アカウント名:
パスワード:
Four Questions for Bruce Schneier on the GSM Cipher Crack [threatpost.com]を大まかに訳してみた。間違ってても知らない。後半のSSLの話あたりがいまいち意味不明だったので誰か適当に補完してくれ。
数学は難しいし、暗号はさらに難しい。3G GSMの暗号が破られたというので、数学者で暗号学者でもあるブルース・シュナイアーにKASUMIへの攻撃とその影響を聞いてみた。以下がその内容。この攻撃はどんなもんよ?「なかなか良いね。実際のトラフィックを破れるかとか役に立つかどうかは分かんないけど。あくまで学術的な研究だけど、攻撃であることには変わらんし。でも複数の平文とrelated keyが必要だから、現実問題として実際やるのは難しいよ」これは先月のA5/1への解読と関係あんの?「全然。紛らわしいけど似てんのは名前だけ」暗号自体への攻撃よりも、暗号の実装への攻撃をよく見掛けるけど、暗号アルゴリズム自体への攻撃はやっぱ難しいの?「その二つは別物なんだよね。暗号屋としては実装への攻撃は考慮しないと言うかもしれないけど、セキュリティ屋としては逆に暗号自体への攻撃は考慮しないと言うかもしれない。NSAの連中なら、両方考慮に入れるだろうけどね。これは数学的な攻撃で、実装への攻撃じゃないんだ。実際には暗号実装上のミスの方がずっと多いんだけどね」もう3G携帯は海に捨てた方が良いの?「いや。実際携帯を捨てなくちゃいけないような攻撃なんてあり得ないよ。現実的な攻撃法があるSSLを見てみな」
数学は難しいし、暗号はさらに難しい。3G GSMの暗号が破られたというので、数学者で暗号学者でもあるブルース・シュナイアーにKASUMIへの攻撃とその影響を聞いてみた。以下がその内容。
この攻撃はどんなもんよ?「なかなか良いね。実際のトラフィックを破れるかとか役に立つかどうかは分かんないけど。あくまで学術的な研究だけど、攻撃であることには変わらんし。でも複数の平文とrelated keyが必要だから、現実問題として実際やるのは難しいよ」
これは先月のA5/1への解読と関係あんの?「全然。紛らわしいけど似てんのは名前だけ」
暗号自体への攻撃よりも、暗号の実装への攻撃をよく見掛けるけど、暗号アルゴリズム自体への攻撃はやっぱ難しいの?「その二つは別物なんだよね。暗号屋としては実装への攻撃は考慮しないと言うかもしれないけど、セキュリティ屋としては逆に暗号自体への攻撃は考慮しないと言うかもしれない。NSAの連中なら、両方考慮に入れるだろうけどね。これは数学的な攻撃で、実装への攻撃じゃないんだ。実際には暗号実装上のミスの方がずっと多いんだけどね」
もう3G携帯は海に捨てた方が良いの?「いや。実際携帯を捨てなくちゃいけないような攻撃なんてあり得ないよ。現実的な攻撃法があるSSLを見てみな」
オバマ大統領は確かhttp://www.gdc4s.com/content/detail.cfm?item=32640fd9-0213-4330-a742-5... [gdc4s.com]を宛がわれたはず。外務省や関係機関の内情は過去記事にありました。外務省はTorを使ってたくらいですから、いまだとスマートフォンやらにPhonecryptやら入れて使っているんではなかろうかと邪推。
高度に政治的な案件では直接セキュリティの高いところ、例えば料亭なんかで話すでしょう。地元事務所にも普通の会議室と密談用があって、後者には平の私設秘書すら入れないそうです。物はヤマハのセフィーネⅡ 広さから多分AMC43でした。これを事務所のフロアに入れてましたね。最近は携帯電話に音声録音機能があるので、その部屋に入る際はロッカーに携帯電話を必ず入れてもらう程度の意識はあるようです。機密クラスの文書も手渡しで、読んだら目の前で焼いてもらうとか、有形のものには気を使ってます。
