GoogleのQUICの論文が知見の塊だった - ASnoKaze blog
20181107追記 QUICプロトコルについての概要は別途記事を書きました asnokaze.hatenablog.com 概要 ACM SIGCOMM 2017という通信系の学会に、Googleの人 総勢21人によって書かれた「The QUIC Transport Protocol: Design and Internet-Scale Deployment」という論文が提出され、学会ホームページより閲覧出来る。 この論文は、QUICの設計仕様と実際にGoogleのサービスにデプロイした結果について書かれている。 すでにGoogler SearchやYoutubeでQUICは有効になっており、一日あたり数十億の接続を処理し、Googleのegress trafficのうち30%がQUICになっており、インターネットのトラフィックの内7%がQUICだと推定されるという説明から論文は始まる。
PFS(Perfect Forward Secrecy) | kim hirokuni
SSL/TLSの問題 なぜPFSが注目されているか PFS (Perfect Forward Secrecy)とは暗号化された通信と暗号化するための秘密鍵が両方漏洩しても複合化できません、という鍵交換に関する概念です。 PFSは概念なのでを実装する仕組みが別にあります。2014年1月現時点ではPFSはまだあまり普及していないので、主に使われてい鍵交換方式はPFSではありません。 Edward SnowdenがアメリカのNSAの諜報活動をリークしたことをきっかけにPFSは有名になりました。 NSAは 何らかの方法でWebサーバとクライアント間の通信を盗聴する(いわゆる中間者攻撃) 通信は暗号化されていてもとにかく保存 将来、何らかの方法で暗号化に使われた鍵が手に入ったら保存していた通信を解読 ということを行っていました。PFSではない仕組みを使って通信した場合、このようにして通信の時点では暗
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
Transfer-Encoding: chunked について - 理系学生日記
Tomcat をコンテナとした Servlet のコード上で Content-Length ヘッダを設定していたのですが、なぜか HTTP レスポンスのヘッダには Content-Length が出力されないという事象が確認されました。 これは一体なぜなのだろうと調べていると、当該レスポンスのヘッダに Transfer-Encoding: Chunked が出力されていることに気付きました。 Chunked は HTTP/1.1 で定義されている方式です。RFC 2068 には以下のような記述があり、Chunked と Content-Length を共存させてはいけない (MUST NOT) ことが分かります。) Messages MUST NOT include both a Content-Length header field and the "chunked" transfer
SSL/TLS(Part.3)
これまで、暗号化アルゴリズムなどの前提知識はさほど必要としない部分を中心に説明してきたが、ここより先には、少しずつ暗号アルゴリズムに絡んだ話が増えてくる。ただ、RFCなどでは数式で表現されている内容も、できるだけ図示するように心掛け、可能な限りかみ砕いて説明していくので、あきらめずに読み進んでいただければと思う。 SSL/TLSにおけるセッションとコネクション SSL/TLSにおけるサーバとクライアント間での暗号化通信では、基本的にセッション型のモデルを用いる。通信の信頼性を高めるという考えに立てば、これは至って正当な考え方である。 セッション型の通信管理モデルを用いる場合、プロトコル内でセッション管理を行う必要がある。SSL/TLSでは、このために「セッション」と「コネクション」という、2つの管理すべき接続状態を規定している。最初にこの2者について説明しよう。 SSL/TLSを使い暗号化
第115回 セキュリティトレンド - ワンタイムパスワードの仕組み -
過去の記事を整理・一部リライトして再掲載したものです。 古い技術情報や、 現在、TDKで扱っていない製品情報なども含まれています。 自宅でインターネットを使ったオンラインバンキングやネットショッピングなどはとても便利ですが、IDとパスワードを悪意ある第三者に知られてしまうと、知らないうちに口座からお金が引き出されたり、勝手に買い物をされたりする危険があります。IDやパスワードによる認証をより強固にするために、最近広まっているのが、ワンタイムパスワードです。 バレたら使われてしまう、IDとパスワード 銀行のATMでお金を引き出す時には、口座番号が記録されたキャッシュカードと、自分だけが覚えている暗証番号を使います。銀行のホストコンピュータは、口座番号と暗証番号の組み合わせで、このカードを利用している人が間違いなく本人であるということを確認し、ATMから出金します。 銀行のATMに限らず、コン
第6回 仮想マシンのネットワークI/O負荷を軽減
前田 裕貴,飯島 徹 日本ヒューレット・パッカード VMware Infrastructure 3 v3.5の中の仮想化ソフトVMware ESX 3.5(以下ESX 3.5と略)の新機能の一つに,TCPセグメント化オフロード(TSO:TCP Segmentation Offload)のサポートがある。TSOは,NICに実装された専用チップがTCPパケット生成時の演算の一部を担うことにより,CPU負荷を軽減させる機能だ。現在販売されているほぼすべてのサーバー機用のNICがTSO機能を搭載しているにもかかわらず,これまでのESXではTSOをサポートしていなかった。 そこで,ここではESX 3.5でTSOを有効化する方法と効果について解説したい。TSOを有効/無効としたときのパフォーマンスについては実際に検証を行った結果をもとに説明する。 TCPのセグメント化処理をNICで実行 初めにTSOに
pingでMTUサイズを調査する
解説 ●ネットワークのMTUサイズとは ネットワークで通信を行う場合、(通常は)一度に送信可能なデータ(パケット)のサイズには上限がある。例えば、TCP/IPプロトコルで利用されているIPプロトコルでは、1つのIPパケットでは最大64Kbytesまでしか送信できない(IPv4の場合)。 しかし、このような大きなサイズのIPデータを1つのパケットで送信することのできる物理ネットワーク媒体はない。例えばイーサネット(および相互互換性を持つ無線LANなど)では、1パケット(1フレーム)のサイズは最大1500bytesだし、FDDI(光ファイバ)では4352bytesというのが普通である。 このように、一度に送信することができるデータのサイズを「MTU(Maximum Transmission Unit)」といい、ネットワークのプロトコルや媒体ごとに固有の値がある。 MTUサイズよりも大きなサイズ
フェイスブックやグーグルが光ファイバーケーブルを買い漁っているそうな
通信業界の勢力図が書き換わる日も近そう。 フェイスブックやグーグルが世界を牛耳りはじめてなんたらかんたら…なんて誰かが言っているのを聞いて、そうは言ってもたかがウェブサイトじゃんって思っていませんでした? なんだかそんなことも言ってられなくなってきたようですよ。フェイスブック、グーグル、アマゾン、マイクロソフトといった巨人たちが、インターネットのインフラ設備を買収し始めています。 ウォール・ストリート・ジャーナル紙によると、これらの企業は時間をかけてかなりの割合のインフラを買収してきたとのこと。これまでケーブルを支配してきた従来の通信会社は、当然のことながらこの動きにとてもナーバスになっています。 巨人たちが買い占めているケーブルの規模はかなりもの。グーグルは最近ちょっと怖いロボット軍を買収したのに加え、今では10万マイル(約16.1万km)を越える自社専用光ファイバーを所有しています(参
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
