongoDB、暗号化したままのデータベースを検索「Queryable Encryption」発表。データ格納時、メモリ上、データ転送、ログ、バックアップのすべてが暗号化データのまま MongoDBは、6月7日から9日にかけて米ニューヨークで開催されたイベント「MongoDB World 2022」で、データを暗号化したまま検索できるMongoDBの新機能「Queryable Encryption」を発表しました。 現代の主要なデータベースであれば、データベース内にデータを暗号化して格納する機能を備えていますが、データ格納時に暗号化して格納し(Encryption at Rest)、検索時にはメモリ上でデータを復号して操作する実装が一般的です。 今回のMongoDBが実装を発表したQueryable Encryptionは、データ格納時に暗号化するだけでなく、復号することなく暗号化したまま
「NFTとは何ではないか」の後に調べたこと
Yuta Okamoto @okapies 暗号通貨や NFT について、先週、プライベートな勉強会で、ソフトウェア技術者ではない人向けに「要は NFT って何なの」的な解説をした際の発表資料をアップしました。スマートコントラクトの実際のソースとか読んで、個人的にもけっこう勉強になった。 speakerdeck.com/okapies/nfttoh… 2021-12-30 18:45:56
Analytics cookies are off for visitors from the UK or EEA unless they click Accept or submit a form on nginx.com. They’re on by default for everybody else. Follow the instructions here to deactivate analytics cookies. This deactivation will work even if you later click Accept or submit a form. Check this box so we and our advertising and social media partners can use cookies on nginx.com to better
シオドア・スタージョンは「SFの90%はクズである──ただし、あらゆるものの90%はクズである」と言いましたが、ご多分にもれず公開鍵暗号関係の書籍・技術記事も90%はクズであることは有名です。 特に「電子署名はハッシュ値を秘密鍵で暗号化~」とか「SSL/TLSは共通鍵を公開鍵で暗号化~」みたいな誤った説明が蔓延していることはご存じの方が多いと思います。 では、何故そのような誤った説明が蔓延しているのでしょうか。一つの理由は、「機能や使い方だけではなく、仕組みを(せめて雰囲気だけでも)知らなければ、理解したとは言えない」という思い込みではないでしょうか? 「秘密鍵で暗号化」などの誤った説明は、分かりやすくて「仕組みを雰囲気だけでも知りたい」という人にとっては満足行く説明です。実際には『本当の仕組み』とは大きく異なっているにもかかわらず、「ああ、これが電子署名の仕組みなのか」と納得してしまいま
図書館の受託運営やDM発送事業などを手掛けるヴィアックス(東京都中野区)は6月1日、同社の勤怠・人事給与管理システムがランサムウェア攻撃を受け、従業員1871人分、退職者2167人分などの情報が暗号化されたと発表した。攻撃者に身代金を要求されたという。 データセンター内のDMZ(DeMilitarized Zone)にあるシステムのWebサーバメンテナンス時、外部からWebサーバへのリモートデスクトップ接続が可能になっていた。このパスワードが総当たり攻撃により推測されて不正侵入を受け、ランサムウェアを実行された可能性があるという。 被害を受けた可能性があるのは、従業員・退職者の氏名、生年月日、性別、住所、扶養者の氏名、生年月日、住所、世帯主の氏名、勤怠システムのログインパスワード、ソフトデータ、残業や休日出勤、出張申請履歴、給与口座情報、給与額、社会保険料額など。 従業員・退職者に加え、扶
ラバランプはどのようにインターネット暗号化に役立つか?
