2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです シラバスver4.0 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリー
HTTPSは安全なのか? - Qiita
いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか? コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ (編集履歴はqiitaの機能で見れると思います) 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え
すぐに役に立つものはすぐに陳腐化してしまうから方法ではなく設計の本を読む - API Design Patterns の読書感想文 - じゃあ、おうちで学べる
あなたがさっきまで読んでいた技術的に役立つ記事は、10年後も使えるでしょうか?ほとんどの場合でいいえ はじめに 短期的に効果的な手法や知識は、ソフトウェア開発の分野において、急速に価値を失う傾向があります。この現象は、私たちが何を重点的に学ぶべきかを示唆しています。最も重要なのは、第一に基本的な原理・原則、そして第二に方法論です。特定の状況にのみ適用可能な知識や即座に結果を出すテクニックは、長期的には有用性を失う可能性が高いです。これは、技術や手法が時間とともに進化し、変化していくためです。 learning.oreilly.com 「API Design Patterns」は、このような考え方を体現した書籍です。しかも480 ページもあります。本書は単なる手法の列挙ではなく、Web APIデザインの根幹をなす原則と哲学を探求しています。著者のJJ Geewax氏は、APIを「コンピュータ
2023/09/06 に行われた OCHaCafe Season7 #4 で用いた資料です。 セッションアーカイブ動画:https://youtu.be/p3VmoPKrBNs
この記事はTLS/SSLを実装してみたいという人が増えるといいな!という気持ちで書いています。実装の詳細は別記事で書こうかと思います。 数年前からいつかTLS/SSLのプロトコルをPHPで実装したいと思い、まずは本で知識を得ようかとラムダノートの「プロフェッショナルSSL/TLS」や 「徹底解剖TLS1.3」を買って読んでみましたが、なかなか頭に入らずに読んでは寝てしまうというパターンに。 やはり自分でTLSを実装してみないとなと思ってたところに、PHPカンファレンス福岡2024で hanhan1978 さんの「PHPでデータベースを作ってみた」を見て大いに刺激をもらい、ついにTLS実装に着手できました。 speakerdeck.com この資料は本当によくて名言の宝庫です。たとえば、 「まじめに作ろうとすると大変な努力が必要になる。もっと迂闊につくりたい」 「不格好でもいいので、動く完成
Intro 以前から騒がれていた Apple によるサイドローディング周りの緩和について、正式な情報公開があった。 Apple announces changes to iOS, Safari, and the App Store in the European Union - Apple https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/ ストアやペイメントの緩和もあるが、ここでは WebKit に関する部分だけを抜粋し、どのような条件があるのかをまとめておく。 筆者が公開情報を読んで解釈したものなので、内容は保証しない。 前提 iOS/iPadOS に入れられるブラウザには、 WebKit を用いる必要が
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス 丸善ジュンク堂書店 ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo honto 本書のサポートページサンプルファイルのダウンロードや正誤表など この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的
ご来店ありがとうございます。 原書の改題改訂への対応を進めていた『プロフェッショナルSSL/TLS』につきまして、きたる12月4日(月)に新刊『プロフェッショナルTLS&PKI 改題第2版』として当直販サイトから順次発売を開始いたします。長らく当サイトにて「2023年秋予定」とご案内させていただいていましたが、発売開始までもう少しだけお待ちいただければ幸いです。 本書は、Ivan Ristić氏が自著 “Bulletproof SSL/TLS” を2022年に改題改訂して新規発行した “Bulletproof TLS/PKI Second Edition” の日本語全訳版です。旧版である “Bulletproof SSL/TLS” とその翻訳版である『プロフェッショナルSSL/TLS』は、発売以来、大きな構成変更を伴わない追記や修正を施したアップデートを何回か実施しており、電子版については
