DBに保存されたクレジットカード情報が流出するリスクに対して、1人日で対処できる暫定対策
Webサービスのユーザー情報のテーブルにクレジットカードなどの流出したら困る情報を保存するのはとても怖いことです。 そんな情報は保存しないことが望ましいわけですが、ビジネス的な事情でカード情報を保存せざるを得ないケースも当然あります。 少なくともWEBサーバから直結してるサーバーに、そんな情報は置きたくないところで、最低限カード情報サーバは裏側に専用のapiサーバを置いて、SQL文なんぞで一発で全員の情報にアクセスできないような状態にはしておきたいところですが、昨今情報が流出してしまった老舗ECサイトのように、既に稼働していて簡単には直せないぞ!というシステムで、もし万が一、そういうDB情報が流出してしまったとして、流出したDB情報から、カード番号などの重要情報が特定されるまでの期間を多少なりとも延ばすために、1人日で応急措置ができる暗号化方法について記述してみます。 ■やり方 ・可逆な暗
増田の誤解 - Crypt Alarm Basic (仮称) 方式について - 186 @ hatenablog
追記: 2008/04/15 0:03 “解読不能”の新暗号の記事について、いつくかのお詫び − @IT 続報出た. 大方の予想通り, ストリーム暗号の疑似乱数生成部をブロック暗号が担っているタイプのようだ. 煽りっぽいのは大矢教授/入矢助教への不満だと思ってください. あと@ITの記者 (西村賢氏) はもっと纏まった記事を書いてください. ref:「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは − @IT ref:新暗号方式はたぶん胡散臭くないよ いやーそれはどうかなー. 「理論的」な胡散臭さ 大矢氏がハッタリをかます動機がない まず、大矢氏はその道では有力な研究者で、名前も売れてます。俺のような門外漢でも知ってるぐらいだから。だから、胡散臭いものに手を出すという動機がまずないんですよ。 いや, ハッタリをかます動機は無いにせよ, 誤解する可能性はありますよね? 暗号家見習
Passion For The Future: 量子暗号 絶対に盗聴されない暗号をつくる
量子暗号 絶対に盗聴されない暗号をつくる スポンサード リンク ・量子暗号 絶対に盗聴されない暗号をつくる これまでに使われている暗号技術は、どんなに高度なものであっても、原理的には第三者が解読することができる暗号である。現在、インターネットなどでも使われている暗号技術は、非常に高度なものであるとはいえ、コンピュータを使って天文学的な時間の計算ができるなら、いつか解読できる。人間にとって意味のある時間で解読できないから、安心というだけである。 量子暗号は原理的に解読や盗聴することができない暗号である。電子や光子のような超微細な粒子のレベルでは、なにか観測するということは、対象に対して光子などをぶつけることである。必然的に観測するということは対象の状態に影響を与えてしまうことになる。この不確定性原理を通信に応用するのが量子暗号である。 「量子の状態にある信号は、測定すると必ず痕跡が残る。それ
鵜飼裕司のSecurity from USA : P2PソフトShareの暗号を解析,ネットワーク可視化システムを開発
1. はじめに Shareと呼ばれるP2P型ファイル交換・共有システムがここ二年ほどで急速に普及し、Winnyについで第2の巨大P2Pネットワークを構成している事は皆様もご存知かと思います。以前、ネットワーク脆弱性スキャナ「Retina」(http://www.scs.co.jp/eeye/)にWinnyの検出機能を実装致しましたが、同様にShareの検出機能も実装して欲しいという強い要望を日本の皆様から頂いておりました。このためには、Shareを解析せねばなりません。 どうせShareを解析するならば、利用されている暗号アルゴリズムやプロトコルを詳細に解析し、現在日本で大きな社会的問題となっているShareネットワークでの情報漏えい問題に何か手を打てればと思い、年明けからShare EX2の解析に着手しました(以降、「Share」 = 「Share EX2」とする)。この甲斐あって、Re
【初級】暗号・認証技術を基礎から理解する 前編:ITpro
情報データを様々な攻撃から守る安全なシステムを構築するためには,セキュリティ技術の理解が欠かせない。ここではセキュリティ確保の中核技術とも言える,「共通鍵/公開鍵暗号」,「デジタル署名」,「バイオメトリクス」といった暗号・認証技術を取り上げ,基本的な仕組みや利用動向を解説する。 今や日本の企業のほぼすべてがインターネットを利用しており,一般家庭を見ても利用人口は約5割に達するという。ITは水道や電気と並ぶ,欠かすことのできない社会インフラとなった。 しかし,コンピュータの数が増え,ユーザーが様々なサービスを享受できるようになった一方で,深刻な問題が発生してきた。それは,一つひとつのコンピュータに監視の目が行き届かなくなり,悪意のある人間による不正操作が行われやすい環境になってきたということだ。実際に,コンピュータ上のデータが盗まれたり,改ざんされるといった事件が多発するようになり,連日のよ
