Bluetooth通信実装のセキュリティ観点を4ステップ + 1で理解する - Flatt Security Blog
Bluetoothは、米国Bluetooth SIG,Inc.の商標です。 イントロ BLE通信 概観 GATTプロファイル ペアリング 脆弱性 1: Characteristicの権限指定ミスによる平文通信 観点: GATT Characteristicと属性 対策: characteristicへの暗号化必須属性の付与 脆弱性 2. Legacy Pairingにおける暗号化された通信のブルートフォース LE Legacy Pairingにおける鍵生成と鍵交換 TKの生成 random値の生成 STK/LTKの生成 観点: ペアリングフローの盗聴による経路復号 既成ツールを用いたTKの総当りと通信の復号実践 対策: Legacy vs Secure Connection 脆弱性 3. Secure ConnectionのJust Worksにおけるperipheralのspoofing
恐ろしく長い上に割と複雑なので最後まで読む人はほとんどいないと思うのですが、将来確実に忘れてしまう自分のために書いたので別に悲しくありません。 まえがき 背景 sigstoreの概要 sigstoreを構成するツール群 Cosign Rekor Fulcio 署名方法 コンテナイメージ 鍵ペアの生成 署名 検証 Blobs 鍵ペアの生成 署名 検証 署名の仕組み コンテナイメージ OCI Registryについて 署名の保存先 署名フォーマット 署名検証 検証が不十分な例 Blobs 参考 まとめ まえがき 鍵の管理不要でソフトウェア署名を可能にするKeyless Signingについて解説を書こうと思い、まず前提知識を書いていたら信じられないぐらい長くなったので前提知識だけで1つの記事になりました。 後述するsigstoreは急速に開発が進んでいるプロジェクトであり、ここで書いている記述
「世界の奇書」の謎と秘密
屈指の暗号とされる「ボイニッチ手稿」からニュートンが自ら書き写した錬金術の「レシピ」、ネコの足跡がついて話題になった中世の本まで、古今東西の「奇書」を集めてみた。
Terraform AWS Provider Version 4がリリースされました | DevelopersIO
2022/2/11に Terraform AWS Provider Version 4がリリースされました。2/22現在、もうVersion 4.2まででています。実際に触ってみて何が変わったのか確認したいと思います。 aws_s3_bucketの大規模リファクタリング 要は「aws_s3_bucketがデカくなりすぎて大変だから、細かく分けようぜ!」ということです。 御存知の通りS3は非常に多機能です。そしてTerraformではその機能の殆どをaws_s3_bucketのattributeで設定していました。 以下はaws_s3_bucketのコード例です。 resource "aws_s3_bucket" "v3" { bucket = local.bucket_name acceleration_status = "Enabled" acl = "private" cors_rul
暗号資産で申告漏れ、追徴2億円超も…年収900万円の会社員「納められる金額でない」(読売新聞オンライン) - Yahoo!ニュース
国税庁はホームページで報告書などから申告額を自動で出す表計算を公開するなどしており、担当者は「不明点があれば、税務署などに相談してほしい」としている。 取り締まり強化 国税庁は19年に全国の国税局に暗号資産などを専門とするプロジェクトチームを設置するなど、悪質な税逃れへの取り締まりを強化。20年の国税通則法改正で、国内の取引所から取引履歴に加え、顧客の氏名や住所の照会が可能となり、取引実態を追いやすくなった。 20年3月には金沢国税局が、取引で得た所得を隠し、約7700万円を脱税したとして石川県の会社役員(57)を所得税法違反容疑で告発。金沢地裁で懲役1年、執行猶予3年、罰金1800万円の有罪判決が言い渡された。 国税OBで暗号資産に詳しい坂本新税理士(東京)によると、最近はコロナ下で在宅時間が増え、投資目的で気軽に暗号資産の取引を始める人が目立ち、確定申告に不慣れな会社員からの相談が増加
中国政府がビットコインのマイニング&取引を全面禁止する可能性
