セキュリティ・キャンプ全国大会2016 集中講義
答え:3種類の暗号技術を巧みに組み合わせています 暗号技術には、大きく分けて「共通鍵暗号」「公開鍵暗号」「ハッシュ」の3種類がある(図3-1)。TLSやSSLでは、これらを巧みに組み合わせて、暗号化や認証、改ざん検出を実現している。 TLS/SSLでは、「共通鍵暗号」「公開鍵暗号」「ハッシュ」の3種類の暗号技術を組み合わせて、通信データの「盗聴」「なりすまし」「改ざん」を防ぐ。共通鍵暗号は、暗号化と復号に同じ鍵を使う暗号方式。公開鍵暗号は、対になる公開鍵と秘密鍵で暗号化/復号を行う暗号方式。ハッシュは、ハッシュ関数を使って、任意の文字列を一定の長さのデータに変換する暗号方式で鍵はない。 共通鍵暗号とは、データの暗号化と復号に同じ鍵を使う暗号方式である。ここでの「鍵」とは、暗号化や復号に使うデータのこと。一般的にはこの鍵のデータ長が長ければ長いほど(ビット数が大きければ大きいほど)、暗号の解
プロダクト拡大フェーズでプロダクト検証サイクル効率化を目指す過程で見えたもの / Streamlining Product Validation in Growth Phase
Webサーバ確認 The Logjam Attack に、 Logjam Server Test のリンクがあります。 ここでサーバの脆弱性テストが行えます。 Guide to Deploying Diffie-Hellman for TLS Guide to Deploying Diffie-Hellman for TLS の Test A Server 欄にチェックしたい サーバのURLを入力し、[ Go ] ボタンをクリックします。 Insecure DHE_EXPORT が No になっていない ( Supported! の ) 場合、Logjam 脆弱性の影響を受ける事になります。 No の場合でも、DHE が 2048 ビット未満の場合には警告表示がなされるようです。 この場合、同ページ下に対策 ( 後述 ) が記されるので、サーバの要件等に従って対策を行うか検討しましょう。
SSL/TLSによって通信を暗号化しているHTTPSサイトに簡単に攻撃される脆弱性があることがセキュリティ研究者によって発表されました。この脆弱性をついた攻撃「DROWN」を受ける可能性があるサイトには、毎日新聞、任天堂、はてな、LINEなどの日本の大手サイトも含まれています。 DROWN: Breaking TLS using SSLv2.pdf (PDFファイル)https://drownattack.com/drown-attack-paper.pdf DROWN Attack https://drownattack.com/ 「Decrypting RSA with Obsolete and Weakened eNcryption(DROWN)」はSSLv2に含まれる脆弱性で、この脆弱性を悪用されるとクロスプロトコル攻撃によってTLSセッションの暗号化が解除(復号)されて通信が傍受
0. 簡単なSLOTH攻撃のまとめ 最初に簡単なまとめを書いておきます。長文になりそうなので、読むのが大変な方はここだけ見ておいてください。 MD5ハッシュは既に安全ではなく、証明書の署名方式での利用は停止されていたが、後方互換のためハンドシェイクデータの署名方式にRSA-MD5が今でも利用できるTLS実装が幾つか存在していた(Firefox NSS, Java等)。 先週、INRIAグループからハッシュ衝突を利用して実際にTLSを破る攻撃(SLOTH)が公開された。それを受け、いくつかの実装でRSA-MD5を完全に利用不能にする修正が行われた(CVE-2015-7575)。 SLOTHでは、SHA1やTLS、IKE、SSHに対する攻撃についても評価を行い、幾つかは全く現実的に不可能なレベルではないことが示された。MD5とSHA-1でTLSハンドシェイクの完全性を担保しているTLS1.0/
インフラエンジニアの方向けに、SSL/TLSとは何か、また証明書入手のポイント、HTTPS設定のポイントについて、最新の動向を踏まえて紹介します。また、最後の方で勉強会主催者のリクエストでおまけがあります(^^;Read less
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く