ドイツ軍が第二次世界大戦で使った暗号「エニグマ」シミュレーター
イギリスの諜報機関内でこの暗号「エニグマ」の解読作業をしたグループは「Ultra」(ウルトラ)と呼ばれており、解読情報は「Ultra情報」と呼ばれていたそうで。 というわけで、第二次世界大戦の行方を左右したと言われる超強力な暗号「エニグマ」を体験できるシミュレーターです。実際に使ってみるとその強力さがよく分かります。 これがそのシミュレーター。 Enigma 「Input」に適当な英字を入れると、「Output」に出てきます。一文字打つごとにどう連動して暗号化されているのかが分かります。 初期のギアは「H」「D」「X」ですが、これを変更すれば同じ文字でも違うパターンになります。また、ギアの組み合わせも変更できるという優れもの。こんなもので暗号化された日にはたまったものではありません。しかし、これだけ強力であったが故にドイツ軍は慢心し、破られているとは気づかなかったわけです。そのあたりの詳細
量子暗号速度を1000倍に、国立情報学研究所 - @IT
2006/6/20 国立情報学研究所(NII)の量子情報科学グループと英ヒューレット・パッカード研究所、米スタンフォード大学は6月19日、従来の方法と比べて伝送速度が約1000倍になる量子中継を使った量子暗号方式の理論を共同で確立したと発表した。NIIは新理論の実現によって、量子状態そのものを送ることができる「量子テレポーテーション」が可能になり、傍受が不可能な暗号通信に利用できるとしている。 光ファイバを使った量子暗号システムの最大回線長は50~150キロ程度とされ、これ以上の量子暗号方式を光ファイバで実現するには量子中継と呼ばれる技術を活用する必要がある。量子中継とは、2つの量子を同じ活動状態に置く“量子もつれ状態”を長距離間に生成する技術。量子中継を複数つなげることで、これまで難しかった長距離間の量子暗号システムを可能にする。新理論を確立したNIIの助教授 根本香絵氏らは、1280キ
英国政府、暗号キーの開示を強制する法律の発効に向け準備--専門家からは反発の声も
英国政府は、企業や個人に暗号キーを強制的に開示させる権限を同国の警察に与える準備を進めているが、一部のセキュリティや人権の専門家はその動きに強く反発している。 問題となっているのは、捜査権限規制法(Regulation of Investigatory Powers Act:RIPA)第3章に規定されている内容だ。RIPAは2000年に導入されたが、英国政府は第3章の発効を留保していた。しかし、同法の施行後5年が経過した今、英内務省は第3章が定める権力を行使したいと考えている。 一部のセキュリティ専門家からは、RIPA第3章が施行されれば、無実の人々が犯罪者扱いされたり、企業の英国離れを加速させるといった事態を招きかねないとの懸念の声が上がっている。しかし、協議プロセスに着手したばかりの内務省は、最近は犯罪者、小児愛者、テロリストによる暗号化技術の使用が増えており、その対策を講じるために第
2006-05-07
あなたが10の理由を示すべき10の理由。 「7の理由」ではパターン化しすぎているから。 9では少なすぎ、11では切りが悪いから。 体系的に広い視野で考えているように見てもらえるから。 なんだかんだいって10個くらいの理由は思いつくから。 10個も示せば一つくらいは「なるほど」と言ってもらえるから。 10個も示せば一度には読みにくいためブックマークしてもらえるから。 10個も示せば時間経過とともにランキング変動も調査できるから。 10位から発表していけば「1位は何だろう」と盛り上げられるから。 タイトルで「10の理由」と書いておいても、実際に10個も示す必要なんてないから。 ※流行ものらしいので、書いてみました。 はてな認証APIに関連して、kazuhoさんが以下のエントリを書いておられます。(via まちゅダイアリー) Re: はてな認証 API Hash ≠ MAC これは「秘密鍵をメッ
暗号も国際標準化の時代へ〜政府・ISO/IEC・インターネット標準 ― @IT
暗号も国際標準化の時代へ~政府・ISO/IEC・インターネット標準:デファクトスタンダード暗号技術の大移行(2)(1/3 ページ) 第1回「すべてはここから始まった〜SHA-1の脆弱化」では、米国商務省国立標準技術研究所(NIST)が2010年までに、ほぼすべての米国政府標準の暗号技術をより安全な暗号技術へ交代させていく方針を明確に打ち出したことを紹介した。その中にはハッシュ関数SHA-1も含まれている。 現在のデファクトスタンダード暗号のほとんどが米国政府標準暗号に準じていることに照らし合わせれば、SHA-1だけでなく、1024ビットRSA暗号やRSA署名、Triple DESなども、「現在のデファクトスタンダードだから今後も使い続けてもよい」とは単純にいえなくなってきていることを意味する。 その一方で、近年、米国政府標準の暗号技術以外にも、世界中の暗号研究者が安全であると高く評価した暗
暗号化XMLデータに対するスキーマ検証の実現に向け、XMLコンソーシアムが検討開始