ビットコインなどの暗号資産(仮想通貨)のマイニングの一大拠点である中国で、政府がマイニングと取引を取り締まる方針を明らかにしています。取り締まり自体は以前から行われていますが、マイニングによる大量の電力消費は政府が掲げる「カーボンニュートラル」の方針と対立するものであることから、今回はさらに厳しい締め付けが予想されています。 刘鹤主持召开国务院金融稳定发展委员会第五十一次会议_国务院副总理刘鹤_中国政府网 http://www.gov.cn/guowuyuan/2021-05/21/content_5610192.htm China will likely ban all bitcoin mining soon | Ars Technica https://arstechnica.com/tech-policy/2021/05/china-advances-its-war-on-bitco
最近、ようやく多くの企業や団体のWebサイトが「HTTPS」(SSL/TLS)に対応し始めた。SSL通信は暗号化されているため、途中で傍受されたとしても暗号が解読されない限りは内容が漏えいする心配はない。 しかし、米Googleや米IBMなどが開発している「量子コンピュータ」は、一部の暗号化アルゴリズムの安全性の根拠となる「素因数分解」を高速に解けることが理論的に示されている。このため、約10年後に訪れると見込まれる量子コンピュータの実用化の際には、現在の暗号の一部は解読されてしまう恐れがある。 実用化が10年後なのであれば、今は特に対策を打たなくてもいいのか。SSLサーバ証明書など電子証明書発行の大手、デジサート・ジャパンの林正人さん(プロダクトマーケティングマネージャー)は、「量子コンピュータの脅威を正しく認識し、耐量子コンピュータ暗号の導入に今から備えるべき」という。 日本企業は「怖
こんにちは、開発統括室ペイメントシステム課マネージャーの戸田です。 前回 、決済システムの開発・構築・運用に深く関わるPCI DSSについて紹介いたしましたが、このPCI DSSはバージョンによって要件が多少異なっております。 現在弊社はバージョン3.2.1に準拠しておりますが、PCI DSS自体は2022年3月にバージョン4.0にメジャーバージョンアップされました。 今回はバージョン4.0リリースの影響と我々の取り組みについて少しご紹介したいと思います。 バージョン3.2.1とバージョン4.0について 主な変更点 機密認証データの扱い 暗号化 フィッシング攻撃への対策 公開用WebアプリケーションへのWAF導入 決済ページスクリプトの管理 パスワード関連 カード会員データ環境へのアクセスのMFA実装 監査ログレビュー 内部脆弱性スキャン リスク分析 バージョン4.0に向けた取り組み バー
2020年の1月、新年早々、SNS上で「2020/1/1から中国で『パスワード法』が制定され、ネット上で(中国製のアプリ・デバイスを利用した)個人のパスワードは全て中国政府に検閲されるようになる」と言った投稿を何度か目にしました。 おそらく2020/1/1から施行された「中国人民共和国密码法」に関する投稿かと思われますが、この法律に関しての認識があまり広まっていない結果の投稿のように思われましたので、本記事では「中国人民共和国密码法」の制定背景および条文の解釈、中国政府が企図するものについて解説していきたいと思います。 目次は以下の通りです。 「中国人民共和国密码法」とは何か暗号法の条文とその内容中国政府による暗号法の制定背景とその意義まとめー暗号法とCBDC「中国人民共和国密码法」とは何かまず「中国人民共和国密码法」とは、2019年10月26日、第14回全国人民代表大会(全人代)常務委員
楽天NFTで気づいた絶望|ヒヨコロ
おはようございます。🐤 昨日「楽天NFT」のニュースが流れて気づいたことがあります。(日経新聞ウェブサイト、無料会員登録で全文を見ることができます) 楽天NFTの概要22年春に2つのサービスを開始 1つはBtoC、1次販売のサイト 1つはCtoC、購入したユーザー間の取引(「ラクマ」のNFT版) 楽天オリジナルのブロックチェーン 楽天がすべてのNFTを発行 決済はクレジットカードもしくは楽天ポイント(暗号資産決済不可) 発行したNFTでも消去可能(違法コピーなど) 楽天のマネタイズは、1次流通は販売者から徴収、2次流通はユーザーから徴収し楽天と販売者でシェア ヒヨコロ雑感Twitterでは、「NFTの意味がない」「僕の知っているNFTと違う」など、一部でこの事業を批判するようなコメントが飛んでいて話題になりましたが、今の日本国内でNFTを事業にしたい立場から言わせると、「ほならね、自分で