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
元旦の「しんぶん赤旗」を読んでいたら、志位和夫の東南アジア訪問についてのインタビューが載っていた。 www.jcp.or.jp 日本共産党は安全保障の枠組みとして、「地域協力」を押し出している。同党の綱領では、なかでも東南アジア諸国連合(ASEAN)を「とくに」とわざわざ名指ししている。まあ、毎年の選挙政策や街頭の訴えなどでも必ずと言っていいほど出てくる。 それくらい“激推し”されているASEANではあるが、実はぼくはASEANについてよく知らない。ASEANも知らないし、東南アジア各国についてもほとんど知識がない。 例えば日本共産党は、ASEANの枠組みである東アジアサミット(EAS)を発展させることを呼びかけ、さらにASEANインド太平洋構想(AOIP)への発展を支持しているのだが、EASもAOIPも自民党政府自身が担い、それへの支持をうたっているものだ。これをどのように使うのか、別の
33 open-source cybersecurity solutions you didn’t know you needed - Help Net Security
Please turn on your JavaScript for this page to function normally. Open-source cybersecurity tools provide transparency and flexibility, allowing users to examine and customize the source code to fit specific security needs. These tools make cybersecurity accessible to a broader range of organizations and individuals. In this article, you will find a list of 33 open-source cybersecurity tools for
YAPC::Hakodate 2024 参加ブログ [速報] 刺激に満ちたハッカー祭り!「うまく描くにはいっぱい描く」んだ #yapcjapan - nikkie-ftnextの日記
はじめに 1日ありがとうございました! nikkieです。 YAPC::Hakodate 2024に参加してきました。 最高の1日でした! 速度優先でブログに書き出します。 目次 はじめに 目次 YAPC::Hakodate 2024 感想:「速く描くにはうまくなる。うまく描くにはいっぱい描く。いっぱい描くには速く描く」だなぁ 深町先生「シェルとPerlの使い分け」 moznionさんキーノート ベストLT うーたんさん その他 終わりに P.S. 実質ミリアニ YAPC::Hakodate 2024 YAPCはYet Another Perl Conferenceの略で、Perlを軸としたITに関わる全ての人のためのカンファレンスです。 Perlだけにとどまらない技術者たちが、好きな技術の話をし交流するカンファレンスで、技術者であれば誰でも楽しめるお祭りです! 今回のYAPC::Hako
![YAPC::Hakodate 2024 参加ブログ [速報] 刺激に満ちたハッカー祭り!「うまく描くにはいっぱい描く」んだ #yapcjapan - nikkie-ftnextの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/116d615c14b989bfabaa190105de702cfb7c1c3e/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F8599973812319890363%2F6802340630911719449%2F1728137776)
複数プロダクト横断したプロジェクトをどうやって成功させたのかメンバーに聞いてみました | MEDLEY Developer Portal
2024-02-29複数プロダクト横断したプロジェクトをどうやって成功させたのかメンバーに聞いてみましたはじめにみなさん、こんにちは。エンジニアの古川です。 今回は CLINICS / Pharms 同時予約プロジェクト(以下、同時予約 Pj)というプロダクト横断で様々な部署が関わった開発プロジェクトについて、尽力された皆さんに座談会形式でお話を伺いました。 メドレーの医療プラットフォーム(以下、医療 PF)でどのようにこうした横断プロジェクトを完遂したのかの様子を皆さんに知ってもらえればと思います。 対談メンバー紹介── はじめに、皆さんの自己紹介をお願いします。 江藤: 所属は医療 PF のプロダクト開発室の Pharms 開発チームです。 役割としては調剤薬局向けのシステムの Pharms のプロダクトオーナーを担っています。 経歴としては、2021 年の 1 月から Pharms