PC関連はさすがに詳細はお口にチャックですが、有線がある範囲での無線LAN禁止、出先ではEnd-to-ENDのIPSecVPN上でVNCのような、ローカルにファイルを置けない仕掛けにしました。紛失したら即電話でRJ-45を抜けばOKという感じで。私向けの穴は一応掘ってありますが、電話をかけて折り返しでかけなおした後、サーバ側の人がVirtualI/Fを開けると、代議士を含む主要メンバーにメールが飛ぶ仕掛けになっていますのでこっそり悪いことはできません。しがらみやらで社会的に抹殺されるので。
とまあ、この程度のことまでは国会議員クラスでもやってるし、多分ウチが一番堅牢でしょう。秘書さんにも元同業がいてとりあえず作りこんでおけば普段のオペレーションはその人がちゃちゃっと解決しちゃうレベルなので。
ただ、「メタルのPSTNは安全ではない」という説明と、「電波は傍受される」という説明を納得してもらうのが大変でした。宮本議長電話傍受事件を持ち出したり、WEP解読デモをやって何とか納得してもらった覚えが。前者はVPN+Asteriskかなと考えていたのですが、代議士から「そもそも電話で洩れたら大変な話はしないよ」と助言を頂いたので0AB-J型の光IP電話、携帯を使う話のレベルは喫茶店で立ち聞きされても問題ない程度のレベルという周知で解決しました。
ということで、やっぱり秘書さんの手帳や実際に会ってそれなりの設備のところで話すのが一番安全だ、というなんだかなーという結論に。名簿管理とかPIMなど、電子化した方が便利な部分は他の事務所より堅くなってるはずですがその中には機密性の高いものはそんなに入っていないと。
私の聞き知るほかの事務所はバックアップなしのスタンドアロンなPCとか、もっとひどい例になると名簿管理システムのサーバ機で何でもかんでもやってるとか・・・orz ゼンリンが「当選箱」のクライアントパッケージを安くするなり、選挙期間だけ有効な入力のみのクライアントライセンスやソリューションを提供してくれれば他もましになるんですが。
#いや、現状でも「持ち出し」状態なのは重々承知なんですがデスクトップ機のMS SQL Serverで40万レコードを超える#DBを手作業でいじるには現在のシステムは名簿管理人には厳しいのですよ。MDB決め打ちとか勘弁してくれと。Accessじゃないんだから。#特に選挙期間中は毎日のように数千件近いUPDATEをかけるので、結局選挙前にみっちり整備した名簿を紙に打ち出して#差分を短冊にして元の名簿に糊で貼り付けていくという人海戦術の方がましな状態だったり...#出力をExcelでひたすらコピペする作業はもう嫌です。なんとかならんですか>ゼンリン
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
KASUMIへの攻撃についてシュナイアー先生に聞いてみたを訳してみた (スコア:5, 参考になる)
Four Questions for Bruce Schneier on the GSM Cipher Crack [threatpost.com]を大まかに訳してみた。
間違ってても知らない。後半のSSLの話あたりがいまいち意味不明だったので誰か適当に補完してくれ。
攻撃方法の存在 (スコア:2, 興味深い)
国会議員やキャリア官僚は、各国の諜報機関に傍受されてはいけないから携帯を使わないそうだけど、これは裏を返せば、公表はされてないけど即座に実行可能な攻撃手段が存在するって事だよね?