この記事はKyash Advent Calendar 2020 - Adventar 11日目の記事です。 Kyashの堀川と申します。サーバーサイドエンジニアとして働いています。 普段はVisaやQUICPayの決済システムを開発するチームでシステム開発・保守を行っています。 今日は弊社で開発しているApple Pay, Google Pay関連の決済システムについてお話をしたいと思います。 KyashのApple Pay, Google Pay対応について Kyashで発行するカードはApple Pay, Google Payの対応を行っています。ウォレットアプリからKyashのカードを登録すれば、QUICPayマークがついているお店で会計時にQUICPayで支払う旨を伝え専用リーダーにデバイスをかざすだけで、簡単に支払いができるようになります。 カード登録の裏側ではカード番号を乱数な
ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができる攻撃手法を発見した」と発表しました。「PDFex」と名付けられたこの攻撃手法はPDFの仕組みそのものを悪用しているため、Adobe Acrobat Reader DCやPDF-XChange Viewerといった特定のPDFビューワーソフトだけでなく、ChromeやFirefoxなどのブラウザで閲覧した場合でもPDFの暗号化を突破されてしまうとのことです。 PDF Insecurity Website https://pdf-insecurity.org/encryption/encryption.html Researchers Find New Hack to Read Content Of Password Protected
こんにちは!ファンと共に時代を進める、Web3スタートアップのGaudiyでエンジニアをしている椿(@mikr29028944)です。 先日、Gaudiyではサーバーサイドウォレットの構築やEthereumにおけるECDSA署名の実装を行いました。 そこで今回は、少しニッチではありますが「ECDSA署名」をテーマに、Gaudiyの事業背景から、ECDSAの数学的な処理とコードまでを、実例をふまえてお伝えしてみたいと思います。 はじめに断っておくと、僕は大学時代にzk-SNARKsの理論を研究していたため、代数学を学んだことはありますが、この領域における専門家ではありません。なので理解が誤っている部分があれば、ぜひご指摘いただけると嬉しいです。 Web3スタートアップで働くことに興味がある方や、ブロックチェーンを業務で扱うエンジニアの方にご参考になればと思い、詳しく書いていたら1万5千字を超
匿名通信システムの「Tor」で使用されるノードに、悪意のあるハッカーが何千ものサーバーを追加し、ユーザーの通信を傍受していることが判明しました。セキュリティ研究者でTorのノードオペレーターでもあるnusenu氏が、情報を共有しています。 Tracking One Year of Malicious Tor Exit Relay Activities (Part II) | by nusenu | May, 2021 | Medium https://nusenu.medium.com/tracking-one-year-of-malicious-tor-exit-relay-activities-part-ii-85c80875c5df Tor security advisory: exit relays running sslstrip in May and June 2020 | T
インターネットにおける通信の安全性はTLS(Transport Layer Security)に強く依存している。TLSはアプリケーション層に依存しないように設計された通信暗号化の標準規格だ。HTTPをはじめとするさまざまなプロトコルがTLSを使って通信を暗号化している。このTLSに「ALPACA Attack」(アルパカ攻撃)と呼ばれる新しい問題が報告された。 ALPACA Attackはドイツのルール大学ボーフム、ミュンスター応用科学大学、パーダーボルン大学の研究者らによって発見された。「ALPACA」はこの問題を発表した論文「Application Layer Protocol Confusion - Analyzing and mitigating Cracks in tls Authentication」のタイトルに由来する。
ALPACA Attack