さらに詳しく知りたいとお考えですか?是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください! Cloudflare暗号化にラバランプを使用する理由 安全な暗号化にするうえでランダム性は非常に重要です。データを暗号化するのにコンピューターが使用するそれぞれの新しい鍵は、攻撃者が鍵を見つけてデータを復号化できないように真にランダムなものでなければなりません。しかし、コンピューターは、任意のインプットに基づいて、予測可能で論理的なアウトプットを提供するように設計されています。予測不可能な暗号鍵を生成するのに必要なランダムデータを生成するようには設計されていません。 強力な暗号化に必要な予測不可能で無秩序なデータを生成するには、コンピューターはランダムデータのソースが必要です。物理世界における事象は予測不可能であるた
Note: As of 2022/10/25 the information in this series is slightly outdated. See Part 5 for more up to date information. The Car⌗ Last summer I bought a 2021 Hyundai Ioniq SEL. It is a nice fuel-efficient hybrid with a decent amount of features like wireless Android Auto/Apple CarPlay, wireless phone charging, heated seats, & a sunroof. One thing I particularly liked about this vehicle was the In-V
インフラもセキュリティも,まだまだ未熟な私ではありますが,これだけはお願いします. オリジンサーバを暗号化なしの HTTP で運用しないでください. TL;DR ここで,オリジンサーバは,ファイアウォールやゲートウェイを通った先の最も奥にある,最終的にリクエストを処理するサーバをいいます.アプリケーションサーバが当てはまることが多いですが,静的ファイルサーバも例外ではありません.対して,間に入るサーバをエッジサーバと呼ぶことにします. また,この記事では暗号化なしの HTTP を HTTP , TLS レイヤ上の HTTP を HTTPS として記述します.HTTPS における TLS 上での通信も HTTP ではあるため,差別化のために明記しておきます. 何がだめなのか 近年, Web サイトのほとんどが TLS を用いた HTTPS で運用されています.パブリックな静的コンテンツに対し
AWS 認定トレーニング「Advanced Architecting on AWS」を受講してみた | DevelopersIO
お疲れ様です。AWS 事業本部のヒラネです。 AWS 認定トレーニング「Advanced Architecting on AWS」を受講してきたので内容のご紹介や感想をお伝えしたいと思います。 お疲れ様です。AWS 事業本部の平根です。 AWS 認定トレーニング「Advanced Architecting on AWS」を受講してきたので内容のご紹介や感想をお伝えしたいと思います。 AWS トレーニングとは AWS トレーニングとは、AWS の利用方法の知識とスキルを身に付けるための公式教育プログラムです。 クラスメソッドのメンバーズプレミアムサービスにご加入いただいているお客様の場合は、 特別割引価格で受講いただけます! 提供トレーニングの詳細やお申込みは以下 URL をご参照ください。 今回は、トレーニングの中でも「Advanced Architecting on AWS」を受講しまし
Appleデバイスで機密データの暗号化に使用される「Secure Enclave(SEP)」にパッチ不可能な脆弱性が存在すると、中国人ハッカーグループ「Pangu」に所属するwindknown氏がMOSEC 2020にて発表しました。この脆弱性に関する情報をまとめた資料がGitHubで公開されており、仮想メモリ空間の暗号化キーの抜き出しといった脆弱性の詳細を知ることができます。 presentations/Attack_Secure_Boot_of_SEP.pdf at master · windknown/presentations · GitHub https://github.com/windknown/presentations/blob/master/Attack_Secure_Boot_of_SEP.pdf ほぼすべてのApple端末に組み込まれている「Secure Encla
楕円曲線と暗号
東京理科大学理工学部数学科談話会 https://wiki.ma.noda.tus.ac.jp/rs/seminar/2020/05Read less