Techouse社内勉強会の内容を紹介します(1) データベース<ACID編> - Techouse Developers Blog
Techouseの「エンジニア基礎勉強会」とは Techouse では「基礎勉強会」と称して2週間に1回、わたしが OS・ネットワーク・データベース・ハードウェア・セキュリティ・システムアーキテクチャなどをお話する勉強会を開催しています。 講師は私ひとり、資料を準備するのも私ひとり、動画を収録して YouTube Live で社内向けに配信する作業も私ひとりでやってます。 参加は任意ですが、社内のメンバー (社員・インターン生・業務委託でご参画いただいている方) の多くの方が参加してくれています。先日の RubyKaigi 2024 に参加してくれたメンバーもほとんどがこの勉強会に参加し、基礎的な知識をもった上でセッションへ臨んでくれました。 開催履歴 これまでの開催履歴はこんな具合です。 見ていただくとわかる通り、ほんとうに基礎的な内容を1個ずつやっているということがわかるかと思います。
Detecting and Mitigating Active Directory Compromises First published: September 2024 Detecting and Mitigating Microsoft Active Directory Compromises ii Introduction This guidance – authored by the Australian Signals Directorate (ASD), the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Canadian Centre for Cyber Security (CCCS), the New Zealand Nati
東南アジア関連の本を読んでいて、“インドネシアは一番民主的な国”という評価をみた。 ぼくの記憶の中に「インドネシアでは共産党員が200万人くらい虐殺されていたと思うけど…」という断片が浮かび上がる。 むろん、それは「昔」の話のはずだから、そのままではあるまい。 いったい、あの事件はどういうもので、今どんな評価がされているのか。そして政体や政治的空気はどうなっているのか知りたいと思っていた。 そこで本書を手に取った。 2020年というごく最近に出た本であったが、ぼくは知らなかった。 インドネシア大虐殺-二つのクーデターと史上最大級の惨劇 (中公新書) 作者:倉沢 愛子 中央公論新社 Amazon この事実を聞いたこともないという人も多かろう。事件の概要は次のとおり。 https://www.jcp.or.jp/akahata/aik12/2012-07-29/2012072907_01_1.
プロフェッショナルTLS&PKI 改題第2版
紙書籍とPDFをお読みいただけます。PDFのみ必要な方はこちらからPDF単体が購入できます PDFは購入後すぐにダウンロード可能です 紙書籍は通常は注文から2~3営業日で発送(年末年始や大型連休などは1週間から10日程度の配送のお休みをいただく場合があります。詳しくはお知らせをご覧ください) TLSとPKIの実像を理解し、サーバとアプリを安全にする Ivan Ristić 著、齋藤孝道 監訳 488ページ B5判 ISBN:978-4-908686-19-1 電子書籍の形式:PDF 2023年12月4日 第2版第1刷 発行 現代生活を支えるインターネットでは暗号化が不可欠です。しかし実際にサーバやアプリで通信の暗号化を適切に利用するには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルであるTLSとそのWebでの応用、さらには基盤となる信頼モデルであるPKIについての幅広い知識と
第0章 はじめに この記事は「NTTドコモ R&D Advent Calendar 2023」24日目の記事です。 いよいよ今年も残すところあと1週間と年の瀬が迫ってきましたが、みなさんは今年の技術トレンドと言えば何が思い浮かぶでしょうか? Web3?ゼロトラスト?はたまた量子コンピューティング? 私はやはりGPT-4, DALL·E3, GitHub Copilot Xなどに代表される生成AIの普及が強く印象に残っています。 実際、「新語・流行語大賞2023」には「生成AI」「チャットGPT」がノミネートされているということで、世間でも大きなインパクトを残しているようです。 www3.nhk.or.jp ただ、今年の生成AI関連のニュースを振り返ると、必ずしも良いニュースばかりではなかったように思います。 春ごろには画像生成AI Midjourneyの登場で多くの人がこぞって様々な画像を
