パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

12767596 story
アメリカ合衆国

FBI、脆弱性を利用したと言われているiPhoneのロック解除方法を公開しない方針に 9

ストーリー by hylom
そんな気はしていた 部門より
あるAnonymous Coward 曰く、

FBIがiPhone 5cのロック解除に用いたのはプロのハッカーから買い取ったゼロデイ脆弱性だった?」という話があったが、FBIはこのロック解除手法について、米政府のVulnerability Equities Process(VEP、脆弱性公平プロセス)ガイドラインに基づく情報公開を行わない方針のようだ(CNET JapaniPhone ManiaReutersSlashdot)。

FBIはこれについて「意味のある精査ができるほど十分な技術情報をわれわれは持ち合わせていない」と述べている模様。

12754898 story
プライバシ

バックドア提供を拒む企業に制裁を行う「アンチ暗号化法案」 23

ストーリー by hylom
ビッグブラザーが見てる 部門より
あるAnonymous Coward 曰く、

米共和党Richard Burr氏と同民主党Dianne Feinstein氏が「アンチ暗号化法案」を公開した。この法案はiPhoneの暗号化問題に端を発したもので、企業に対して、「即応的で明瞭な情報やデータ、またはそうしたデータを入手するための適切な技術的協力を直ちに提供する」ことを義務付ける内容。ホワイトハウスも一時はテロ対策のために暗号化解除には前向きな姿勢を見せていた(TechCrunchDianne FeinsteinCNET JapanReutersBLOGOSSlashdot)。

しかし、現在ホワイトハウスは法案のフィードバックを検討しているものの、公的介入は最小限にすべきだろうととして慎重な立場に変わりつつあるようだ。理由としてはIT企業や市民団体の抵抗が強いことと、ハイテク製品への法執行機関へのアクセスを義務付けることはハッカーや外国の​​諜報機関への扉も開き、セキュリティ弱体化に繋がりかねないという意見が強まっているためだ。また、現在進行中の米大統領選への影響も考えているのかもしれない。

12754720 story
暗号

無料でSSL/TLS証明書を発行するLet's Encryptが正式サービスを開始 34

ストーリー by hylom
そろそろ試してみよう 部門より
Printable is bad. 曰く、

無料でSSL/TLS証明書を発行するプロジェクト「Let's Encrypt」が、オープンベータテストを終えて正式サービスを開始した(公式発表公式発表の和訳GIGAZINE)。

2015年9月のベータテスト開始以来、Let's Encryptの証明書発行数は急増しており、380万以上のウェブサイトに対して、170万枚以上のサーバ証明書を発行するに至っている。

Let's Encryptでは、IETFで標準化されているACMEというオープンプロトコルで証明書の発行手続きを完全自動化しており、いくつかのコマンドを実行するだけで簡単に証明書を取得することができる。

ファーストサーバWordPress.comなど、ホスティングサービスへのLet's Encryptの導入も進んでおり、Webサイトの常時暗号化が一般的になる日もそう遠くないかもしれない。

12753889 story
暗号

カナダ警察、2010年からBlackBerryのメッセージを復号するマスターキーを持っていた 13

ストーリー by headless
合鍵 部門より
カナダの王立カナダ騎馬警察(RCMP)が2010年からBlackBerry Messengerで送受信されるメッセージを復号可能な「マスターキー」を持っていたことが、裁判記録から明らかになったそうだ(Motherboardの記事VICE Newsの記事The Vergeの記事The Registerの記事)。

この裁判は犯罪組織同士の抗争による殺人事件をRCMPが捜査していた「Project Clemenza」に関するもの。捜査は2010年から2012年まで行われ、RCMPではBlackBerryで送受信される暗号化されたメッセージ100万件以上を傍受したという。これらのメッセージや他の証拠から6人の男が殺人罪で有罪判決を受けたが、RCMPが傍受したメッセージを復号できていたという事実も判明した。