Paper Q&A How to ALPN/SNI Updates! News A big reevaluation of TLS libraries, TLS application servers, and a new internet scan by Jannik Hölling is now available in the Updates section! ALPACA will be presented at Black Hat USA 2021, USENIX Security Symposium 2021, and Real Word Crypto Symposium 2022! Recommended articles: Ars Technica (Dan Goodin), Golem (Hanno Böck; German) Introduction TLS is an
最近、ゲーム業界大手でもブロックチェーンゲーム(BCG)に参入するところが増え始めている。ブロックチェーンゲームもまた、かつてのコンシュマーゲームからみた、モバイルゲームのように既存の価値観では評価できないゲームだと感じている。また、モバイルゲームと同じように、共同開発をするけどやりたいことと文化と開発プロセスが食い違うみたいなことが発生しそうなので、予防的に書いておく。 また、ブロックチェーンゲームはどんなもので、どこに向かっていて、何を実現するのだろうか?モバイルゲームのように、文化の違いや、価値観の違いが発生し、ブロックチェーンゲームが流行ったとしてまた文化のギャップが生まれそうなので、私の分かる範囲で書いてみよう。 ブロックチェーンゲームとは?ブロックチェーンゲームとは、ビットコインやイーサリアムといった暗号通貨や、NFTといわれるデジタルアセットを使うゲームのことだ。一般的なゲー
スコットランド女王メアリー・ステュアートの50通以上の暗号の手紙(フランス国立図書館所蔵)が、筆者を含む3人の暗号研究家(ジョージ・ラスリー、ノーベルト・ビーアマン、友清理士)によって発見され、解読された。メアリーは、三度の結婚の末にイングランドで虜囚となり、幽閉生活の末、暗号の手紙が解読されてエリザベス女王暗殺を含む陰謀に加担した咎で処刑された悲劇のスコットランド女王としてあまりに有名だ。今回の手紙は、全文暗号のためいつ誰が誰に宛てて書いたかはこれまで全くわかっていなかったが、暗号解読の結果、その大半である54通はメアリー・ステュアートが1578~1584年にフランスの駐イングランド大使カステルノー・ド・ラ・モーヴィシエールに宛てて書いたものであることがわかった。そのうち1583年半ばまでの40通以上はこれまで知られていなかった手紙であり、イングランドで虜囚となっていた期間のメアリーにつ
出先などで、スマートフォンのデータ通信容量が足りなくなった、PCで大容量のファイルをダウンロードしなければいけなくなったという場合に便利な公衆Wi-Fi。飲食店やホテルなどで、実際に利用しているという人も多そうです。 ただ、何かと便利ではあるもの、不特定多数の人が接続する公衆Wi-Fiでは、気を付けておかなければいけないこともあります。今回は、そんな公衆Wi-Fiで注意すべきこと、やってはいけないことをまとめました。 暗号化されていない公衆Wi-Fiには接続しない まず大前提として、暗号化されていない公衆Wi-Fiには接続すべきではありません。さすがに少なくなってきましたが、飲食店などでは、今でも暗号化していない公衆Wi-Fiを見かけることがあります。 Wi-Fiのアクセスポイント名(SSID)は簡単に変更できるので、接続しているアクセスポイントが、悪意のある人物が盗聴や端末の乗っ取りなど
失速鮮明のNFT市場、売上もアプリDL数も90%減少 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
ブームのNFTに減速の気配が見えてきた──。ウォール・ストリート・ジャーナル(WSJ)が5月3日の記事で引用した統計サイトNonFungibleのデータによると、2021年9月には1日あたり平均22万5000個のNFTが販売されていたが、直近では1万9000個に減少し、減少幅は92%に達している。 それと同時に、NFTの購入に用いられるイーサの価格は昨年11月に4500ドルを記録したが、5月の第1週には約2800ドルに落ち込んでいる。ビットコインの価格も、同時期に6万5000ドル強を記録した後に、3万9000ドル付近に落ち込んだ(これらの価格は5月5日現在のもの)。 一方で、アプリ調査企業Apptopiaのデータで、世界最大級のNFTのマーケットプレイスのOpenSeaのアプリのダウンロード数は、1月のピーク時に1日あたり18万件を記録したが、現在は約90%マイナスの約2万件にまで急減して
