ペンティオ、大量発行に対応した画期的なカード型USBトークン Pentio PKI USB CardToken 1500を販売開始 ペンティオ株式会社(東京都新宿区 代表取締役:長谷川晴彦、以下 ペンティオ)は、ICカード型で直接パソコンのUSB端子に差し込んで使えるPKI認証デバイスPentio PKI USB CardToken 1500(以下USB CardToken 1500)を2008年1月より販売開始します。 USB CardToken 1500はカード形状で発行されますが、ICチップ周辺部を割ってカードから切り離してパソコンのUSBポートに直接差し込むことで、USBトークンとして利用できる画期的な製品です。 USB CardToken 1500は、USBトークンの初期化作業やUSBトークン利用者ごとの個人情報書き込みなどを、カード発行機(プリンタ)(※1)を利用して自動化する
■ 第六種オレオレ証明書が今後増加するおそれ リンク元を辿ったところ、東京証券取引所の「適時開示情報閲覧サービス」のサイトと、民主党のご意見送信フォームの送信先サーバ*1でオレオレ証明書が使われているという話を立て続けに見かけた。 無知な鯖管, 別館「S3日記」, 2007年12月9日 民主党のSSL証明書が不正な件, 思考と習作, 2007年12月10日 これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。 この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。 IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フ
■ EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない 6月6日の日記「Upcoming Advisories」で書いていた、脆弱性届出「IPA#45031375」*1*2の件について、製品開発者がFAQとして事実を公開し、IPA#45031375 は11月26日に取り扱い終了となった。 EZwebで表示中のページのURLを確認する方法はありますか?, KDDI, よくあるご質問/お問い合わせ, 公表日不明*3 質問: EZwebで表示中のページのURLを確認する方法はありますか? 回答: 確認方法はございません。 なお、お気に入り登録時にURLが表示されますが、そのURLはサイト提供者が任意に指定することができるため、必ずしも閲覧中のサイトと一致しない場合があります。 PCサイトビューアーの場合、「メニュー」から「ページ情報」で確認が可能です。 FAQには掲載された
NECは12月3日、グループ署名技術に基づいたID連携技術をNEC欧州研究所と共同で開発したことを明らかにした。 グループ署名技術は、ある権限を持つ“グループ”への所属有無を認証しつつ、証明書の発行機関名を、証明書の利用者であるサービスプロバイダに対して非公開(匿名)にするもの。 ユーザーがサービスプロバイダを利用する場合、あらかじめ登録しているIDプロバイダが証明書発行機関に証明書発行を依頼する。証明書発行機関はグループの証明情報とメンバー鍵を使ってグループ署名を生成、サービスプロバイダへ送る。サービスプロバイダはグループ公開鍵を用い、証明書の正当性を確認、サービスを提供する。 この場合、IDやパスワードといった個人情報をサービスプロバイダ側に渡すことなく、かつ、グループとしてサービスを利用するため、ユーザーの行動履歴などの収集もできなくすることが可能であるなど、従来のデジタル署名方式で
NECは12月6日,個人情報を隠したまま身元保証による認証を受けられるようにする“グループ署名”を実装したWebシングル・サインオン・システム「プライバシ保護型ID連携技術」を,NECグループの展示会「iEXPO 2007」の会場でデモした。 今回デモしたのは,Webシングル・サインオンの仕様であるSAML(Security Assertion Markup Language)で用いるID認証部分に,従来のディジタル証明書に代わってグループ署名の証明書を適用したもの。このライブラリはNEC欧州研究所がスクラッチで開発したもので,一般には公開していない。デモでは,グループ署名で用いる証明書に,証明書の所有者や署名者の固有名称が含まれないことをディスプレイ画面で見せていた(写真)。 グループ署名とは,個人を認証するのではなく,個人の集合であるグループ組織を認証する仕組みを指す言葉。グループ署名
■ 「UPKIイニシアティブ」でサーバ証明書発行プロジェクト 昨夜気付いたのだが、UPKI(全国大学共同電子認証基盤)が既に今年からサーバ証明書の発行を開始していた。「UPKIイニシアティブ」のサイトに説明文書と資料が公開されている。 実は私も2年前に東工大の客員の仕事として東工大経由でUPKIの設計に意見を挟ませて頂いたことがある。GPKIとLGPKIの失敗を繰り返さないため、Web用のSSLサーバ証明書については、構築する独自PKIとは分けるべきである旨を意見した。2つの選択肢があり、1つは、Web用のSSLサーバ証明書については普通に既存のCAから買って済ませる方法、もう1つは、Webブラウザで初めから利用できる状態にある形の認証局を構築して発行する方法である。 どうなったかは、「サーバ証明書発行・導入における啓発・評価研究プロジェクト」にある資料から窺い知れる。2007年6月8日の
■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。 「セキュリティの警告」画面が表示される場合があります。 実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。 このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい
警告を無視して先に進むと、その瞬間、HTTPのリクエストが cookie付きで送信される。 もし通信路上に盗聴者がいた場合*2、そのcookieは盗聴される。セッションIDが格納されているcookieが盗聴されれば、攻撃者によってそのセッションがハイジャックされてしまう。 「重要な情報さえ入れなければいいのだから」という認識で、オレオレ警告を無視して先を見に行ってしまうと、ログイン中のセッションをハイジャックされることになる。 今見ているのとは別のサイトへアクセスしようとしているのかもしれない さすがに、銀行を利用している最中でオレオレ警告が出たときに、興味本位で先に進む人はいないかもしれないが、銀行を利用した後、ログアウトしないで、別のサイトへ行ってしまった場合はどうだろうか。通常、銀行は数十分程度で強制ログアウトさせる作りになっているはずだが、その数十分の間に、通信路上の盗聴者により、
日本ベリサインは、強化版SSLの「EV SSL」証明書の最新動向を説明。国内では金融機関での採用が急速に広がる。 日本ベリサインは11月19日、機能を強化したSSL「Extended Validation(EV) SSL」サーバ証明書に関する説明会を開催した。国内では金融機関での採用が進み、携帯電話に対応した製品も登場している。 EV SSLは、主要ブラウザベンダーや認証機関が参加する米CA/Browser Forumが2006年に策定し、同年12月から日本以外の地域でリリースされた。国内では1月に設立された日本電子認証協議会がEV SSLのローカライズ化(法人名称の表記ルールなど)を図り、3月に国内版をリリース。8月には携帯電話向けEV SSLも公開された。 米VeriSignプロダクトマーケティングディレクターのティム・カラン氏は、EV SSLリリース後の動向について説明した。同氏によ
今や世界第2位の経済大国になった中国ですが、アジア経済に与える影響力は大きく、 その動向は無視できないレベルになってきています。 とはいえ、好調そうに見える中国経済ですがここに来て、 不安要素もあちこちで見られるようになってきました。 特に顕著なのが不動産価格の高騰です。 高額のマンションなどが飛ぶように売れるそうですが、 見方によっては不動産バブルと言ってもいいレベルです。 このまま行けば不動産バブルが崩壊する恐れがあるバブルが弾ければ、 その影響が中国だけでなく周辺諸国にまで広がっている可能性があるのです。 その状況は中国に属するマカオも同様です。好調に見えるマカオのカジノ産業ですが、中国経済の不安要素もあり、マカオ カジノの種類が少なくなっている傾向があるのです。見方によっては煌びやかなマカオギャンブルのバブルが弾ける前兆とも言える見方が強くなっているのです。中国だけでなく、日本やシ
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く