BlackBerry Enterprise Serverを使用していないアカウントの場合、BlackBerryでは端末が保持している共通の暗号鍵を用いてメッセージを暗号化/復号する。RCMPは何らかの方法で共通の暗号鍵を入手しており、プロバイダーの協力を得てメッセージを傍受し、復号を行っていたとのこと。RCMPは共通の暗号鍵を端末から抽出した可能性もあるが、RIM(現在のBlackBerry)に捜査への協力を求めていたことが判明しており、BlackBerryが提供したとの見方が強いようだ。

この件以降、BlackBerryが共通の暗号鍵を変更した可能性は低い。変更されていても、RCMPは新しい暗号鍵を入手可能だ。そのため、BlackBerry Enterprise Serverを使用していないアカウントのメッセージについては、RCMPが現在でも復号できる可能性が高いとみられている。
12731464 story
iOS

iMessageに添付ファイルの暗号化が解読される脆弱性 5

ストーリー by hylom
むしろ偽装サーバーのほうに興味がある 部門より
あるAnonymous Coward 曰く、

ジョンズホプキンス大学の研究者らが、iMessageで送った写真やビデオやファイルの中身を見られてしまう脆弱性を発見した(TechCrunchINTERNET Watch)。

iMessageでメッセージを送受信する際、その中身は暗号化されてやり取りされる。今回発見された脆弱性ではメッセージは解読できないものの、添付されているファイルを第三者が解読できるというものだそうだ。また、Appleのサーバーに偽装したサーバーを使ってやり取りされるメッセージを傍受することにも成功しているという。ただし、攻撃を実行するは膨大なリソースが必要であることもあって、現時点では実際に悪用された証拠は確認されていないとのこと。

Appleは先日リリースされたiOS 9.3でこの問題を修正しているとのこと。

12724453 story
インターネットエクスプローラ

4月の月例更新でIE 11とMicrosoft EdgeでのRC4暗号サポートがデフォルトで無効化へ 17

ストーリー by headless
終了 部門より
Microsoftは16日、Internet Explorer 11およびMicrosoft EdgeでのRC4暗号サポートを4月に終了することを発表した(Microsoft Edge Dev Blogの記事Neowinの記事VentureBeatの記事)。

4月12日の月例更新でパッチが配布され、デフォルトでRC4暗号は無効となる。RC4暗号の危険性は以前から指摘されており、Microsoftでは2013年からRC4暗号の無効化を推奨している。

昨年9月1日にはMicrosoftとGoogle、Mozillaが同時にWebブラウザーにおけるデフォルトでのRC4暗号無効化を2016年の早い時期に実施することを発表。GoogleとMozillaはそれぞれ1月にリリースしたFirefox 44とChrome 48でRC4暗号をデフォルトで無効にしている。
12723888 story
暗号

iPhoneのロック解除に関し、AppleにFBIへの協力を強制する裁判所命令が出た場合、Appleのエンジニアが協力を拒否する可能性 87

ストーリー by headless
拒否 部門より
テロ容疑者の使用していたiPhoneのロック解除について、Appleの協力を強制する裁判所命令をFBIが勝ち取っても、すんなりとはロック解除できるようにならない可能性があるとNew York Timesが指摘している(The New York Timesの記事Consumeristの記事9to5Macの記事TNW Newsの記事)。

Appleが会社として裁判所命令に従うしかない状況となっても、Appleのエンジニアが従うとは限らない。既にAppleの従業員たちは捜査当局への協力を命じられた場合にどうするかを話し合っているそうだ。中にはそのような仕事にためらいがあるという人もいれば、自分たちが作った製品のセキュリティを低下させるぐらいなら辞職するという人もいるという。

権力への反抗はスティーブ・ジョブズ氏とスティーブ・ウォズニアック氏がAppleを創業して以来の企業文化であり、個人の価値観に合わない仕事を強制することは容易ではないという。高い技術を持つセキュリティエンジニアへの需要は高く、仕事を失うことを恐れていない。こういったエンジニアを受け入れる企業側では、政府の意図に対する懐疑的な見方をAppleと共有するという名誉をも得られる。一方、Appleの従業員は辞職までしなくても、欠勤することで協力を拒否することも可能だ。

