タグ

Securityとcryptに関するkenjiro_nのブックマーク (11)

  • 日本など7カ国、暗号化された通信へのバックドアをIT企業に要請

    機密情報を共有する5カ国協定、いわゆる「ファイブアイズ」の参加国(米国、英国、カナダ、オーストラリア、ニュージーランド)が、日およびインドの政府代表と連名で声明を発表した。テクノロジー企業に向けて、エンドツーエンドの暗号化された通信に法執行機関がアクセスすることを可能にする解決策の開発を要請している。 この声明は、暗号にバックドアを設けることをテクノロジー企業に同意させようとする、ファイブアイズの最新の取り組みだ。 各国の政府関係者はこれまでと同様、テクノロジー企業が製品にエンドツーエンド暗号化(E2EE)を組み込むことで犯罪捜査が困難になったと主張している。 7カ国の政府代表は、現在の主要なテクノロジープラットフォームでサポートされているE2EEの仕組みのために、法執行機関が犯罪組織を捜査できないばかりか、テクノロジープラットフォーム各社も、一般市民を守るためのサービス利用規約を守らせ

    日本など7カ国、暗号化された通信へのバックドアをIT企業に要請
  • 暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

    実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基編)」の内容 「暗号鍵管理システム設計指針(基編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「

    暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
  • 暗号初期化ベクトルは役に立つのか?|徳丸 浩

    Peingで表題のような質問をいただきました。少し長くなるので、こちらで回答します。 現在、暗号化ではIV(暗号初期化ベクトル)が不要なECBモードは推奨されず、それらが使用されるCBC等が推奨されています。 しかし、暗号化後の文章も、暗号化初期ベクトル(平文)も同様にDBに直接保存される為、結局のところ意味をなすのでしょうか? 暗号化後の文章が漏れる≒IVが漏れると思いますが、どのような時にIVを設定したことによる恩恵が受けられるのでしょうか? https://peing.net/ja/q/c63a9669-0d8e-4a23-b7f8-67869bf9e0b0 より引用結論から言えば、IVは必須です。詳しくは暗号の教科書(手っ取り早いところではWikipediaの暗号利用モードなど)を読んでいただければよいのですが、わかりやすい例を2つ紹介します。 まずは、以下の2つの住所をAES-2

    暗号初期化ベクトルは役に立つのか?|徳丸 浩
  • 第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会

    第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送

    第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会
  • 米政府が暗号を解読、崩れるネットの安全性

    米政府などによるインターネット上の諜報活動が、当初報じられていたよりも深刻であることが明らかになった。米国のインターネット通信の大半を傍受したり、暗号通信を解読するためにソフトウエアに情報収集用の裏口(バックドア)を仕掛けたりするなどしていた。政府主導のこうした諜報活動によって、通信の秘密だけでなく、インターネットの安全性さえも脅かされようとしている。 暗号通信も解読 一連の諜報活動は、米国家安全保障局(NSA)や米中央情報局(CIA)の職員だったエドワード・スノーデン氏が、英ガーディアン紙や米ニューヨーク・タイムズ紙などに提供した秘密資料によって明るみに出た。 口火を切ったのは、2013年6月に報道された「PRISM」問題だ。NSAは、米マイクロソフトや米グーグルといった大手ネット事業者のサーバーから、電子メールなどの個人情報を入手する「PRISM」というプログラムを実施していた。だが、

    米政府が暗号を解読、崩れるネットの安全性
  • メールの暗号化 - とみたまさひろ - Rabbit Slide Show

    Page: 1 メールの暗号化 とみたまさひろ NSEG #40 2013/06/08 メールの暗号化 Powered by Rabbit 2.0.9 Page: 2 自己紹介 とみた まさひろ プログラマー (Ruby & C) http://d.hatena.ne.jp/tmtms http://twitter.com/tmtms 好きなもの Ruby, MySQL, Linux Mint, Emacs, Git メールの暗号化 Powered by Rabbit 2.0.9

