Intel SGX入門 - 基礎知識編 本記事では、Intel SGXの仕組みを理解するための入門的な説明を行います。SGXプログラミングの基礎や実践に関するエントリは、このページの末尾にリンクを記載してあります。 Intel SGXとは？ Intel SGXは、メモリ上に「Enclave」(エンクレーブ、直訳で「飛び地」の意)と呼ばれる暗号的に厳重に保護された領域を生成することで、センシティブデータを保護しつつプログラムを実行する為のCPUの拡張機能です。 最近のIntel製CPUには、CPUのコア(主要演算部分)の周辺回路である「アンコア(uncore)」と呼ばれる回路の中に、「MEE(メモリ暗号化エンジン)」と呼ばれるユニットが存在します。このMEEこそがEnclaveを形成する中核であり、以下のテクノロジの組み合わせにより非常に強固なRAM上の保護領域を実現します。 微調整を加えた

HSM(Hardware Security Module)とは、一言で説明してしまうと・・・ 鍵を守る金庫の役目をするハードウェアです。 ここで、鍵と言うのは、暗号や電子署名に利用する鍵のことで、一般的には128～2048bit程度のバイナリーデータです。この鍵は、絶対に他人に見せてはいけないもので、盗まれるなどして万が一鍵が漏えいするようなことがあれば、暗号を解読されて機密情報が流出してしまったり、ICクレジットカードが大量に偽造されたりと、大変なことが起こってしまいます。 こんなことが起こらないように鍵は安全に保管しなければならないのですが、ソフトウェアの工夫だけで鍵を守ろうとしても限界があります。そこで、鍵を保管するハードウェアとして作られたのがHSMであり、さまざまな攻撃から鍵を保護する仕組みが備えられています。 HSMの形はいろいろありますが、どの製品も、右の写真のように内部の鍵

はじめに PHPをうごかすためには、 ・cgiをつかう ・phpモジュールをつかう という方法がありますが、 apacheの場合：apacheのphpのモジュール(mod_php)がphpを実行することが可能 nginxにはPHPのモジュールがないため、cgiがプログラムを動かすように設定する必要があります。 ・PHP-FPMというのは、PHP-FastCGI Process Managerの略で、cgiです。 ・PHP-FPM(=FastCGIのインターフェース) → このプログラムを使って、PHPを動作をさせます ここでは、nginxでphpを動かすための設定と、 nginxの設定ファイルについて、かこうとおもいます。 ▼ cgi方式 nginxがphp-fpmにphpの処理を依頼し、php-fpmがphpを処理します。 ▼設定方法 ・ここでは、nginx→php-fpmの通信はUni

VPNの基礎知識 VPNプロトコルの比較と特徴 - PPTP, L2TP, SSTP, IKEv2, OpenVPN, Wireguard VPNを使う時に、どのようにVPN接続が確立されて通信が行えるのか細かい仕組みを知る必要はないかもしれません。しかし、アプリやVPNのセッティングを行う時にいつも表示されるのがこのプロトコル。このプロトコルによって、ネットワーク上に作られた仮想トンネルがどのように機能するかが左右されます。つまりは、接続の安全性や安定性、速度が関係してきます。 それぞれのプロトコルにはどんな長所や短所があるのか比較・紹介していきます。 PPTP（Point-to-Point Tunneling Protocol） 互換性が高いPPTP。PPTPとは「Point-to-Point Tunneling Protocol」の略で、VPNが確立された初期から使用されているプロト

この記事は ウェブクルー Advent Calendar 2017の12日目の記事です。 昨日は@hiro_moriさんの「クリティカルレンダリングパスの最適化」でした。 はじめに 本記事では、私がウェブクルーに新卒入社した際の研修で導入したOpenVPNのことをお話します。 ※OpenVPNのインストールや基本的な設定は記載しておりません。 導入理由 弊社では従業員には基本的にWindowsのPCが支給されます。 そのため、VPNサービスにはWindowsと親和性の高い、SSTPを利用しております。 しかし、もろもろの都合でPCを開けない場面があり、VPNを利用することができないことがあるという声がありました。 (例：営業担当が営業先に移動中、社内の管理ツールでなんらかの設定変更をしたいが、電車でPCを開けないなど。) そこで、スマホやその他タブレット端末など、手軽にアクセスができるもの

QUICについて (2020/06 追記) 手前味噌ですが、QUICについて別途まとめましたので、参考にして頂ければ 2020/06/01 時点でHTTP/3, QUICの解説書を書きました https://github.com/flano-yuki/http3-note あわせて個人ブログもどうぞ QUIC, HTTP/3の標準化状況を確認したい (2019年11月版) QUICの話 (QUICプロトコルの簡単なまとめ) HTTP over QUICと、その名称について (HTTP3について) QUICとは QUICとはGoogleの考案したHTTPのメッセージを効率よく高速かつ安全にやりとりするためのプロトコルであり。UDP上でTCP+TLS1.3+HTTP/2のような機能を持ち、信頼性のある安全な通信を行う。 スタック図を見ると分かる通り、TCPのような輻輳制御やロスリカバリと、TL