アメリカだったら、要職にある人はGSMを直接使うんじゃなくて、わざわざGSM回線にプライベートな暗号を載っけた携帯システム [gdc4s.com]を使ってるそうだし。
国会議員は割と無頓着ですよ 電話では重要なことしゃべりませんから (スコア:2, 興味深い)
オバマ大統領は確かhttp://www.gdc4s.com/content/detail.cfm?item=32640fd9-0213-4330-a742-5... [gdc4s.com]を宛がわれたはず。
外務省や関係機関の内情は過去記事にありました。外務省はTorを使ってたくらいですから、いまだとスマートフォンやらにPhonecryptやら
入れて使っているんではなかろうかと邪推。
高度に政治的な案件では直接セキュリティの高いところ、例えば料亭なんかで話すでしょう。
地元事務所にも普通の会議室と密談用があって、後者には平の私設秘書すら入れないそうです。
物はヤマハのセフィーネⅡ 広さから多分AMC43でした。これを事務所のフロアに入れてましたね。
最近は携帯電話に音声録音機能があるので、その部屋に入る際はロッカーに携帯電話を必ず
入れてもらう程度の意識はあるようです。
機密クラスの文書も手渡しで、読んだら目の前で焼いてもらうとか、有形のものには気を使ってます。
PC関連はさすがに詳細はお口にチャックですが、有線がある範囲での無線LAN禁止、出先ではEnd-to-ENDのIPSecVPN上でVNCのような、
ローカルにファイルを置けない仕掛けにしました。紛失したら即電話でRJ-45を抜けばOKという感じで。
私向けの穴は一応掘ってありますが、電話をかけて折り返しでかけなおした後、サーバ側の人がVirtualI/Fを開けると、代議士を含む
主要メンバーにメールが飛ぶ仕掛けになっていますのでこっそり悪いことはできません。しがらみやらで社会的に抹殺されるので。
とまあ、この程度のことまでは国会議員クラスでもやってるし、多分ウチが一番堅牢でしょう。秘書さんにも元同業がいて
とりあえず作りこんでおけば普段のオペレーションはその人がちゃちゃっと解決しちゃうレベルなので。
ただ、「メタルのPSTNは安全ではない」という説明と、「電波は傍受される」という説明を納得してもらうのが大変でした。
宮本議長電話傍受事件を持ち出したり、WEP解読デモをやって何とか納得してもらった覚えが。
前者はVPN+Asteriskかなと考えていたのですが、代議士から「そもそも電話で洩れたら大変な話はしないよ」と助言を頂いたので
0AB-J型の光IP電話、携帯を使う話のレベルは喫茶店で立ち聞きされても問題ない程度のレベルという周知で解決しました。
ということで、やっぱり秘書さんの手帳や実際に会ってそれなりの設備のところで話すのが一番安全だ、という
なんだかなーという結論に。名簿管理とかPIMなど、電子化した方が便利な部分は他の事務所より堅くなってるはずですが
その中には機密性の高いものはそんなに入っていないと。
私の聞き知るほかの事務所はバックアップなしのスタンドアロンなPCとか、もっとひどい例になると名簿管理システムの
サーバ機で何でもかんでもやってるとか・・・orz ゼンリンが「当選箱」のクライアントパッケージを安くするなり、
選挙期間だけ有効な入力のみのクライアントライセンスやソリューションを提供してくれれば他もましになるんですが。
#いや、現状でも「持ち出し」状態なのは重々承知なんですがデスクトップ機のMS SQL Serverで40万レコードを超える
#DBを手作業でいじるには現在のシステムは名簿管理人には厳しいのですよ。MDB決め打ちとか勘弁してくれと。Accessじゃないんだから。
#特に選挙期間中は毎日のように数千件近いUPDATEをかけるので、結局選挙前にみっちり整備した名簿を紙に打ち出して
#差分を短冊にして元の名簿に糊で貼り付けていくという人海戦術の方がましな状態だったり...
#出力をExcelでひたすらコピペする作業はもう嫌です。なんとかならんですか>ゼンリン
Re:攻撃方法の存在 (スコア:1)
Re: (スコア:0)
すれば、現実的な時間の後、内容を取得することができるシステムが構築可能で
あることは間違いないでしょう。
クラウドすれば端末はコード採取->復号鍵要求->復号鍵取得->復号鍵を使用して音声再生
端末は携帯電話の処理速度レベルで出来るかも。