ブラウザだけでなく、非ブラウザなJavaScript(JS)処理系も増えてきたので、「主要ブラウザ、Node.js、Cloudflare Workersでも動くDenoファーストなTypeScript/JavaScriptモジュール開発&CI/CD」をやってみました。一事例として共有します。 はじめに 最近、TypeScriptで hpke-js というモジュールをつくりました。 HPKE (Hybrid Public Key Encryption) というのは、ざっくり言うと、公開鍵を交換しあって共有鍵をつくり、安全にEnd-to-End暗号化をおこなうための規格です。これを Web Cryptography API 上に実装し、このAPIをサポートする複数のJS処理系(主要なWebブラウザ、Node.js、Deno、Cloudflare Workers)で動作保証する(ちゃんと全環境で
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
【読売新聞】 急拡大する暗号資産(仮想通貨)の取引で、所得の申告漏れや無申告が相次いでいる。国税庁は5年前に取引の利益を「雑所得」として確定申告の対象とし、取り締まりを強化。SNS上では「暗号資産同士の交換は非課税」といった誤った情
2021年4月30日に、Apple純正の落とし物トラッカー「AirTag」が登場しました。このAirTagでは、世界中で動作している数千万台のApple製デバイスで構築された「探す(Find My)」ネットワークを利用することで、オフラインでの位置情報追跡を実現しています。そんな「探す」ネットワークを利用して、任意のデータを送受信する手法がセキュリティ企業のPositive Securityによって編み出されました。 Send My: Arbitrary data transmission via Apple's Find My network | Positive Security https://positive.security/blog/send-my ◆仕組み Positive Securityによると、AirTagは初期設定の際に公開鍵と秘密鍵のペアを生成するとのこと。AirT
世界初の商用量子コンピュータ「D-WAVE」の登場によって量子コンピュータ研究が世界的に活性化し、“量子時代”が訪れると一部ではささやかれるようになりました。実際にはまだまだ先の話ですが、その前に解決するべき問題があります。それは量子コンピュータの高い計算能力によって現代の暗号が解読されてしまうかもしれない、という問題です。その理由と、解読されない「耐量子暗号」の1つ、格子暗号の仕組みを図解します。 合同会社Noteip代表。ライター。米国の大学でコンピューターサイエンスを専攻し、卒業後は国内の一部上場企業でIT関連製品の企画・マーケティングなどに従事。退職後はライターとして書籍や記事の執筆、WEBコンテンツの制作に関わっている。人工知能の他に科学・IT・軍事・医療関連のトピックを扱っており、研究機関・大学における研究支援活動も行っている。著書『近未来のコア・テクノロジー(翔泳社)』『図解
[asin:4908686009:detail] 最近ふとSSL/TLSの仕組みについて知りたくなったので、「プロフェッショナルSSL/TLS」を読んだ。 かなりいろんな話題を網羅していて、かつ具体的な設定例なども書かれていて良かった。TLSに関する仕事をするときや、SSL/TLSやHTTPS周りで何回かハマったことがあるなら非常にお勧めできる。 仕組みを理解したいなら1章 SSL/TLSと暗号技術・2章 プロトコル・3章 公開鍵基盤が参考になった。実運用なら8章 デプロイ・9章 パフォーマンス最適化・16章 Nginxの設定あたりが参考になりそう。またTLS周りでハマった時のトラブルシューティングには12章のOpenSSLによるテストが使えるだろう。 ただ最新のTLS 1.3に関してはそこまで多く言及はなかった(電子書籍版の巻末の付録のみ)ので、これについては別書籍や別資料で学ぶ必要があ
サービス開発部SRE課の@vvatanabeです。 2021年9月26日、OpenSSH 8.8がリリースされました。大きな変更として挙げられるのは、SHA-1ハッシュアルゴリズムを使用したRSA署名の廃止です。 本記事では、この変更がBacklogに与えた影響、その時現場で起こっていたこと、問題解決のプロセス、なにを教訓にしたのか等、順を追って解説します。 ※ 本記事はNuCon 2021で発表した内容をブログ化したものです。 問題の発覚 BacklogのGitへSSHでアクセスできない TypetalkのBacklog開発者のトピックで、以下のフィードバックが投稿されました。 「OpenSSH 8.8へアップデートすると、BacklogのGitへSSHアクセスできない」という内容でした。 問題の調査 Inside SSH protocol v2 深堀りしていく前に、SSHプロトコルの接
