パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

14965517 story
暗号

東芝が量子暗号通信を事業化へ。2035年度に世界市場シェア25%を目指す 55

ストーリー by nagazou
通信部以外のセキュリティも高めてね 部門より
東芝は7月に量子暗号通信網の共同研究開発の話をしていたが、10月19日には「量子暗号通信」を使った事業を始めると発表した。量子暗号通信を使ったシステムインテグレーション事業は日本では初めてだとのこと(東芝ITmedia日経新聞)。

東芝によれば、専用の光ファイバーを使用して2点間をつないで通信する「長距離用途向け」のものと既存の光ファイバー網を利用する「多重化用途向け」の2種類の量子鍵配送プラットフォームを開発しているという。専用システムでは伝送距離120kmを300kbpsで伝送でき、既存光ファイバー網利用タイプでは伝送距離70kmで速度は40kbpsになるとしている。

盗聴に強いとされる量子暗号通信を使うことで、安全保障や金融、医療分野などへの活用を計画しているという。2025年度までに日本だけでなく海外などでの展開も計画している。35年度に世界市場のシェア25%獲得を目指すとしている。
14961220 story
アメリカ合衆国

日本を含む7カ国、巨大IT企業に対し暗号化通信の法執行機関向け解除を求める声明 71

ストーリー by nagazou
暗号化 部門より
10月11日、IT企業に対してエンドツーエンドで暗号化(E2EE)されたコンテンツに対し、法執行機関がアクセスできるようにすることを求める国際声明を発表した(米国政府リリースイギリス政府リリースZDNetITmedia日経新聞)。

この声明に参加しているのは英、米、カナダ、オーストラリア、ニュージーランドの5カ国に加えてインド、日本。声明によれば、暗号化技術の実装は、ジャーナリスト、人権擁護家、その他の脆弱な人々を保護する役割を果たしている。しかし、暗号化技術の実装は、法執行機関にとっては犯罪捜査が困難になる問題を抱えている。法執行機関に対する暗号化は、性的搾取、虐待などの深刻な犯罪を捜査する場合に重大な影響を与えかねないと主張した。

その上で英国の声明では、その上でユーザーのプライバシーやサイバーセキュリティを損なうことなく、市民の安全を確保するための解決策を見つけるため協力するようよう求めている。
14465381 story
プライバシ

ロシア政府、TLS 1.3などの暗号化技術を使用禁止にする改正法案 27

ストーリー by nagazou
中似病 部門より
中国でも似たような話があったが、ロシア政府は、監視や検閲機能を妨げる危険性のあるインターネットプロトコルの使用を禁止できるよう法改正を進めているそうだ。流出したPDFファイルから判明したという。禁止対象となるインターネット・プロトコルはTLS 1.3、DOH、DoT、そしてESNIとされている(ZDNet流出PDFGIGAZINE)。

ロシアは中国のようなファイアウォールは採用していないものの、SORMと呼ばれる電話会社のデータセンターを法執行機関が監視できるシステムを用意している。新たな法改正案によれば、暗号化されたプロトコルを使用してユーザーIDなどを分からなくする仕様を採用したWebサイトに関しては、警告の1日後に利用が禁止されるとしている。改正案は10月5日までパブリックコメントを受け付けているとのことだが、政治的に改正法案が通るのは確実とみられている。
14277206 story
暗号

国内企業38社のVPNパスワードがダークウェブ上で出回る 33

ストーリー by nagazou
早急に対策を 部門より
日経新聞の記事によれば、国内の38社が不正アクセスを受け、テレワークで使用されていたVPN接続用のパスワードなど流出した可能性があるそうだ。今回VPNの情報が流出した企業は、米パルスセキュアのVPNサービスを使っていたという(日経新聞)。

内閣サイバーセキュリティセンター(NISC)によると、8月中旬ごろにダークウェブで、900者を超える世界中の企業のVPN情報がやり取りされているのが判明したとしている。NISCがこのデータを調査したところ、日本企業38社が含まれていることが分かった模様。

先の記事によれば販売リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があったとしている。今後、この38社を踏み台にして取引先などへの不正アクセスが行われる可能性があると指摘されている。
14264631 story
ソフトウェア

QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 7

ストーリー by nagazou
大わらわ 部門より
あるAnonymous Coward 曰く、

ESETの研究者がQualcommとMediatekのWi-FiチップでもKrØØkに似た脆弱性が存在することを公表した。

KrØØkはBroadcom及びCypressのWi-Fiチップにおいて、接続解除後にチップ内の暗号化用鍵が消去されゼロとなるににもかかわらず、チップ内の送信バッファに残ったデータが鍵の消去後も送信され続けるため、結果として000...で暗号化されたデータが送信されてしまうという脆弱性(関連ストーリー)であり、様々なスマートフォンやWi-Fiアクセスポイントが影響を受けた。