本日、Wiresharkが「Development Release (3.3.0)」を公開しました。 このバージョン3.3.0ではHTTP/3のサポートが入っています。ダウンロードして早速試していきましょう。 結果 HTTP/3レイヤの単方向ストリームタイプや、フレームタイプが確認できます (QUICを復号する必要はあります) もちろん、「http3」というフィルタも使用できます。 ただ、まだ開発途中であり、基本的な部分しか実装されておりません。そのため、まだパースされない部分もたくさんありますが、今後の開発に期待です。 補足 今回はFirefox Nightly と google.com の通信をキャプチャしました 現時点でWiresharkがサポートしているのはQUIC(draft-21~draft-30), HTTP/3(draft-29), QPACK(draft-16)になります
Google、データを暗号化したまま処理する仮想マシン「Confidential VM」発表。Google Cloud Next '20:OnAir
Google、データを暗号化したまま処理する仮想マシン「Confidential VM」発表。Google Cloud Next '20:OnAir Googleは、Google Cloud上でデータを暗号化したまま処理する「Confidential VM」をオンラインイベント「Google Cloud Next '20:OnAir」で発表しました。 We’re now offering the ability to encrypt data in use—while it’s being processed. Confidential VMs, the first product in our Confidential Computing portfolio, is now in beta. Learn more at #GoogleCloudNext '20: OnAir → http
1968年~1974年にかけて、アメリカ・カリフォルニア州で少なくとも5人が殺害された未解決事件「ゾディアック事件」で、犯人が残した暗号文である「340暗号文」が51年越しに解読されたと報じられています。 Zodiac ‘340 Cipher’ cracked by code experts 51 years after it was sent to the S.F. Chronicle - SFChronicle.com https://www.sfchronicle.com/crime/article/Zodiac-340-cypher-cracked-by-code-expert-51-years-15794943.php ゾディアック事件とは、1968年に若い男女2人がサンフランシスコ近郊で射殺されたのを皮切りに、少なくとも合計5人が殺害され2人が負傷した連続殺人事件です。記事作成
メールやメッセージアプリを使えば他人へのファイル送信を気軽に実行できますが、メールやメッセージアプリでは数MBまでのファイルしか送信できず、大容量ファイルを他人に送信する場合はクラウドストレージやファイル転送サービスなどを利用する必要があります。無料で使えるファイル転送サービス「Wormhole」では、登録不要で最大10GBまでの大容量ファイルをサクッと送信可能であることに加え、エンドツーエンドの暗号化によって送信者と受信者以外にはファイルの中身を閲覧不可能にできるとのこと。めちゃくちゃ便利そうなので、実際にWormholeを使ってみました。 Wormhole - 簡単でプライベートなファイル共有 https://wormhole.app/ Wormholeにアクセスすると、以下のような画面が表示されます。 使い方は非常にシンプル。まず、送信したいファイルを画面内にドラッグ&ドロップします
暗号化したままディープラーニングの標準的な学習処理ができる秘密計算技術を世界で初めて実現:NTT持株会社ニュースリリース:NTT HOME
報道発表資料 2019年9月2日 日本電信電話株式会社 暗号化したままディープラーニングの標準的な学習処理ができる秘密計算技術を世界で初めて実現 日本電信電話株式会社(本社:東京都千代田区、代表取締役社長:澤田純、以下NTT)は、データを暗号化したまま一度も元データに戻さずに、ソフトマックス関数*1やAdam(adaptive moment estimation)*2と呼ばれる最適化処理を含む標準的なディープラーニングの学習処理を行う技術を、世界で初めて実現しました。 通常、データを利活用するためには、通信時や保管時に暗号化していたとしても、処理を行う際には元データに戻して処理する必要があります。このことは、データ所有者からすると情報漏洩のリスクを感じることから、企業秘密や個人のプライバシーに関わるデータの利活用に抵抗感を持つユーザや組織が少なくありません。特に所有者から他者、または同一組