FBIではAppleに対し、昨年12月に米カリフォルニア州サンバーナーディーノで発生した銃乱射事件の容疑者が使用していたiPhone 5cに限り、総当たりでPINコードによるロック解除を制限なく試行できるようにするソフトウェア(改造版iOS)の提供を求めている。このソフトウェアは「GovtOS」とも呼ばれているが、主要なエンジニアが協力を拒否した場合には完成させることが困難になるとみられる。
12719566 story
プライバシ

iPhoneロック解除問題が「WhatsApp」にも飛び火か 10

ストーリー by hylom
今後ほかのアプリやサービスでも同様の話は続くかも 部門より
あるAnonymous Coward 曰く、

iPhoneロック解除問題が人気のメッセージングアプリ「WhatsApp」にも飛び火したらしい。米司法省は犯罪捜査のために連邦判事から盗聴許可をとってWhatsApp上の会話にアクセスしようとしたが、暗号化技術が障害になって捜査が進められない状況になっているという(日経ITproNew York TimesSlashdot)。

WhatsAppは昨年、Open Whisper Systemsによって開発された暗号化技術を実装しており、暗号化されたユーザーの会話は同社でも見ることはできない。米司法省がこの先どのような措置を講じるかはまだ決まっていないが、Appleと同様に法廷闘争に発展する可能性もあるとのこと。

12707362 story
暗号

クロスプロトコル攻撃が可能となるSSLv2の脆弱性「DROWN」 21

ストーリー by hylom
古い規格は積極的にオフにしましょう 部門より
headless 曰く、

クロスプロトコル攻撃が可能となるSSLv2の脆弱性「DROWN (Decrypting RSA with Obsolete and Weakened eNcryption)」の詳細が公表された(The DROWN AttackOpenSSL BlogRed Hat Security BlogJVNVU#90617353)。

SSLv2の安全性が低いことは知られているが、多くのサーバーでSSLv2のサポートが有効になっている。TLSをサポートするサーバーとクライアントとの間では、SSLv2が有効になっていても実際の通信に使われることはないため、サーバーによるSSLv2のサポートはセキュリティーリスクとみなされていなかった。

DROWNではサーバーとクライアントがTLSで通信していても、攻撃者はSSLv2接続でパディングオラクル攻撃を仕掛けて暗号を解読できる。サーバーがSSLv2を有効化している場合のほか、クライアントが接続しているサーバーでSSLv2を有効化していなくても、秘密鍵を共有する他のサーバーでSSLv2を有効化している場合にはDROWNの影響を受ける。たとえば、SSLv2がメールサーバーで有効になっていて、SSLv2を無効にしたWebサーバーと秘密鍵を共有している場合、メールサーバーにパディングオラクル攻撃を行い、Webサーバーでの暗号化された通信を解読できる。

The DROWN Attackによると、HTTPSサーバー全体のうち17%がSSLv2を有効化しており、16%がSSLv2を有効にした他のサーバーと公開鍵を共有している。合計するとDROWNの影響を受けるHTTPSサーバーは全体の33%となり、上位100万ドメインでも25%に上るという。

サーバー管理者はSSLv2を無効化することでDROWNに対処できる。ただし、SSLv2の無効化はサーバーソフトウェアによって複雑な処理が必要なこともある。OpenSSLの場合は、簡単な対処方法として最新版への更新が推奨されている。IISではバージョン7.0以降、NSSではバージョン3.13以降で、SSLv2がデフォルトで無効となっている。これらのソフトウェアを使用している場合でも、The DROWN Attackが提供している脆弱性チェックツールでの確認が推奨される。

DROWNはサーバー側での対処が必要であり、クライアント側では特にできることはない。利用するWebサイトがDROWNの影響を受けるかどうか、上述の脆弱性チェックツールで確認しておくといいだろう。The DROWN AttackではAlexaトップ10,000サイトで脆弱性のあるドメインをリストアップしているが、リストには日本のWebサイトも多数含まれている。