NVIDIAはハッカーグループの攻撃によって機密情報を盗み出されたことを2022年3月1日に発表しており、盗み出したデータを人質に仮想通貨での身代金支払いやマイニング性能制限の撤廃などを要求されていることが報じられています。新たに、盗まれたデータの中にNVIDIAのコード署名証明書が含まれていたことが判明し、証明書を悪用してNVIDIA製ドライバーになりすましたマルウェアの存在も複数報告されています。 Malware now using NVIDIA's stolen code signing certificates https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/ NVIDIAは2022年3月1日に「私たちは脅威アクターが従
近年は動画ストリーミングサービスの利用者が増加しており、インターネットトラフィックの大部分を占めていると指摘されています。世界最大級の動画ストリーミングサービスであるNetflixが、日々大量のデータを全世界のユーザーに送信するためにどのような工夫を凝らしているのかを説明するスライドを公開しています。 2022-Streaming-Summit-Netflix.pdf (PDFファイル)http://nabstreamingsummit.com/wp-content/uploads/2022/05/2022-Streaming-Summit-Netflix.pdf Netflixは800Gb/sもの動画データを1つのサーバーで送信するシステムの構築を目指し、長い道のりを歩んできました。 Netflixのワークロードでは、動画を「静的メディアファイル」として送信しており、すべてのコーデック/
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PPAPの意味はあるのか、AWSのGPUを使ってパスワードを解析してみた
AppleやFacebookが法執行機関向けバックドアを作らないなら暗号化を法律で規制する――米上院議員
PPAPを何とかしたいがPHSも何とかしたい(PDF版)
無料&超簡単にパスワード付きのURLを作成できるオープンソースなウェブサービス「Link Lock」レビュー
記録媒体の廃棄はドリルよりも「暗号化消去」、ルール整備で認知高まるか
社会人のための量子コンピューター超入門 量子コンピューターのよくある誤解を正す編 - Qiita
「日本メタバース協会」の違和感 “当事者不在”の団体が生まれる背景
「秘密鍵暗号化していた」 ビットポイント、“二重のセキュリティ対策”でも起きた仮想通貨不正流出
SSL (TLS) 対応プロトコルのリスト - Qiita
SSH接続への中間者攻撃を可能にするエクスプロイト「Terrapin Attack」が発見される
BOOTHの“決済スパイク”を防げ! 創作物の総合マーケットを支えるトランザクション分割
DNS通信を暗号化するGoogleの動きを大手ISPがロビー活動で妨害している
「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家
Kernel TLSとSSL_sendfileによるパフォーマンス向上 - NGINX
足し算だけの世界の物語~第一話「鍵共有」 - Qiita
リモートデスクトップ経由で侵入か 人事システムにランサムウェア攻撃 社員の給与情報など暗号化
How I Hacked my Car
お願いがあります.オリジンサーバを暗号化なしの HTTP で運用しないでください. - Qiita
Apple端末のセキュリティチップ「Secure Enclave」はどのようにして突破されてしまったのか?
ブラウザ, Node, Cloudflareでも動くDenoモジュール開発
暗号資産で申告漏れ、追徴2億円超も…年収900万円の会社員「納められる金額でない」
Apple製デバイスで構築されるネットワークにタダ乗りしてデータを送受信する方法が編み出される
耐量子暗号を図解、量子コンピュータに解読されない「格子暗号」ってどんな仕組み?
「プロフェッショナルSSL/TLS」を読んだ - $shibayu36->blog;
OpenSSHがSHA-1を使用したRSA署名を廃止、BacklogのGitで発生した問題と解決にいたるまでの道のり | 株式会社ヌーラボ(Nulab inc.)
NVIDIAから署名付き証明書データが流出しNVIDIA製ドライバーになりすましたマルウェアが複数登場
Netflixはどのようにして800Gb/sものデータ転送を実現しようとしているのか?