この文章では「2019年度未踏IT人材発掘・育成事業」に採択された 「準同型暗号によるバーチャルセキュアプラットフォームの開発」について解説します。 可能な限り事前知識を仮定せずに書きましたので、ぜひご一読ください。 なお表示上の執筆者は「艮鮟鱇」となっていますが、実際の執筆はプロジェクトの採択メンバー全員に よります。 「クラウド」という言葉が市民権を獲得して久しくなりました。 一口に「クラウド」と言っても様々ですが、その多くは「他者に処理を移譲する仕組み」と 簡潔にまとめられます。例えば、GPUを使う機械学習のプログラムを書いたが手元にはGPUが無い。 そこでGPUが搭載されたクラウド上のマシンを 借りて代わりに実行してもらう、といったケースが分かりやすいでしょう。 (画像は全てクリックで拡大します) このとき、処理を実行するにあたって必要なプログラムとデータは、 もちろんクラウドに送
インターネット上の通信は「TCP/IP」と呼ばれるプロトコル群によって長年支えられてきましたが、その中核をなすプロトコルであるTCPを新しい通信規格「QUIC」へ置き換える流れが強まっています。TCPにはない暗号化機能や効率性を備えたQUICをサービスに導入する中で得られたノウハウについて、Facebookが自社のブログで語っています。 How Facebook is bringing QUIC to billions - Facebook Engineering https://engineering.fb.com/networking-traffic/how-facebook-is-bringing-quic-to-billions/ そもそも「QUIC」とは、トランスポート層のプロトコルであり最も有名な通信規格のひとつであるTCPを置き換える次世代のプロトコルを指します。QUICはも
密輸されたNVIDIAのグラボ300枚が漁船から押収される
香港海関局が密輸業者の漁船から大量の密輸品を押収したと発表しました。押収された密輸品には、300枚ものNVIDIA製グラフィックボードが含まれていたと報じられています。 Hong Kong Customs Busts GPU Smugglers, Seizes 300 Nvidia CMP 30HX GPUs | Tom's Hardware https://www.tomshardware.com/news/gpu-smugglers-300-nvidia-cmp-30hx-gpus 報じたのは地元メディアであるTVB NEWSで、密輸品の押収については以下のムービーの29分50秒辺りで触れられています。 無綫7:30一小時新聞|2021年4月3日|政府指資審會審查資格難用時間劃分|本港增兩宗確診 |台鐵出軌蔡英文總統慰問傷者及死者家屬 - YouTube TVB NEWSによれば、午前
2021年後半にリリースが予定されているWindows 11の動作には、「トラステッド・プラットフォーム・モジュール(TPM)」というセキュリティチップが必須とされています。しかし、このTPMによって保護されたPCでさえも情報が盗み取られる危険性があるとセキュリティ企業のDolos Groupが解説しています。 From Stolen Laptop to Inside the Company Network — Dolos Group https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network ある日、Dolos Groupは取引先から「情報漏えい対策を施したPCへの攻撃を行い、対策の効果を確かめて欲しい」という依頼を受けました。Dolos Groupが取引先から受け取ったPCは「
お断り この記事は『Software Design2022年3月号』の「第4章:電子署名のプロセスを体験 Pythonによる楕円曲線暗号の実装」の入稿記事を技術評論社のご好意で公開したものです。 元はLaTeXだったのをマークダウンに修正し、二つに分けています。 記事中のサンプルコードはサポートページからダウンロードできます。 はじめに この章では楕円曲線を用いた鍵共有や署名をPythonで実装します。実装するために必要な数学は随時解説します。 動作確認はPython 3.8.10で行いました。 コードは動作原理を理解するためのものであり、細かいエラー処理などはしていません。 プロダクト製品などで利用できるものではないことをご了承ください。 用語のおさらい 楕円曲線暗号の位置づけ まず最初に用語の確認をします。 「暗号」は複数の意味で使われます。 一つは「データを秘匿化するために、他人に読
