3分で理解できる!共通鍵暗号方式と公開鍵暗号方式の仕組み
公開日:2014-01-12 更新日:2022-11-30 現在、二者間の通信を暗号化する際、最も一般的なのが「共通鍵暗号方式」と「公開鍵暗号方式」になります。 両者の違いとしては、暗号化(と復号化)する際に、共通鍵を使うか・公開鍵を使うか、、です(詳細の解説は後述しています) ※ここでいう「鍵」とは、”暗号化(と復号化)する際に、必要となるもの” と理解してください。 またWeb上で、Webクライアント(サイトを閲覧する側)とWebサーバー(サイトを公開している側)の通信の暗号化で一般的な「SSL」 この「SSL」は、両者(「共通鍵暗号方式」と「公開鍵暗号方式」)の仕組みが採用されています。 今回の記事では、「共通鍵暗号方式」と「公開鍵暗号方式」の仕組み、また「SSL」の仕組みについても、分かりやすく解説していきます。 以下、目次になります。 共通鍵暗号方式の仕組み 公開鍵暗号方式の仕組
TDUCTF 2015 に参加してきた
こんばんは。ワキャメソーバです。 ----- 今日 8/30 は、 Nomuken 氏を始めとする方々が主催している TDUCTF 2015 に参加してきた。今回は会場をさくらインターネット社へと移し、ネットワーク/サーバを始め万全の環境が敷かれていた。ちなみに会場のさくらインターネット社は新宿区に位置している為、受付まで辿り着くためには東京都庁を中心とする広大なダンジョンの攻略を余儀なくされるという物理 CTF も同時開催されていた。 最終的な得点は 1,209 点を獲得し 16 位であった。上位を見てみると、やはり順位が上がるほど得点の差が大きくなる傾向にあり、短時間でサクサクと問題を進めていくプロの皆様に圧倒された。 さて、今回は過去の TDUCTF と比較して非常に問題のボリュームが多く、その中で自分が解くことが出来た問題についての WriteUp を書いていきたい。 練習問題
『証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」』は何に使え、何に使えないのか - いろいろやってみるにっき
やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ - TechCrunchだが、ブコメ欄で「フィッシングサイトが見分けられなくなる」と勘違いしている向きがあるようなので、ちょっと書いておく。 このLet's Encryptだが、Let’s Encrypt: Delivering SSL/TLS Everywhereに説明が書かれている。そもそも上のTechCrunchの記事ではLet's Encryptがどういうものか分からない。この記事では何ができて何ができないかを書いていないし。 TechCrunchの記事はオレが見た時点(2014/11/20 5:00)ですごいブクマ数(792ユーザ)なんだけど、本体の説明のブクマ数は4ユーザ、オレがブックマークしたので5ユーザである。ちょっと調べてからコメントすればいいのに。 下記のほう
ytn.out » Amazonに脆弱性(XSS)を再び報告した話
こんにちわこんにちわゆったんです。 Amazonに脆弱性を報告した話でもしますねっ AmazonにXSSを報告するのは何回目だったか忘れたのですが、ふと思ったので記してみます。 先日修正報告と公開の了承を頂きました。 ちなみにAmazonに脆弱性を報告してギフトカードを得る夢は今回ももれなく散りました☆ 今回は脆弱性を見つけようとして見つけたわけじゃなく、柚子胡椒氏に柚子胡椒送ろうとしたら偶然見つかった、みたいな感じです。 今回あったのは、ギフトメッセージの確認画面における蓄積型(Self)XSSです。 こんなふうにメッセージを入力して、 確認画面で「数量を変更または削除する」をクリックすると、 こんな感じにalertがでます。 至って単純なXSSですね。 メッセージにこの文字列をつっこんだのは、XSSをするときにimgタグをよく使うからなんとなくですね。 scriptタグいれたものは過去
mjpg-streamerのページにBASIC認証を掛ける+iOSアプリ上からでも認証を通して画像を見られるようにする話 - Qiita
前々回: RaspberryPi - Raspberry piとApacheとWebカメラで外部から見られる監視カメラを作った話。 http://qiita.com/CST_negi/items/a329cc98fb1aa33f33d3 前回: Xcode6 - (初心者向けiPhoneアプリ開発)raspberry piで取得した監視カメラの画像をiPhone上で見る話。 http://qiita.com/CST_negi/items/882f1e1c3bede8f8ccf3 ここまでいろいろやってきて、さすがにパスワードかかってないのはまずいでしょ…という感じになってきたのでパスワードをかけました。 やりたかったこと: ・mjpg-streamerの配信にBASIC認証をかけて簡単には外部から見られないようにする。 ・iOSアプリのほうでも認証できるようにして画像を取得できるようにする