今回ESETの研究者が発見した脆弱性の内、QualcommのWi-Fiチップを対象としたものは接続の解除時に平文のデータを送信させることが出来るというもので、D-Link DCH-G020とTurris Omniaで脆弱性の存在が確認されている。記事内では具体的なチップの型番は明らかにされていないが、D-Link DCH-G020はQCA9531、Turris OmniaはAR9287とQCA9880 v2が搭載されているため、これらのWi-Fiチップを採用している他のデバイスも影響を受ける可能性がある。

この脆弱性に関してQualcommが公表した情報によれば、特別に細工されタイミングが計られたトラフィックがWi-Fiチップ内でエラーを発生させ、正常でない暗号化が行われたデータが送信されることにより情報の漏洩が発生する可能性がある(CVE-2020-3702)とのことで、以下のチップが対象となる。

APQ8053, IPQ4019, IPQ8064, MSM8909W, MSM8996AU, QCA9531, QCN5502, QCS405, SDX20, SM6150, SM7150

これらのチップのうち、QCA9531は802.11n世代のWi-Fiアクセスポイント、QCA9880・IPQ4019・IPQ8064は802.11ac世代のWi-Fiアクセスポイントに多数採用されており、特にIPQ4019に関しては大半のメッシュ対応Wi-Fiアクセスポイントが使用しているため影響は広範に及ぶと思われる。

記事では、Qualcommは7月中に脆弱性の修正を含んだプロプライエタリなドライバをリリースしたが、いくつかのデバイスはFLOSS版のドライバを使用しており、それらのドライバに修正が提供されるかは不明であるとしている。

MediatekのWi-Fiチップについては記事内の情報が少なく具体的にどのような問題があるのかは定かではないが、いくつかのチップで暗号化の不足などの脆弱性があるとしている。影響を受けるデバイスとしてはASUS RT-AC52UとMicrosoft Azure Sphereが挙げられており、Microsoft Azure Sphereが使用するMT3620及び、ASUS RT-AC52Uが使用し、安価なWi-Fiアクセスポイントに多数採用されているMT7620を使用する他のデバイスも影響を受ける可能性がある。

ESETの記事によると、Mediatekは脆弱性の修正を3~4月にリリースしておりAzure Sphere OSの20.07にはこの修正が含まれているとしている。

これらの脆弱性を修正するには更新用のファームウェアをWi-Fiアクセスポイントのメーカーが提供する必要があり、QualcommやMediatekが修正をリリースしただけでは不十分であることに注意する必要がある。

情報元へのリンク

14255719 story
Windows

Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 42

ストーリー by headless
署名 部門より
Microsoftダウンロードセンターは8月3日から、SHA-1で署名されたWindows向けコンテンツの提供を中止するそうだ(Microsoft Tech Communityの記事Softpediaの記事The Registerの記事)。

SHA-1の危険性は古くから指摘されており、2017年には現実的な時間でSHA-1ハッシュの衝突を生成するShatterd攻撃も発表されている。CA/Browser Forumは2016年からSHA-1のHTTPS証明書の発行を禁じていたが、Internet Explorer 11とMicrosoft Edgeでは2017年5月のアップデートでSHA-1証明書をブロックするようになった。

Windowsの更新プログラムでは昨年、Windows 7/Server 2008/2008 R2およびWSUS向けにSHA-2署名のサポートが導入され、昨年7月以降は更新プログラムのインストールにSHA-2署名のサポートが必須になった。また、それまでデュアル署名(SHA-1/SHA-2)だったWindowsの更新プログラムはSHA-2のみに変更されている(Windows および WSUS の 2019 SHA-2 コード署名サポートの要件)。

なお、Microsoftダウンロードセンターで「人気のあるWindowsダウンロード」をみると、1位の「DirectX エンド ユーザー ランタイム Web インストーラ」はSHA-1のみで署名されており、2位以下はデュアル署名の更新プログラムが多いようだ。
14251631 story
暗号

Linuxカーネルのドキュメンテーションなどに含まれるHTTPリンク、HTTPSリンクへの置き換えが進む 11

ストーリー by nagazou
置き換え工事中 部門より
headless 曰く、

Linux 5.9に向け、ドキュメンテーションなどに多数含まれるHTTPリンクをHTTPSリンクへ置き換える作業が進められている(Phoronixの記事Neowinの記事The linux-next integration testing tree)。