はじめに おはようございます、加藤です。 Kubernetesには、Secretリソースという物が存在しDBの認証情報など秘匿する必要があるデータを格納するのに使用されます。 しかし、このSecretリソースはBase64エンコードが行われているだけなので、Secretリソースへ読み込み権限があれば誰でもデコードして平文データを取得できてしまいます。 また、Secretリソースを作成する為のマニフェストファイルにも、記述されているので、これに対して読み込み権限があれば同様に平文データの取得が可能です。 Secretの暗号化はどの様に行うか Secretの暗号化には、下記の様なツールを使う事が多いと認識しています。 shyiko/kubesec: Secure Secret management for Kubernetes (with gpg, Google Cloud KMS and A
特許:暗号の限界打ち破った発明が「基本特許」に 日本企業GVEがGAFAを超える日=大堀達也 | 週刊エコノミスト Online
2020年代半ばにも量子コンピューターが実用化すると、既存の暗号技術はすべて破られるといわれ、情報社会の根幹が崩れる。 「基本特許となりうる技術」でGAFA超えも 2022年4月26日、フィンテック(金融とITを融合させた技術)関連企業のGVE(本社:東京都中央区)が生み出した発明が日本で特許として成立した。その発明とはインターネットを介した決済などの課題であったハッキングなどサイバー攻撃によるデータ漏えいをこれまでにない高いレベルで防ぐ「サイバーセキュリティー」の仕組みだ。 ネットの「根本的欠点」 GVEの特許の正式名称は「秘密鍵方式の電子署名装置」GVE提供 GVEは17年の設立当初から、デジタル空間におけるサイバーセキュリティーは、世界の巨大IT企業も構築できていない課題と捉え、それを技術的に解決する仕組みの開発を進めてきた。その過程で中央銀行デジタル通貨(CBDC)の導入を目指すネ
調査の結果、2020年度は迷惑メールの数が200倍にも増加しており、Emotet(エモテット)と呼ばれるウイルスが、自分自身をZIPで暗号化することでウイルススキャンを回避、猛威を奮っていたことも明らかになった。「PPAP」と呼ばれるメール添付による暗号化ZIPファイルのやりとりが狙われているわけだ。そうした脅威から自社を守るために取り組んだ2つのセキュリティ強化策について紹介する。
TLS 1.3 学習ノート
はじめに これは筆者が TLS 1.3 を学習した時のメモを記事にしたものです。 内容の正確性は担保できませんので、あらかじめご了承ください。 参考にした書籍 プロフェッショナルSSL/TLS (ISBN: 978-4-908686-00-9) ラムダノートでを購入するとダウンロードできる特別版PDFも参照しています 徹底解剖 TLS 1.3 (ISBN: 978-4-7981-7141-8) 参考にしたウェブサイト うるふブログ | wolfSSL Wikipedia IT用語辞典 e-Words TLS とは? TLS は Transport Layer Security の略で、インターネット上で安全に通信を行うためのプロトコルです。 インターネット上で安全に通信を行う必要性 前提として、インターネットはセキュリティが考慮されていません。 もともとインターネットは、大学間で少数のノー
The long-running BBC sci-fi show Doctor Who has a recurring plot device where the Doctor manages to get out of trouble by showing an identity card which is actually completely blank. Of course, this being Doctor Who, the card is really made out of a special “psychic paper“, which causes the person looking at it to see whatever the Doctor wants them to see: a security pass, a warrant, or whatever.