こんにちは!eyeon運用チームです。 AWSさんから、RDSのSSL/TLS証明書の期限が切れるよーってメール通知が届いていたので確認してみました。証明書の更新作業が必要っぽいのでその手順もご案内しておきます。 1.いきなり結論 結論としては以下の通りですね。 放置しておくと、RDSのメンテナンスウィンドウにて勝手に証明書が更新されちゃいます。 それだけ聞くと、SSL/TLS接続を利用していない場合は気にしなくてよさそうです。 ですが!!!RDSのエンジン、エンジンバージョンによってはそのタイミングでDBインスタンスが再起動してしまいます。 従い、都合が良いときに、早めに手動で更新しておきましょう! 逆に、SSL/TLS接続を利用していない、かつ再起動対象外のエンジン、エンジンバージョンを利用していない場合は何もしなくても大丈夫です。詳細は後述いたします。 (ただ、いつのまにか自動更新さ
AWS CLIやAWS SDKではなく直接AWSのAPIを叩きたい こんにちは、のんピ(@non____97)です。 皆さんはAWS CLIやAWS SDKではなく、直接AWSのAPIを叩きたいなと思ったことはありますか? 私はあります。 AWSのAPIに対してアップデートがかかると、AWS CLI v1やboto3などでもアップデートの内容がすぐに反映される認識です。ただし、万が一AWS CLI v1やboto3などがアップデートになかなか追従できない場合は「早くアップデートブログを書きたいのに書けない」というもどかしい気持ちになること間違いなしです。 そんな時に備えて、直接AWS APIを叩けられるように整理しておきたいと思います。 いきなりまとめ curlで簡単にAWS APIを叩くことが可能 AWS Signature V4にもサポートしているよ AWS APIを直接叩く際はAWS
GoによるTLS1.3サーバーの実装
はじめに TLSプロトコルの理解を目的として、Go言語によりTLS1.3のフルハンドシェイクのサーバー実装を行いました。この記事では、実装の過程で得た学びをまとめたいと思います。Go言語はTLSをOpenSSLではなく自前で実装しています。暗号処理関連のパッケージが整っているため、TLSプロトコルの仕様に沿った自然な実装がしやすい言語だと思います。 実際に書いたコードはgo-tlsで公開しています。また、同内容はスライドとしてLearning-TLS1.3-with-Go-full.pdfでもまとめています。 暗号処理 TLSの内容に入る前にまず暗号処理の概要について見ていきます。次の3つの性質が重要です: 秘匿性 (Confidentiality) 通信内容が通信相手以外から読み取られないこと 完全性 (Integrity) 通信内容が途中で改ざんされていないこと 正真性 (Authen
週刊Railsウォッチ: Ruby 3.3.0-preview3リリース、IRBのオートコンプリート強化ほか(20231127後編)|TechRacho by BPS株式会社
週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙏 TechRachoではRubyやRailsなどの最新情報記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:週刊Railsウォッチタグ) 🔗Rails 🔗 動画『Ruby on Rails: The Documentary』(Ruby Weeklyより) つっつきボイス:「YouTubeで見
署名と証明書の有効期限 - Qiita
はじめに 問:署名証明書の有効期限切れ=署名の有効期限切れ…なのか? PKI(公開鍵基盤)ベースのX.509電子証明書(以後、証明書)を使ったデジタル署名の電子署名方式には有効期限があるのでしょうか?署名に使った証明書の有効期限が切れてしまった場合に、その署名は無効になるのでしょうか? 答:署名証明書の有効期限切れ=署名の有効期限切れ…とは限らない。 デジタル署名の検証結果は「有効/VALID」と「無効/INVALID」の2種類と思われがちですが、実はその間に「不明/INDETERMINATE」と言う状態があります。不明状態とは検証に必要となる検証情報が不足している状態です。過去に「電⼦署名検証を10分で説明してみる」でも説明していますのでお時間があればご覧ください。 さて検証に必要な情報には大きく分けると「認証パスの証明書群 以後、認証パス」「各証明書の検証情報(CRL/OCSP等) 以
Application Load Balancer でmTLSを使ってTLSクライアント認証をやってみた トラストストア検証編 #AWSreInvent | DevelopersIO