12695455 story
暗号

暗号化技術がなければパリ同時多発テロは起きなかった? 87

ストーリー by hylom
責任転嫁? 部門より
あるAnonymous Coward 曰く、

米国家安全保障局(NSA)のマイケル・ロジャース局長が、「暗号化技術がなかったら、昨年11月のパリ同時多発テロは起きなかっただろう」と発言していたという(Ars TechnicaSlashdot)。

テロリストは行動計画の連絡のために暗号化技術を使用し、そのためにテロ計画を事前に察知できなかったと、というのが氏の主張だ。しかし、フランス当局は「テロリストは暗号化されたメッセージングアプリではなく、標準的なメッセンジャーを使用していた」と発表しており、この主張は矛盾する部分があるようだ。

なお、同氏はFBIが主導している暗号化のバックドア義務化については「時間の無駄」だとして一定の距離を置いている。しかし、暗号化がNSAと法執行機関の仕事をより困難にしていることは間違いないと語っている。

12693868 story
iOS

ジョン・マカフィー曰く: iPhoneにバックドアは不要、うちのチームが3週間で暗号化を解除する 51

ストーリー by headless
豪語 部門より
米連邦捜査局(FBI)がAppleに要求しているiOSへのバックドア設置について、2016年米大統領選挙にも出馬を表明しているジョン・マカフィー氏が自分にまかせればバックドアなどなくても暗号化解除できると主張している(Business Insiderの記事Neowinの記事Softpediaの記事Ars Technicaの記事)。

FBIでは昨年12月にカリフォルニア州サンバーナーディーノで発生した銃乱射事件について、犯人が所有していたiPhone 5cの暗号化を解除するため、専用のiOSを作って提供することをAppleに要求し、裁判所命令も勝ち取っている。iOSではPINによるロック解除を数回失敗すると次の試行が可能になるまでの待ち時間が長くなっていく。また、iOS 8以降では端末内のデータが暗号化され、PINによるロック解除10回失敗するとデータが消去される仕組みが導入されている。裁判所ではデータ自動消去のバイパス/無効化に加え、電子的にPINコードによるロック解除を試行できるようにし、待ち時間なしにロック解除試行の繰り返しを可能にするソフトウェアの提供をAppleに命じている(PDF)。これに対してティム・クック氏は、iOSにバックドアを設置するもので、使用が今回に限られるとは保証されないなどと反論している。

マカフィー氏はサイバーセキュリティの観点からiOSへのバックドア設置は非常に危険であり、機密情報へのアクセスを敵に許すも同然だなどと主張。FBIがスタンフォード大学のコンピューターサイエンス学科卒業生を部屋いっぱいに集めても、本物のハッカーには太刀打ちできないと述べ、最も優秀なハッカーを集めた自分のチームによる無料での暗号化解除を提案している。

マカフィー氏によれば、主にソーシャルエンジニアリングの手法を用いることで、暗号化は3週間以内に解除できるとのこと。万が一暗号化の解除に失敗した場合はテレビ番組で自分の靴を食べてみせるとし、信用できないならGoogleで「cybersecurity legend」を検索して誰の名前が10位までに表示されるか確認すればいいとも述べている。
12691641 story
DRM

FFmpeg 3.0リリース、DRMに使われるCommon Encryptionに対応 15

ストーリー by hylom
そんなものがあったのか 部門より
あるAnonymous Coward 曰く、

2月15日、マルチメディアフレームワーク「FFmpeg 3.0」がリリースされた(PhoronixOSDN Magazine)。

本バージョンでは新たにGoogle WidevineMicrosoft PlayReadyなどのUltraViolet承認DRMに使われているCommon Encryption (CENC、ISO/IEC 23001-7) MP4のエンコード/デコードに対応した。

