[B! 電子署名][summarySite] tsupoのブックマーク

tsupo id:tsupo

電子署名とsummarySiteに関するtsupoのブックマーク (5)

研究者がMD5の衝突によりAuthenticodeで署名された実行ファイルを生成
すでに破られているハッシュアルゴリズムであるMD5を、SSLの証明書の検証に用いることによる危険については最近かなり聞くようになっている。米国時間1月17日、ある研究者がAuthenticodeで署名されたバイナリファイルと署名が一致する、悪意のあるソフトウェアの作成に向けて、大きな一歩を踏み出したことがわかった。研究者のDidier Stevens氏は、Peter Selinger氏が説明する、同じMD5のハッシュ値を持つ2つの実行ファイルを生成する技術を使って、MicrosoftのAuthenticodeプログラムで署名された実行ファイルのペアを生成することもできることを示した。この技術を使うと、悪意のある人物が、Microsoftによって署名されており、正しいものとして検証されるが、実際には悪意のあるドライバを作成することが可能になる。 SSL問題の場合と同様に、Authentic
tsupo 2009/01/19
「同じMD5のハッシュ値を持つ2つの実行ファイルを生成する技術」を使って、MicrosoftのAuthenticodeプログラムで署名された実行ファイルのペアを生成することもできることを示した → 偽のデバイスドライバが作成可能に!

security

MD5

電子署名

authentication

certification

なりすまし

technology

summarySite
リンク
OpenSSH 情報 - [misc][暗号]「原理から学ぶネットワーク・セキュリティ　第5回　電子証明書と認証局」の問題点
2008/01/02 - [misc][暗号]「原理から学ぶネットワーク・セキュリティ　第5回　電子証明書と認証局」の問題点原理から学ぶネットワーク・セキュリティ　第5回　電子証明書と認証局：ITproの問題点を挙げていきます. 一通り作成しました. 導入部公開鍵暗号では，「秘密鍵」と「公開鍵」の2つの鍵をペアにして使います。この2つの鍵は，次の2つの性質を持っています。性質1）秘密鍵から公開鍵は容易に生成できるが，その逆は非常に困難（図1）。性質1は間違いです. 秘密鍵から公開鍵は容易に生成できることは公開鍵暗号の必要条件ではありません. 公開鍵から容易に秘密鍵が生成できては公開鍵暗号として成り立たないので, この点は問題ありません. 性質2）秘密鍵で暗号化した情報は，そのペアである公開鍵でなければ復号化できない。また公開鍵で暗号化された情報は，そのペアである秘密鍵でなければ復号
tsupo 2008/03/02
自己署名証明書は, 単に自分で作成した証明書に自分で署名すれば作成できます → いわゆる「オレオレ証明書」 / サーバの証明書を送信するのは, ServerHelloメッセージとServerHelloDoneメッセージの間に送られるServer Certificateメ

security

公開鍵暗号

電子署名

https

鍵交換

technology

summarySite
リンク
OpenSSH 情報 - [misc][暗号]「原理から学ぶネットワーク・セキュリティ　第4回　ハッシュ関数」の問題点
原理から学ぶネットワーク・セキュリティ　第4回　ハッシュ関数：ITproの問題点を挙げていきます. 一通り書きました. 作成中の段階では間違っていた部分があったのを確認していますが, 修正したつもりです. 私も暗号屋ではありませんので, 文章の内容の保証は致しません. 修正の御指摘は歓迎します. 導入部データ構造としてのハッシュ/ハッシュ・テーブルと暗号技術のハッシュ関数を混同して説明するのは, 誤解を生むおそれがあります. 仮に暗号技術のハッシュ関数の説明の中でデータ構造としてのハッシュに触れる場合でも, 異なるものと説明したほうがよいでしょう. ハッシュ関数の説明として, 一方向性だけが挙げられていますが衝突耐性についても触れておくべきです. 後のコラムで衝突耐性について触れられていますが, 内容は不正確です. ハッシュ関数の実験この部分の内容に問題はありません. ただし, 先に衝
tsupo 2008/03/02
HMACを用いてメッセージの改ざん防止を行なう場合, 受信側でも秘密鍵とメッセージからMACを(再)計算し送られてきたものと比較します. MACを復号化して比較するのではありません → この辺、WSSE も似てる

security

MAC

HMAC

ハッシュ関数

messageDigest

電子署名

公開鍵暗号

technology

summarySite
リンク
高木浩光＠自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
tsupo 2008/03/02
『公開鍵と秘密鍵が「逆に使える」というのはRSAアルゴリズムがたまたまそうなだけであって、そのような性質を持たない他の公開鍵暗号方式も存在する』と『電子署名≠秘密鍵で暗号化』は別の話として分けるべき

security

公開鍵暗号

電子署名

technology

summarySite
リンク
AIRの新機能、電子署名とシステムトレイの利用方法（1/3） ─ ＠IT
Apollo改めAIRプログラミング入門（4） AIRの新機能、電子署名とシステムトレイの利用方法クラスメソッド株式会社杉浦篤史 2007/11/13 編集部注：この連載をより深く理解するためには、連載「Apolloプログラミング入門」も併せてご覧ください。 Adobe AIRのベータ2版が公開！ 2007年10月1日にAdobe AIR ベータ2が公開されました。ベータ1からは大きく変更された点もあり、いくつか新しい機能が利用できるようになりました。以後この連載では、次のバージョンになるまではベータ2を使用して行っていきます。今回はベータ2の新機能の中からシステムトレイアイコン機能について解説します。まずは、サンプルのAIRアプリケーションをこちらからダウンロードして使ってみてください（＊注意：AIRアプリケーションを実行するにはランタイムをインストールしておく必要があります。まだ
tsupo 2007/11/14
AIR ベータ2からAIRアプリのパッケージを作成するときに電子署名が必須となった / 「自己署名の証明書」というのはいわゆる「オレオレ証明書」のこと?

AIR

programming

電子署名

Internet

summarySite
リンク
1