この本の試みは2018年3月に始まりました。HTTP/3 と、その根幹のプロトコルである QUIC を文書化することがその目的です (なぜ、どのようにして動作するのか、プロトコルの詳細、その実装など)。 この本は完全に無償で提供され、援助したいと考えるすべての人を巻き込んだ共同作品です。

はじめに 電子署名に関する記事の中で、軽く触れておこうと思ったところ、結構長くなりそうなので、単独の記事として起こしました。 電子署名と言えば、古典的にはRSA署名、DSA、近年使われているのはECDSAやEdDSA(ed25519)といった方式がありますが、その具体的な内容は割愛します。 世の中、電子署名の説明は色々ありますので、そちらをご参照…と言いたかった所なのですが、残念なことに不適切な説明というのも多いのです。 現実へのアナロジー 電子署名とは、現実世界の署名( 日本でならまだ印鑑の方がメジャーでしょうか ) をデジタルデータ上に実現したものと見ることができます。 つまり、あるデータに関して当事者が署名を施すことで、そのデータの内容に関する承認の意志を示すもの、逆に署名を受け取った人からすれば、署名者が後から「いやそんなの知らない」と否認する ( しらばっくれる ) ことを防止す

ファーウェイ研究開発ビル （「Wikipedia」より） 次世代型通信規格「5G」が始まろうとしている。大容量通信、同時多接続、超低遅延というハイスペックを謳う5Gだが、それを主導しているのは米国政府から「スパイ企業」と呼ばれた中国大手通信企業「ファーウェイ」だ。 昨年のファーウェイ創業者の娘である孟晩舟氏逮捕をきっかけに世論は「ファーウェイはスパイ企業なのか？」と疑問を抱いたが、その疑問に明確に答えられた人はいない。 ファーウェイは、単なる通信スパイではない。筆者の見解では、ファーウェイは世界各国の諜報機関と連携する巨大な諜報機関だ。 通信スパイは専門用語で「シギント」と呼ばれており、通信を盗聴、ハッキングして情報を収集するだけで人員を送り込まない。これに対し、諜報員を送り込んで情報収集や工作活動に当たることを「ヒューミント」と呼ぶ。 ファーウェイは単なる「シギント」機関ではなく、「ヒュ

[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes 第39回　Nested KVMでOpenStack構築三昧 (中井悦司) 2014年3月 はじめに 先日は、「オープンソースカンファレンス 2014 Tokyo/Spring」で、OpenStack Heatの紹介をしました。Heatについては、以前のコラムで紹介しているので、そちらも参考にしてください。 当日は、HavanaバージョンのRDOでデモ環境を用意して、ライブデモを実施したのですが、最近は、デモや検証のためにさまざまなバージョン／構成のOpenStack環境を使い分けることが多くなりました。これらをすべて物理サーバで構築していると、サーバの数がとても足りませんので、必要に応じて、「Nested KVM」による「仮想化の2段重ね」を利

Debian GNU/Linux 8.8（jessie）の KVM で仮想マシンのネットワークインターフェースに macvtap を使用するために調べたことと libvirt のネットワークをおさらいした時のメモです。 はじめに KVM の仮想マシンをホストと同じネットワークに接続するためにホスト OS のネットワークインターフェースをブリッジ化していましたが、Linux kernel の macvlan 機能を使用した macvtap を使うことでホスト OS の負荷が下がりパフォーマンスが良くなるらしいことを知りました。 macvtap でつないだ kvm ゲストとホスト間の通信 - TenForward 参照先の文書を眺めただけではいまいちどのようなものか分かりませんでしたが、同じ著者による LXC の連載記事で macvlan について詳しい説明がありました。 第6回　Linuxカ

はじめに 「ねんがんの　OpenStack　で　あそぶぞ　！」 というわけでかねてから触ってみたいと思っていたOpenStackを触っていきますが、今回はまずOpenStackというソフトが何なのかをざっくり理解します。 OpenStackとは OpenStackはCloudStackやEucalyptus同様、最近は クラウドOS と呼ばれるソフトウェアに分類されます。 「自前でAWSが作れる」 ソフトというと理解しやすいかもしれません。 Googleトレンドでもこの通り、人気急上昇中です。 (Eucalyptusはググラビリティが低いので参考になりません) クラウドOS？ クラウドOSの前に少し通常のOSの立ち位置を考えましょう。 OSというのは下記のように、あるコンピュータ上のリソースを管理し、OS上で動作するアプリケーションにリソースを供給します。 それぞれのCPUやStorage

こんにちは。てくさぽBLOGメンバーの高村です。 今回はセミナーに参加すれば必ず一度は聞く「OpenStack」の基礎知識をご紹介します。 OpenStackは「なんだか取り掛かりにくい」「開発スキルが無いと難しそう」など思われたこともあるかもしれませんが、今回で少しでも疑問点を解消頂ければ幸いでございます。 それではさっそく始めましょう！ OpenStackってなんだろう? Web検索で「OpenStack」と検索すると複雑な解説が返ってくるかと思いますが、 OpenStackを一言で言い表すと「IaaS環境を構築するためのソフトウェア(群)」と考えてください。 つまり、OpenStackを使用することでAWSの様なクラウドサービス(環境)が作成できてしまうのです。 OpenStackの大きな特徴としては以下が挙げられます。 1．オープンソースソフトウェアである 2．IaaS環境(仮想マ