Debian JP Project - 最近の話題 - OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等)
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) 残念な事に Debian の OpenSSL パッケージに脆弱性が見つかりました。見つかった問題は既に修正されていますが、 今回の問題はパッケージの更新だけで済ませられないものとなっています。 今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション (Ubuntu など)やシステムにも影
高木浩光@自宅の日記 - オレオレ証明書の区分 改訂版
■ オレオレ証明書の区分 改訂版 はてなキーワードに「オレオレ証明書」の項目ができていた。 ここにある冒頭の「(特にPKI上不適切な場面で使われる)自己署名証明書。」 という定義は私の定義とは異なる。自己署名とは限らないし、 不適切な場面とも限らないからだ。 そのためその下にある第一種〜第五種の区分の記述と矛盾が生じている。 私の定義では、クライアント側で認証パスを辿れない(検証できない)証明書 のすべてをオレオレ証明書としている。それは、サーバ側の設定ミスかもしれ ないし、設定が正しくても今まさに通信路上で攻撃を受けているのかもしれな い。証明書の発行の意図に関係なく、クライアントから見れば等しく「オレオ レ」と言っているようにしか見えない。 攻撃を受けている場合を除いて、クライアント側でオレオレ証明書となる場合 の、その原因別の区分を9月3日の注釈で書 いていた。他に第六種もあったので
高木浩光@自宅の日記 - PKIよくある勘違い(0)「サーバ証明書は単なる暗号鍵であり認証局の署名は実在証明にすぎない」
■ NEDOのサイトで4つのサプライズ Firefoxを使用して*1、NEDOのサイトにアクセスする。 一番下に「著作権 ・リンクについて」という部分がある。 サプライズ1 クリックすると第一種オレオレ証明書*2の警告が出る。 サプライズ2 「なんだかなぁ」とうなだれつつ、「OK」ボタンを押してページ内容を 読みに行くと、「原則トップページへご自由にリンクしていただいて結構」と 言いながら、上記条件に合致すれば下記登録フォームに必要事項 を記入 し送信して下さるだけで、リンクして下さって結構です。 と、電話番号か住所の送信を要求している*3。 サプライズ3 「またこういう愚かな記述が……」とぐったりしつつ、 ここで「送信」ボタンを押すと、このページは暗号化され ていますが、あなたがこのページで入力する情報は暗号化されていない接続を 通して送られようとしており、第三者が簡単に傍受できます。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