Application Load Balancer でmTLSを使ってTLSクライアント認証をやってみた トラストストア検証編 #AWSreInvent ロードバランサー側でクライアント証明書の検証をしたい こんにちは、のんピ(@non____97)です。 皆さんはロードバランサー側でクライアント証明書の検証をしたいなと思ったことはありますか? 私はあります。 re:Invent 2023期間中のアップデートでALBがmTLSをサポートしました。これによりクライアント認証が簡単に行えるようになります。 早速DevelopersIOでも記事が挙がっていますね。 上述の記事ではパススルー構成を試しています。パススルー構成はALBのバックエンド側でクライアント証明書を検証するパターンです。 個人的にはできれば、面倒なクライアント証明書の検証はALBにオフロードしたいところです。 そんな願いを叶え
先般、情報システム学会から『「マイナンバー制度の問題点 と解決策」に関する提言』(以下、提言とよびます)が公表された。ちょっと違うんじゃないかなと思うところがいくつかあったのでまとめてみた。 同意する点も多々あるが、短くまとめるために(それでも十分長いが)指摘点だけ書いている。結果、なんだか文句だけつけてるみたいなエントリーになってしまったが、学会 vs 個人ということで、悪しからずご了承願いたい。 マイナンバーカード保険証問題は名寄せ問題ではない詳しいことは先のエントリー(これとか、これ)で書いたので省略するけれど、話題になったマイナンバーカードの保険証利用で他人に紐づいてしまっていた件は、マイナンバー収集方法の問題であり、名寄せ問題ではない。 実際、「マイナンバー情報総点検本部」でも本件を「マイナンバーの誤紐付け事案」と整理している。 しかし、「提言」では「2.1.1. 誤った名寄せの
共産党を「相談相手」にしている民青(日本民主青年同盟)が出している新聞(機関紙)に「民青新聞」がある。その2024年2月12日号を興味深く読んだ。 というのは、「ASEAN(東南アジア諸国連合)は『反共の砦』として出発したのではなかった」という歴史観が明確にそこ(民青新聞同号)に見出されるからである。 同紙は「東アジアを戦争の心配のない地域へ ASEANの努力に学ぶ」という「論文」めいた特集を「上」「下」に分けて掲載している。しかも同じ号に「上」も「下」も掲載する破天荒なやり方をしている。 あとで述べるけども、彼らが「相談相手」にしている共産党の「しんぶん赤旗」でもASEANについてのこんな詳細な記事(特集・論文)は見たことがない。そして、ASEANについて何の知識もない、ぼくのようなシロートにもわかりやすい記事であった(もちろん限界はある)。「しんぶん赤旗」読者であっても、民青新聞読者で
医療情報システムの安全管理に関するガイドライン6.0版遵守項目 - ITをめぐる法律問題について考える
3省2ガイドラインのうち「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」について、 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html 参考用に、見出しと遵守項目のみ、ブログに貼り付けます。 本当は重要記載もこのブログに貼り付けたいのですが、全部貼り付けるのは時間がかかると思うので、企画管理編までとりあえず貼り付けました。追ってシステム運用編とあと総務・経産のもやります。ブログに書くよりExcelに表形式でまとめた方がわかりやすいかなあ。 6版になって、構成も読みやすさも良くなっていて良いと思います。ただ、内容はやはりかなり厳しめですね。 〇概説編 1.はじめに 2.本ガイドラインの対象 2.1 医療機関等の範囲 2.2 医療情報・文書の範囲 2.3 医療情報システムの範囲 3.本ガイドラインの構成、
小泉進次郎 あまりにも知的レベルの低いフリーランス記者田中からの質問に完璧に答える Tweet カテゴリ話題 0 :ハムスター速報 2024年09月06日 16:12 ID:hamusoku フリーランス記者の田中失礼すぎる そして進次郎が頭が良いのが良くわかる pic.twitter.com/3lAIezujjn— ゆな先生 (@JapanTank) September 6, 2024 進次郎のこういうところがここまでこれた良さなんでしょうね。 一方、この田中は失礼ですし知能が低そうですね。 こういう記者はいらないですね。— taku@crypto (@taku__crypto) September 6, 2024 最後の「わかりました、勉強してくださいよ」って。😅 何も言い返せず搾り出した言葉がそれならフリーランスには向いてないんじゃない? ここまで綺麗な負け犬の遠吠え見たの初めてだ
ご来店ありがとうございます。『OpenSSLクックブック』改訂と、それを記念した『プロフェッショナルTLS&PKI』電子版の期間限定大特価セール(記事の末尾を参照)のお知らせです。 [5月9日追記]本セールは終了しています 『OpenSSLクックブック』は、OpenSSLのコマンドラインツールについて扱った無償の小冊子で、Ivan Ristić著 ‟ OpenSSL Cookbook ” の翻訳に相当します。‟ OpenSSL Cookbook ” 自体は、TLSとそのエコシステムの全容を解説した ‟ Bulletproof TLS and PKI ” のサンプルチャプターとして公開されている電子書籍であり、OpenSSLの公式サイトにて「OpenSSLでよく使われる機能とコマンドを網羅した内容」と推薦されているものです。‟ Bulletproof TLS and PKI ” の翻訳である