そのほか内蔵AACエンコーダの音質の大幅な改善 (ただしまだlibfdk_aacには劣る)、ブルーレイに使われるDTS-HDマスターオーディオに完全対応した新DCAデコーダ、音源をヘッドホン向け立体音響(バイノーラル)に変換するSOFAlizerフィルタなどが搭載された。GoPro CineForm (VC-5)のデコーダやDirac Pro (VC-2) HQプロファイルのデコーダ/エンコーダなども追加されている。

12689554 story
暗号

米政府による暗号化通信に対する規制は無意味? 4

ストーリー by hylom
過去にもこんな話を見たような 部門より
あるAnonymous Coward 曰く、

FBIはテロ対策を名目に暗号化通信に情報機関向けのバックドア設置を義務付けるよう政治家や企業に対して働きかけていた。しかし、ハーバード大学の研究によると、こうした法制化は企業の海外逃亡を促すだけだという(DailyDot)。

たとえば、暗号化通信を手がけるSilent Circleは、米政府のこうした動きを嫌って2014年にカナダへ脱出。オープンソースプロジェクトなどは、バックドアを否定するオランダのような国に拠点を移す動きもあるそうだ。暗号化は世界的な学問であり、新たな暗号化規格は米国以外から提案されることが多い。このため、暗号化を米国が規制してコントロールすることは不可能だとしている(Slashdot)。

12689537 story
暗号

Bitcoinウォレットで使われる「Brain wallet」を高速かつ安価にクラックする方法が発見される 9

ストーリー by hylom
弱いところが狙われる 部門より
taraiok 曰く、

ビットコインでは、「ウォレット(Wallet)」と呼ばれるツールで所有するビットコイン残高を管理するのが一般的だ。ウォレットにはバックアップ等に使われる「Brain wallet」という仕組みがあり、これを利用することで使用しているウォレットツールに万が一アクセスできなくなった場合でも、別のツールなどに情報を引き継ぐことが可能になる。このBrain walletで使われているパスフレーズを、高速かつ安価に解析する方法が発見されたという(SoftPedia解説論文PDFSlashdot)。

Brain walletは、任意の文字列(パスフレーズ)から生成された256ビットのハッシュを暗号鍵として使用する仕組み。256ビットのバイナリデータをデジタルデータ以外の形で管理するのは大変だが、文字列であれば管理しやすいため「脳で管理できるウォレット」という意味で「Brain wallet」と呼ばれている。

Brain walletでは暗号化のために「ソルト」が使われていないなど、セキュリティの弱さが以前から指摘されていた。今回発表された論文では、そのようなBrain walletの実装上の問題点を突くことで、従来の手法よりも2.5倍高速に解析できるとしている。

また、実存するBitcoinウォレットのパスフレーズ18,000個をクラックすることにも成功。得られたパスフレーズには「Arnold Schwarzenegger」のような単純なものもあったという。さらにこの攻撃は安価に実行できるそうで、たとえばAmazon EC2を使用する場合、毎秒50万ビットコインのパスワードを確認でき、1兆個のパスワードをチェックするための費用はわずか55.86ドルだという。

12656504 story
暗号

オランダ警察、「PGP Blackberry」使われているPGP暗号化されたメールを解読していた 29

ストーリー by hylom
PGP一般の問題なのかそれとも 部門より
あるAnonymous Coward 曰く、

Blackberryには軍事レベルのセキュリティを持つという「PGP Blackberry」という高価なモデルが存在する。この端末ではメールはすべてPGPで暗号化されて扱われるという。しかし、オランダのブログメディアによると、オランダ科学捜査研究所がこのPGP Blackberry上に保存されていた暗号化メールの解読に成功したという。メディアが同研究所に問い合わせたところ、解読は事実だと認めたそうだ(Naked SecurityMOTHERBOARDGIZMODOSlashdot)。

科学捜査研究所はPGP Blackberry1台から325件のEメールを取り出し、そのうちの279件の暗号を解除することができたとしている。オランダの機関が解読に熱心なのは、PGP Blackberryがセキュリティ能力の高さから犯罪組織の連絡に広く利用されているためだとしている。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...