    メールの暗号化 - とみたまさひろ - Rabbit Slide Show
  • 匿名化ツールや暗号化メールを使うと、米当局に通信の傍受を許してしまう可能性がある | スラド YRO

    以前、過度にプライバシーを守る行為は「テロ行為の潜在指標」として疑われる?という話題があったが、6月20日に公開された米国政府の機密文書にとると、Torなどの匿名化ツールや暗号化メール/暗号化インスタントメッセンジャーを利用することは、その通信内容を米国当局に傍受される根拠になるという(WIRED)。 米国家安全保障局(NSA)による傍受ルールには、「対象が米国内と判断された場合は中止しなければならない」というものがあるらしい。しかし、匿名化ツールなどを使っている場合、その対象が米国内かどうかは分からない。そのため、傍受が許されてしまうという。

  • 「パスワードはメールで別途送ります」の存在意義とは - カイ士伝

    仕事のやり取りでたまに遭遇しつつ気になっていたのが、メールでファイルをやり取りする際にパスワードを設定し、そのパスワードを「メールで別途送ります」というやりとり。ファイル開くのに手間がかかるばかりで、セキュリティ的にもさほど高いとはとても思えず、でもこのやり方がビジネス上時折発生するのを不思議に思っておりました。 そんなことをわーわー騒いでいたら周囲の人がいろいろ意見をいただいたのでこのエントリーで簡単にまとめ。とはいえ、今のところ「パスワードはメールで別途送ります」のメリットが全然見えてなかったりもするのですが……。 1.誤送信防止のため 「パスワードは別途送ります」の理由として最初に教えられたのがこれ。1通だと間違えて送ってしまった場合にやり直しが効かないけれど、2通に分けて送ることで誤送信を対処できるとの理由だったんですがこれがどうにも腑に落ちない。 そもそも「宛先を間違う」ことを

  • Microsoft Updateと最悪のシナリオ

    およそ9億台のWindowsコンピュータが、Microsoft Updateからアップデートを得ている。DNSルートサーバに加え、このアップデートシステムは常に、ネットの弱点の一つと考えられている。アンチウイルスの関係者は、このアップデートメカニズムをスプーフィングし、それを通じて複製するマルウェアの亜種という悪夢にうなされている。 そして現在、それが現実となったようだ。それも単なるマルウェアによってではなく、Flameによって。 詳細なメカニズムはまだ完全には分析されていないが、Flameには、Microsoft UpdateもしくはWindows Server Update Services(WSUS)システムに対する中間者攻撃を行うとするように見えるモジュールがある。成功すれば、この攻撃により標的となったコンピュータに「WUSETUPV.EXE」というファイルがドロップされる。 この

    Microsoft Updateと最悪のシナリオ
  • 日本は情報戦争を生き残れるのか ―中川信博

    2001年、EU議会の委員会にある調査報告書が提出された。それはいわゆる「エシュロン」について調査したものである。エシュロンとはUKUSA協定に基ずくアメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの英語圏諸国による情報共有とそのシステム全体を指す言葉である。アメリカ政府はそのその存在を公式に認めてはいないのでこのエントリーは憶測にということになるが、提出された報告書ではアメリカNSAがエシュロンを使用して民間企業の通信を盗聴して米国企業にその情報を提供していると断罪している。 シギント先進国のイギリス 世界各地に植民地を保有していたイギリスは安全保障上の必要から通信インフラの整備を早くからすすめ、19世紀末には世界の電信電話回線の3分の1を保有するに至る。そしてナポレオン時代のフランスで、郵便制度が確立したと同時にその検閲がはじまったのと同様に、イギリス政府は電信電話通信を傍

    日本は情報戦争を生き残れるのか ―中川信博
  • サルにもわかるRSA暗号: はじめに

    So what kind of ciphers are actually used? Ciphers for authentication purposes include the password mentioned earlier. On the other hand, ciphers for the purpose of hiding information include the famous Caesar cipher and the cryptogram mentioned earlier. The details will be discussed later. This Cryptogram, can you see that the unit to be encrypted […]

    サルにもわかるRSA暗号: はじめに
  • 1