「JSON文字列へのインジェクション」と「パラメータの追加」
「JSON文字列へのインジェクション」と「パラメータの追加」:NoSQLを使うなら知っておきたいセキュリティの話(2)(1/2 ページ) MongoDBを用いたWebアプリケーションで生じる可能性がある4種類の脆弱性のうち、今回は「JSON文字列へのインジェクション」と「パラメータの追加」のメカニズムと対策について説明します。 前回の「『演算子のインジェクション』と『SSJI』」では、MongoDBを用いたWebアプリケーションで生じうる脆弱性のうち「演算子のインジェクション」と「SSJI」について、攻撃の実例と対策について解説しました。今回はさらに、「JSON文字列へのインジェクション」と「パラメータの追加」について説明します。 JSON文字列へのインジェクション これまで見てきたように、PHP言語においては連想配列を指定してデータの登録処理や検索処理を実行できます。しかし型の扱いが厳格
希少価値の高いTwitterアカウントを持つユーザーが体験した恐ろしい出来事
By Kristina Alexanderson 「@N」というアルファベット1文字の希少なTwitterアカウントを持っていたエンジニアのNaoki Hiroshimaさん。彼は「@N」を持っていた頃に、5万ドル(約510万円)でアカウントを買い取りたいというオファーを受けたこともあるそうですが、このアカウントは第三者の攻撃を受けて手放さざるを得なくなってしまったそうです。 Hiroshimaさんのアカウントを乗っ取った攻撃者は、アカウントを乗っ取るためにまずPayPalに電話をかけ、Hiroshimaさんのクレジットカード番号末尾4桁を入手。続いてドメイン管理会社のGoDaddyに電話をして「カードを失くしたけど下4桁なら覚えてる」と言い、GoDaddyのアカウントを乗っ取ることに成功します。Hiroshimaさんは独自ドメインでメールやウェブサイトを運用していたので、攻撃者はこれらを
総当たり攻撃 - Wikipedia
この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。 出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方) 出典検索?: "総当たり攻撃" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL (2012年9月) 総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。 総当たり攻撃とは、暗号や暗証番号などで、理論的にありうるパターン全てを入力し解読する暗号解読法。例としては、自転車のチェーンロックやトランクのダイヤル錠を、全ての番号の組み合わせ(4桁なら0000から9999まで)を片っ端から試す方法と同じで、この「片っ
暗号の安全性
暗号の強度 暗号を使う際には,鍵を知らない第三者によって解読される可能性はないかどうか調べることが重要になる.ここでいう「解読」とは,傍受した平文や暗号文のデータから暗号化に使われた鍵(あるいは等価な情報)を得ることも,別の暗号文に対する元の平文のどんな情報も得ることもできないという意味である. 暗号の安全性の観点からは,暗号の強度は次のように分類される. 秘匿性 完全解読困難 暗号文より平文を求めることが困難なこと. 部分解読困難 暗号文より平文の部分情報を求めることが困難なこと. 強秘匿 どのような部分情報も部分解読困難なこと. 頑強性 どのような関係 F に対しても,攻撃者がC = E(m) から m' = F(m) を満足するような C' = E(m') を作成 (C を盗聴し, C --> C', m --> m' )できない. すなわち,暗号文から平文の内容を知ることはできず,
8946|ハッキングチャレンジサイト
ようこそ、8946へ! このサイトでは、セキュリティーに関連する問題を解くことができ、ハッキングを通してセキュリティを学ぶ事ができます。 多種多様なセキュリティー関連の問題をご用意しております。お楽しみください! アカウントを作成しなくても、問題にチャレンジできますが、アカウントを作成すると、途中中断、ヒント表示、ランキングに参加できます。 また、メールアドレスを登録すると新作問題が公開された場合やキャンペーン等のお知らせを通知いたします。 アカウント作成、チャレンジ、もちろん無料です!腕試しにどうぞ!! ログイン ※アカウント作成しなくても問題にはチャレンジできます! 左メニューのTake番号はおおきくなるにつれ難易度が上がっていくわけではありません。 正解率の高い順に並んでおります。 また、公開した日付によりtakeナンバーを割り当てていますので、公開後、日が浅い 新着問題は成果率が低