XMLコンソーシアムは、暗号化されたXMLデータに対するスキーマ検証をスムーズに行う手法の確立を目的に、検討作業を開始した。 XMLコンソーシアムは4月6日、Webサービスで安全にデータをやり取りするための手法を確立することを目的に、XML暗号化の利用技術の検討を開始した。 XMLで記述されたデータの秘匿性を実現するための仕様としては、W3Cによって「XML Encryption」が定められている。一方、XMLデータの確実な処理と不正データ排除のためには、「XML Schema」を用いた妥当性検証(スキーマ検証)が必要になる。しかし、XML EncryptionでXMLデータを暗号化した場合、このスキーマ検証を行えなくなるという問題が存在した。 XMLコンソーシアムでは2004年に「TravelXML利用Webサービス実証実験」を実施しているが、この中でも、SOAPに基づく交換データを暗号
トロイの木馬Cryzip、暗号化したファイルの「身代金」を要求--セキュリティ企業が報告
セキュリティ企業Lurhq Threat Intelligence Groupの報告によると、被害者のコンピュータにあるファイルを暗号化し、300ドルの支払と引き替えに暗号を解除する、金銭目当てのトロイの木馬が出現しているという。 これは「ランサムウェア(身代金目当てのソフトウェア)」と呼ばれるトロイの木馬で、「Cryzip」という名前が付けられている。Cryzipは、過去10カ月に出現した同種のトロイの木馬としては「PGPcoder」に続いて2例目になり、1989年に最初のランサムウェアが確認されてからは3例目になる。 Lurhqの研究者らは米国時間3月14日、ファイルを暗号化するトロイの木馬が1年間に2種類出現したことから、悪意のあるソフトウェアのトレンドになりつつあることが考えられると述べた。 Lurhqの上級セキュリティ研究者であるJoe Stewart氏は、「PGPcoderが2
オープンソースの暗号化ソフト「GNU Privacy Guard」に脆弱性
攻撃者がデジタル署名付きのメッセージにコンテンツを加えたり、ファイルに偽造署名を加えたりすることを可能にするセキュリティ脆弱性が2件、暗号化ソフトウェアに見つかった。 この脆弱性は、オープンソースの「GNU Privacy Guard(GnuPG)」で見つかったもので、GnuPG.orgが警告を出している。同ソフトウェアは暗号化技術「Pretty Good Privacy」に代わる無償のオープンソースソフトウェアで、FreeBSD、OpenBSDなどの多くのLinuxディストリビューションにバンドルされている。 この2つの脆弱性を発見したGentoo LinuxセキュリティチームのTavis Ormandy氏は米国時間3月10日、電子メールによるインタビューに応じ、この脆弱性がデジタル署名の価値にとって脅威となると書いている。たとえば、悪意あるハッカーが、電子メール経由で送られるセキュリテ
すべてはここから始まった〜SHA-1の脆弱化 ― @IT
米国は、現在利用されているすべての米国政府標準の暗号技術を2010年までにより安全な暗号技術へ交代させていく方針を明確に打ち出している。現在、世界中で使われているデファクトスタンダードの暗号技術は、そのほとんどすべてが米国政府標準の暗号技術に準じているため影響は極めて大きい。2010年に向けて現在使われている暗号技術はどのように変わっていくのだろうか(編集部) 2005年2月15日、世界的な暗号の権威であるBruce Schneier氏のBlog「Schneier on Security」で公表された「SHA-1 Broken」という情報は、驚きをもって世界中を駆け回った。現在、ハッシュ関数のデファクトスタンダードとして最も広く利用されているSHA-1に対して、中国・山東大学のXiaoyun Wang氏とHongbo Yu氏、セキュリティコンサルタントのYiqun Lisa Yin氏のチー
AxCrypt
多くの企業や公共団体などの個人情報の流出・紛失がメディアで大きく取り上げられている。個人情報保護法の施行もあるが、情報の管理が問われる時代に是非利用して欲しいツールが暗号化ツールである。今回はAxcryptを紹介する。 Downloadはhttp://axcrypt.sourceforge.net/content.htmから。 AxCryptの特徴 オープンソースな状態で開発されているAxCryptの特徴は次のとおり。 最大128BitのAES暗号化 Windows98のFATからWindows2003のNTFSまで対応 暗号化ファイル数の制限なし 暗号化ファイルのサイズ制限なし(FATは500MB〜700MBくらいまで。NTFSは制限なし) 自己解凍型復号も作成可能 GNUライセンス 無償で使える暗号化ツールにはファイル数やサイズに制限があるものが多いが、AxCryp
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ハイパーギア、ファイル課金方式の暗号化DRMソフトを開発
GitHub - google/keyczar: Easy-to-use crypto toolkit
KDDI、携帯電話機向けコンテンツ保護技術を発表