置き換えの理由としては、細工することが難しいHTTPSに置き換え、リンクを開くカーネル開発者が中間者攻撃にあう可能性を減らすことが挙げられている。ただし、実際にカーネル開発者がこのような攻撃を受けている様子はなく、先を見越した変更のようだ。

置き換え作業はAlexander Klimov氏が一人で進めており、既に148件のパッチが存在する。Klimov氏はスクリプトを使用してHTTPリンクを探し、SVGファイルなどではないことを確認したうえで、HTTPSでHTTP版と同じ内容が表示される場合にのみ置き換えを行っているとのこと。osdn.jpへのリンクもHTTPSに置き換えられている。

14197528 story
Facebook

Facebook、デジタル通貨Libraに対応するデジタルワレットの名称をCalibraからNoviに変更 4

ストーリー by hylom
やり直しだろうか 部門より

headless曰く、

Facebookは26日、同社が中心となって推進するデジタル通貨「Libra」に対応するデジタルワレットの名称を「Calibra」から「Novi」に変更することを発表した(About FacebookNovi公式サイトNeowinThe Verge)。

Noviはラテン語の「novus」(new)と「via」(way)にインスパイアされた造語だといい、送金の新しい方法になることを目指す、ということのようだ。名称が変更されてもCalibraが約束していた世界中の人々に手が届きやすいファイナンシャルサービスを提供するという基本方針に変更はないとのこと。

昨年6月に発表されたLibraは2020年前半の運用開始を目指していたが、いまだに運用開始の目途はたっていないとみられる。Noviも現在のところニュースレター購読のサインアップを募っている状態だ。初期メンバー28団体で開始されたLibra協会は参加取りやめ相次ぎVodafoneが参加を取りやめた1月には20団体にまで減少していた。しかし、2月にはShopifyTagomi、4月にはHeifer InternationalCheckout.com、5月にはTemasekとParadigm、Slow Venturesが参加して再び27団体まで増加している。

14170579 story
暗号

IANAのルートKSKセレモニー、物理的な参加者数を7人に制限して実施される 5

ストーリー by headless
制限 部門より
IANAはCOVID-19のリスクを最低限にするため、第41回のルートKSKセレモニーで物理的な参加者数を7人に制限して実施した(Root KSK Ceremony 41ICANN Blogの記事The Registerの記事動画)。

ルートKSKセレモニーはルートゾーンの署名に使用するゾーン署名鍵(ZSK)を3か月に1回更新するため、ルート鍵署名鍵(ルートKSK)を用いて署名するものものだ。2月の第40回ルートKSKセレモニーでは物理的なセキュリティ上の問題により10年間の歴史で初めて期日を変更して実施されており、スラド記事ではタイミング的にCOVID-19の影響かと思ったというコメントもみられたが、今回は本当にCOVID-19の影響を受けることになった。

ルートKSKセレモニーの実施計画は6か月前に始まり、第41回は4月に実施が予定されていたが、2月になってCOVID-19が計画に影響を与える可能性を認識したという。セレモニーにおける様々な役割は通常の運用に対するリスクを低下させるため、世界中のTrusted Community Representatives(TCR: 信頼されたコミュニティの代表者)に分散している。しかし、セレモニー会場となる施設があるカリフォルニア州ではどうしても必要な場合を除いて自宅にとどまるよう命ずる行政命令「Stay home order」が出されており、旅行も制限される中、TCRの分散が逆に通常のセレモニー実施に困難をもたらすことになる。

そのため、IANAはICANNの承認を得たうえで、実際に施設内でセレモニーに参加するのは作業に必要な7人のみに限り、そのほかの役割はオンラインストリーミングを通じたリモートでの参加に変更した。セレモニーは日本時間24日2時に開始され、3時間ほどで無事終了したようだ。
14153327 story
暗号

Microsoft、人体の活動データを用いて暗号通貨を採掘するシステムの特許を出願 25

ストーリー by headless
採掘 部門より
人体の活動データを用いて暗号通貨を採掘する、というシステムの特許をMicrosoftが出願している(WO/2020/060606On MSFTの記事)。

仕組みとしては、サーバーから提供された何らかのタスクをユーザーが実行する際の身体活動データをクライアント側のセンサーで取得し、暗号通貨システムへ送信して一定の条件を満たすことが確認されたらユーザーに暗号通貨が支払われるというもの。サーバーはWebサーバーやゲームサーバー、アプリケーションサーバーなどで、ユーザーは特に暗号通貨採掘を意識することなくサービスを利用するだけでいい。センサーで取得する活動データとしては体の動きのほか、血流や脳波といったものも挙げられている。暗号通貨の採掘には膨大な計算が必要となるが、身体活動から生成されたデータに置き換えることで必要な演算能力を削減できるとのことだ。
14151084 story
インターネット