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
UTF-8.jp
- WinMirror - 任意のアプリケーションのウィンドウやデスクトップをミラーリングして表示できます。 解説: オンサイトでの登壇で返しのモニターがなくてもデモをやりやすくするツールを作った - SSTエンジニアブログ - 音声字幕機能付きのWebカメラ - Web Audio APIを使ってマイク入力をスピーカーから出力 - LTタイマー - JavaScriptセキュリティの基礎知識:連載|gihyo.jp … 技術評論社 - HTML5時代の「新しいセキュリティ・エチケット」- @IT - 教科書に載らないWebアプリケーションセキュリティ - @IT - 連載:本当は怖い文字コードの話|gihyo.jp … 技術評論社 - JSF*ck - encode JavaScript with only 6 letters - []()!+ (broken) JSF*ck demo
printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
初心者Webアプリケーション開発者がチェックすべき情報源2012 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸本は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。 あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。ここはツール情報を定期的にポストしようと思うので、キャンプ生はチェックしておいて欲しい。 ★Webサイト構築 安全な
Wiresharkのインストールと設定
これで一般ユーザーでもWiresharkを使用できるようになった。 ここで終わりにしても良いがwiresharkグループを作成しそのグループに参加しているユーザのみ実行できるようにする。 wiresharkグループを作成する。 $ sudo addgroup wireshark dumpcapの所有権(グループ)をwiresharkグループにする。 $ sudo chgrp wireshark /usr/bin/dumpcap パーミッションを変更する。 $ sudo chmod 754 /usr/bin/dumpcap 所有権を変更すると設定したケーパビリティが外れるので再度設定する。 $ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap ユーザーをwiresharkグループに参加させる。 ユーザー名がdum
Wireshark - Wiki@oku's room プロトコルアナライザ 使い方
WIRESHARKの使い方 Wiresharkは、Etherealの作者であった Gerald Combsが 2006年の5月に CACE Technologies (WinPcapでよく知られる) に移った際に Etherealという商標を持っていけなかったため新しく Wiresharkというプロジェクトを始めたのが発祥です。 Wiresharkは、Etherealの主要開発者がそのまま参加しており同じコードを使って開発されています。これはオープンソースとして GNU General Public Licenseの元でリリースされています。 このページではEtherealで説明していたのと同じコンセプトで Wiresharkの基本的な使い方を紹介したいと思います。基本的というのはようはパケットの入りと出を見てちゃんと通信ができているかどうかを確認できる程度ということです。 ↑ インス
Wireshark
The world's most popular network protocol analyzerGet started with Wireshark today and see why it is the standard across many commercial and non-profit enterprises. *{padding:0;margin:0;overflow:hidden}html,body{height:100%}img,span{position:absolute;width:100%;top:0;bottom:0;margin:auto;height:100%}span{height:1.5em;text-align:center;font:48px/1.5 sans-serif;color:white;text-shadow:0 0 0.5em blac
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
higaitaisaku.com
ksnctf