華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記
1. はじめに ちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 この InriaとMSRのグループは以前からTLSのセキュリティに関して非常にアクティブに調査・検証をしているグループで、今回も驚きの内容でした。 このグループは、TLSのハンドシェイク時の状態遷移を厳密にチェックするツールを開発し、様々なTLS実装の脆弱性を発見・報告を行っていたようです。 特にFREAKと呼ばれるOpenSSLの脆弱性(CVE-2015-0204)に関しては、ちょうど修正直後の1月初めに Only allow ephemeral RSA keys in export ciphersuites で見ていましたが、具体的にどのように攻撃するのかさっぱりイメージできず、あのグループだからまた超絶変態な手法だろうが、まぁそれほど深刻じゃないだろうと見込んでいました。 今回
FREAK についてまとめてみた - piyolog
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
StrongLoop | Are Node and io.js affected by the “FREAK Attack” OpenSSL vulnerability?
You are here: Home / StrongBlog / Community / Are Node and io.js affected by the “FREAK Attack” OpenSSL vulnerab... Recently a security vulnerability, dubbed “FREAK Attack” was reported that affects certain versions of OpenSSL, the popular open source encryption library which is used in many server products such as Apache. Specifically, the ssl3_get_key_exchange function in s3_clnt.c in OpenSSL be
Attack of the week: FREAK (or ‘factoring the NSA for fun and profit’)
A Few Thoughts on Cryptographic Engineering Some random thoughts about crypto. Notes from a course I teach. Pictures of my dachshunds. I'm a cryptographer and professor at Johns Hopkins University. I've designed and analyzed cryptographic systems used in wireless networks, payment systems and digital content protection platforms. In my research I look at the various ways cryptography can be used t
FREAK についてまとめてみた - piyolog
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
「Coders at Work」を読みました
Coders at Work プログラミングの技をめぐる探求を読みました。文字が小さめでかつびっしりと文字ばかりの本なので、ページ数の割に読むのに時間がかかりました(ページ数の割にと言っても、600ページ弱なので薄い本ではありませんが)。 これは良い本です。名文ぞろいです。 心に残ったひとことの引用と、それに対する個人的な感想を書きます。引用は手動で書き写しているので書き間違いがあるかもしれません。何か変だったら前後から類推するか本を当たってください。 長いので何回かに分割します。 ジェイミー・ザウィンスキー C++には嫌悪しか感じません。あらゆることがあらゆる仕方で間違っています。だからNetscapeでは可能な限りC++を避け、何でもCでやっていました。 XEmacsやMozilla(辞めた件)で有名なjwzの言葉です。本を読む前からjwzのC++嫌いは知っていましたが、相変わらずの過
Things You Should Never Do, Part I
I’m Joel Spolsky, a software developer in New York City. More about me. Read the archives in dead-tree format! Many of these articles have been collected into four books, available at your favorite bookstore. It’s an excellent way to read the site in the bath, or throw it at your boss. Ready to level up? Stack Overflow Jobs is the job site that puts the needs of developers first. Whether you want
ソフトウェアの肥大化について - bkブログ
ソフトウェアの肥大化について 肥大化したソフトウェアというとリソース食いでメンテナンスがしづらい厄介ものというイメージがあります。しかし、広く使われているソフトウェアは多かれ少なかれ肥大化しているように思えます。ソフトウェアの肥大化はよくないことなのでしょうか。 結論からいえば、必ずしも悪いことではありません。この話題は Joel Spolsky 氏がストラテジー・レターIV:ブロートウェアと80/20の神話で書いています。私が付け加えられることはあまりありませんが、最近、知人との間で話題になったので、少し書いてみたいと思います。 数年前、 Alan Kay 氏の Squaek についての講演を聞きにいったとき、途中でコードのサイズが話題になり、Squeak のコードはこんなに小さい(具体的な数字は忘れました)といって、何千万行もある Windows NT を引き合いに出して、Squaek
Joel on Software - 5つの世界
Joel Spolsky ジョエル・スポルスキ 翻訳: Yasushi Aoki 青木靖 2002/5/6 ある重要なことがプログラミングやソフトウェア開発についての文献でほとんど語られず、そのため私たちは互いに誤解する結果となっている。 あなたはソフトウェア開発者だ。私もそうだ。しかし私たちの目的や要求は異なっているかもしれない。実際、ソフトウェア開発にはいくつかの異なる世界があり、異なった世界ではルールも異なっている。 あなたがUMLモデリングの本を読んでも、それがデバイスドライバのプログラムを作るのには役立たないということはどこにも書かれていない。あるいは「(.NETに必要な)20MBのランタイムは問題ではない」というアーティクルを読んでも、それは当たり前のことに触れていない:あなたがROMが32KBの携帯電話のためのコードを書いているなら、それは十分に問題だ! ソフトウェア開発には
ダクトテーププログラマ - The Joel on Software Translation Project
Joel Spolsky/青木靖 訳 2009年9月23日 水曜 ジェイミー・ザウィンスキーは私が「ダクトテーププログラマ」と呼ぶ人間だ。私は大いなる敬意をもってそう呼んでいる。彼は未来を作るために熱心に働き、みんなの役に立つものを生み出す。ゴーカートを作る開発チームには是非欲しい人間だ。彼のお気に入りの道具はダクトテープとWE-40で、時速100キロで丘をガタガタ駆け下りている真っ最中にそれを見事に使いこなす。同じ頃他のプログラマたちはと言えば、まだスタートラインにいて、チタンにしようか、それともボーイング787ドリームライナーで使われている宇宙時代の超合金にしようかと議論している。 彼の作るゴーカートは継ぎ接ぎに見えるかもしれないが、しかしそれは間違いなく動くだろう。 私は今ピーター・サイベルの本Coders at Workでジェイミーのインタビューを読んだところだ。すぐ買いに行くとい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