MBA・経営学修士課程の最終試験に合格したり、ロースクールの試験で合格したりと、その回答精度の高さが注目を集めているのがチャットAIの「ChatGPT」です。そんなChatGPTを使い、ゲームに隠された暗号を解読することに成功した事例が登場しました。 ChatGPT Solved A Fortnite Mystery - GameSpot https://www.gamespot.com/articles/chatgpt-solved-a-fortnite-mystery/1100-6511877/ Epic Gamesが開発・販売するバトルロイヤルゲームのフォートナイトでは、ゲームのアップデートに関するヒントを難解なメッセージとして発信することがあります。2023年2月28日には、次期アップデートに関するツイートを投稿するフォートナイト公式アカウントのひとつであるFortnite Sta
これから日本の大組織が悩む、自動暗号化Zipファイルの代わりをどうすべきか問題|楠 正憲(Japan Digital Design CTO)
内閣府・内閣官房がメールサーバーの設定を変更して添付ファイルを自動的に暗号化Zipに変換する仕組みを停止させた。情報処理学会の機関誌『情報処理』が7月号で暗号化Zipメールの小特集を組み、10月に入ってデジタル改革アイデアボックスに暗号化Zipの添付廃止が提言され、11月24日平井卓也デジタル大臣が記者会見で自動暗号化ZIPファイルと同一経路を使ったパスワード別送の廃止を表明、翌25日から内閣府・内閣官房のメールサーバーの設定が変更された。 電子メールの添付ファイルの自動暗号化Zip化は、金融機関や通信キャリアなど日本を代表する組織の多くで現在も使われていることから、今後、各組織で暗号化Zipファイルを廃止すべきか否か、議論が進むものと考えられる。 暗号化Zipファイル添付の何が悪かったのか自動暗号化Zipファイルの問題は、データを保護する上で全く効果がないにも関わらず、サンドボックスによ
中国では国内のインターネット通信を監視するために国家規模の検閲システム「グレートファイアウォール(金盾)」が配備されています。グレートファイアウォールの仕組みを調査している「Great Firewall Report」は、2021年から始まった「暗号化された通信を対象とした検閲」の解析結果を分析し、検閲の回避策を編みだしました。 How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic https://gfw.report/publications/usenixsecurity23/en/ Our joint work at #USENIXSecurity23 exposed & bypassed the Great Firewall of China's latest censorship wea
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
sigstoreによるコンテナイメージやソフトウェアの署名 - knqyf263's blog
SSL通信も量子コンピュータの前では無意味に? 今から備えるべき「耐量子コンピュータ暗号」とは
PCI DSSバージョン4.0について - ROBOT PAYMENT TECH-BLOG
中国の「密码法(暗号法)」の内容と意義。中国政府の意図、規定される暗号の種類とは?
KyashのQUICPayを支える決済システム概要 - Swing Life Away
PDFファイルを開くだけで暗号化された内容が流出する脆弱性「PDFex」が発見される
ECDSA署名の数学的理解とCloud KMSによる実装 - Gaudiy Tech Blog
ハッカーが匿名通信「Tor」に悪意のあるノードを追加し通信を傍受
TLS通信を狙った「アルパカ攻撃」が発見される 脆弱(ぜいじゃく)なサイトの割合は?
ブロックチェーンゲームを作る価値観と未来への挑戦|かえるD
メアリー・ステュアートの暗号の手紙(1578-1584):50通以上を発見・解読
指紋認証付き外付けSSDで作れる「持ち運べて安全なOS環境」、ちょっと近未来を体験 Chrome OS系の「CloudReady」最大活用で家族に秘密のプライベート環境も構築可能に text by 石田賀津男
公衆Wi-Fiを利用する際にやってはいけないこと 通信内容を盗み見られる場合も
【Ubuntu日和】 【第37回】UbuntuでもBitLockerのようなストレージ暗号化を実現してみよう
WiresharkがHTTP/3に対応した - ASnoKaze blog
謎の連続殺人事件「ゾディアック事件」の暗号文が51年間越しに解読される、その全容とは?
無料で最大10GBの大容量ファイルを暗号化して安全に送信できるウェブサービス「Wormhole」を使ってみたよレビュー
そのクラウド、信用できますか? 〜プログラムを暗号化したまま実行する〜
Facebookは次世代プロトコル「QUIC」をどのように導入しサービスを高速化したのか?
Windows 11に必須な「TPM」で保護されたPCから情報を盗み出す手口をセキュリティ企業が解説
楕円曲線暗号のPythonによる実装その1(有限体とECDH鍵共有)
なぜ、Kubernetesを使う際にSecretを暗号化するのか? | DevelopersIO
害悪とまで言われる日本特有のメールセキュリティ「PPAP」から企業はどう脱出するか
CVE-2022-21449: Psychic Signatures in Java
ChatGPTがゲーム「フォートナイト」に隠された暗号を解読することに成功
中国のネット検閲「グレートファイアウォール」による「暗号化された通信の検閲」を回避する試み