古いアクセス権限への対応や生成AIでのクエリ生成など、re:Inforceで発表されたセキュリティアップデート re:Inforce 2024では、AWSサービスのセキュリティアップデートも数多く発表された。今回はその中から、7つの新機能が紹介された。 1. AWS Private CA Connector for SCEP for mobile devices プライベート証明書を発行するマネージドサービス「Private CA」において、MDMソリューションとのコネクターが追加された。BYODに対応するアップデートで、プライベート証明書の運用コストを削減して、PKI(公開鍵基盤)を最適化する。 2. IAM Access Analyzerが未使用のアクセス権限に修正案 2つ目は、アクセス管理を担うIAMの分析サービス「Access Analyzer」の機能強化だ。 大規模な運用において
MIXI でモンストサーバーチームとセキュリティ室を兼務している、atponsです。 昨今 RSA に代わる暗号として楕円曲線暗号が多く用いられるようになってきました。そこで、身近にある暗号を応用した技術である、TLS 証明書における楕円曲線 (EC) 暗号について、調べてみました。 TLS では、鍵交換は TLS セッション上でやりとりするための鍵ですが、すでに ECDHE (楕円暗号DH鍵交換) や ChaCha20-Poly1305 (高速、かつ安全) が多く利用されているので、省略します。 今回はその先で利用される TLS における証明書について解説します。 RSA 証明書についてRSA を用いた証明書が、TLS では広く一般的に利用されています。RSA は DSA に代わる安全な暗号として、TLS 1.2 以前から利用されてきました。 ECDSA 証明書って、使えるんですか?TL
暗号学の現在―現代暗号入門
受講登録する(無料) この講座はビジネスdアカウント連携ユーザのみ受講登録できます。 詳細は、こちら(受講条件)をご確認ください。 講座内容 数千年の歴史をもつ暗号は1970年代以降に根本的で急峻な変革を遂げ、今日、暗号の科学と技術は様々な形で日常生活に深く浸透するに至りました。これを現代暗号と呼びます。この講座では現代暗号の原理と特徴、基本的な機能、社会基盤とのかかわり、そして近い将来に求められる暗号の機能について、要点を平易に紹介します。これにより暗号を切り口として、情報社会の現在と未来を垣間見ることにもなります。なお、現代暗号は数学的な理論に基づくものですが、できるだけ直観的な説明に努め、記法や概念を定義するときは高等学校「数学I」や「数学A」の言葉を使うよう配慮します。 Week1:現代暗号の基本的な道具 現代暗号の安全性の基礎となる数学的仕組みについて解説します。それが一方向性関
Avoiding downtime: modern alternatives to outdated certificate pinning practices
Avoiding downtime: modern alternatives to outdated certificate pinning practices2024-07-29 In today’s world, technology is quickly evolving and some practices that were once considered the gold standard are quickly becoming outdated. At Cloudflare, we stay close to industry changes to ensure that we can provide the best solutions to our customers. One practice that we’re continuing to see in use t
TPMとの戯れ long version - ₍₍ (ง ˘ω˘ )ว ⁾⁾ < 暗号楽しいです
はじめに この記事はセキュリティ・キャンプ全国大会 2023のLT大会で発表した以下のスライドを解説するものです. このときは5分程度しかなかったのでまともに解説できなかった. なんか色々書いていたら9000文字を越えてしまったので, 暇なときにつまみ読んでもらえればと思います. https://elliptic-shiho.github.io/slide/Playing_with_TPM.pdf この記事は少し砕けた形で書いてみようかと思いますが, 普段硬い文章ばかり書いているので読みづらいかもしれません. その点ご容赦ください. あとやたら長い. 前提としては「認証と認可の違い」「応用情報処理程度のPKIの知識」あたりがあるとわかりやすいと思います. TPMとは 皆さんTPM使ってますか? Windows 11へのアップグレード時にお世話になるあれです1. TPMという単語はTrust
信頼しているCAをネゴシエーションする TLS Trust Anchor Negotiation のメモ - ASnoKaze blog
IETFのTLS WGでは、Googleの方らによって提案されている『TLS Trust Anchor Negotiation』という仕組みが議論されています。 これは、クライアントとサーバ側で共に信頼できるCA(トラストアンカー)をネゴシエーションし、複数あるサーバ証明書から適切なものを提供できるようにする仕組みです。 (引用: IETF 120 スライド PDF より) 具体的な提案仕様よりも、explainer を読むのが分かりやすい。自分用に軽く目を通しておく https://github.com/davidben/tls-trust-expressions/blob/main/explainer.md 目次 背景 目標 実現案 Trust Expressions Trust Anchor Identifiers 背景 現状、クライアントがどのCAを信頼しているか伝えず、サーバ側は
応用技術者試験の「情報セキュリティ」の知識をシラバスを見つつ、 過去に出たことのある用語周りを整理する。 https://www.jitec.ipa.go.jp/1_13download/syllabus_ap_ver6_2.pdf 情報セキュリティ 脅威 遠隔操作による脅威 ボット 攻撃者は他者のPCを感染させて、遠隔操作して他者のPCから攻撃を行わせる。 ボットネット ボットとなったPCが何台にも増えて、一斉に攻撃をおこなったりする。 C&Cサーバー 攻撃者がいつでも遠隔操作可能になったPCをボット、 それが複数の何台にもふえたものがボットネット。 そんなボットネットに、一斉にコマンドで命令をおくるサーバー的なPC、 攻撃者が一括で指示をだすときに呼び出されるのがC&Cサーバー(Command & Control) ボットハーダー ボットを利用した一通りの攻撃を行う人のこと 不正プログ
SSL証明書の購買を自動化した話
こんにちは。LINEヤフーの久慈泰範です。Advent Calendarは入社すぐに書いて以来、5年ぶりです。久々だー。 今日は、LINE(現 LINEヤフー) で SSL/TLS 証明書の購買を自動化した話を書きます。(以下、証明書と呼びます) 自動化のためにはタスクの形や人の動きを変えなければいけないことが多く、ほとんどの時間は混乱なく変化を続けていく方法を模索し続けていた時間だったように思います。2023年10月をもってやりたかったことは一通り終わったので、節目の記録としてこの記事を書くことにします。 この記事に書いてあること 自動化のためにやったプロジェクトの概要助けてくれたたくさんの方への感謝 この記事に書いていないこと プログラムコードなど、技術的な話 Summary LINEには多数のサービスがあり、500を超えるドメインが運用されています。サブドメインを含めると約十万件あり
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
セキュアなWeb APIの作り方 / Secure Web API
迂闊にTLS/SSLをPHPで実装してみたら最高だった件 - Code Day's Night
Apple によるブラウザエンジン規制の緩和 | blog.jxck.io
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
12月4日に新刊『プロフェッショナルTLS&PKI 改題第2版』発売予定
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
『サクッとわかるビジネス教養 東南アジア』 - 紙屋研究所
Detecting and Mitigating Active Directory Compromises
倉沢愛子『インドネシア大虐殺』 - 紙屋研究所
生成AI時代に重要になりそうなCAI/C2PA(コンテンツの来歴証明技術)を読み解いてみた
【手順】RDSのSSL/TLS証明書の更新(2024年8月22日まで) - eyeon -アイオン-
curl で AWS API を叩いてみた | DevelopersIO
情報システム学会の『「マイナンバー制度の問題点と解決策」に関する提言 』で気になるところ|ヨシモトアキヒラ
ASEANは「反共の砦」だったか? 民青新聞を読んで - 紙屋研究所
小泉進次郎 あまりにも知的レベルの低いフリーランス記者田中からの質問に完璧に答える : ハムスター速報
『OpenSSLクックブック』改訂と『プロフェッショナルTLS&PKI』電子版セールのお知らせ
1年間で悪質なトラフィックを“240億回”拒絶、AWSが最優先する内部でのセキュリティ対策 (2/2)
10 年続くサービスを作るための、TLS 証明書の EC 化
応用情報技術者試験の情報セキュリティ周りをやる - Qiita