Web会議サービスZoomに対し複数の脆弱性があるとの指摘、暗号化への懸念の声も 66

ストーリー by hylom
いきなりクライアントをインストールさせるのはやばいでしょ 部門より

Anonymous Coward曰く、

新型コロナウイルスの感染拡大による外出自粛を受けて、オンラインでのミーティングを行えるビデオチャットサービスが注目されている。その1つに「Zoom」があるが、このZoomに対しセキュリティ面での懸念の声が出ている。

その1つに、通信内容の暗号化に関するものがある。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド(E2E)で暗号化されると明示されているものの、The Interceptによると、実際にはエンドツーエンドでの暗号化は行われていないという(ITmediaSlashdot)。

エンドツーエンド暗号化の定義としては、暗号化された情報を復号できる鍵は利用者(クライアント)のみが所有することになっている。しかし、Zoomのビデオ会議はTCP接続ではTLSを使い、UDP接続ではTLS接続でネゴシエートされたキーを使ってAESで暗号化していると答えた。これではエンドツーエンド暗号化の要件には当てはまらないことになる。

また、これ以外にもWindows版のクライアントには悪意のあるリンクをチャット画面に送信することで接続情報を奪うことができるという脆弱性が存在するという話や(Business Insider)、Mac版クライアントでは攻撃者が外部から管理者権限を取得できる脆弱性や、利用者の同意なしにカメラやマイクへのアクセス権を取得できるという脆弱性も存在するという(TechCrunchITmediaの別記事)。

14147653 story
暗号

iOSでVPN利用時、一部の通信がVPNをバイパスする脆弱性 33

ストーリー by headless
通過 部門より
iOS 13.3.1以降でVPNを利用する場合に一部の通信がVPNをバイパスしてしまう脆弱性をProtonVPNが公表している(ProtonVPNのブログ記事Mac Rumorsの記事Bleeping Computerの記事BetaNewsの記事)。

問題はVPNへ接続した際にiOSが既存の接続を閉じて再確立せず、そのまま維持してしまうことにより発生する。接続の多くは短時間で閉じられるが、中には数分~数時間にわたりVPNを経由せずに通信が行われることもある。これにより、サーバーとの通信がHTTP接続の場合は通信内容が暗号化されない、攻撃者がiOSデバイスとサーバーのIPアドレスを見ることができる、サーバーがiOSデバイスのIPアドレスを見ることができる、といったリスクが挙げられている。特に市民の監視や権利の侵害が一般的な国の人々はリスクが高いとのこと。

問題を発見したのはProtonVPNのコミュニティーメンバーで、最初にiOS 13.3.1で問題を確認しているが、最新のiOS 13.4でも修正されていないとのこと。ただし、ProtonVPNは脆弱性を昨年発見したとツイートしており、最初に確認されたのはベータ版なのかもしれない。そうであればベンダーに通知後90日日間は脆弱性を開示しないというProtonの開示ポリシーにも一致する。

iOSではVPNアプリ側で既存のネットワーク接続を切断することを認めておらず、ProtonVPN側で対策することはできないという。AppleはVPN常時接続を推奨しているが、モバイルデバイス管理を使用する必要があるため、サードパーティーのVPNアプリは利用できないとのこと。そのため、ProtonVPNでは100%の効果は保証できないとしつつ、VPNサーバー接続後に機内モードをオン・オフするという緩和策を紹介している。
14124955 story
セキュリティ

WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 15

ストーリー by hylom
よく見つけられるなあ 部門より

無線LANチップの脆弱性を悪用して暗号通信を傍受する手法が公開された。この手法は「Kr00K」と呼ばれており、さまざまなデバイスが影響を受けるという(PC WatchESETの発表welivesecurity、、ESETによるホワイトペーパー)。

特定の無線LANチップではセッションの切断(ディスアソシエーション)時に、不具合によってその値がすべて0の暗号鍵でデータが送信されてしまうという。BroadcomおよびCypress製の無線LANチップでこの脆弱性が確認されており、ESETの検証では複数のApple製品やGoogle Nexusシリーズ、Samsung Galaxyシリーズ、Raspberry Pi 3、AmazonのEchoやKindleなどで問題が確認されたとのこと。

すでに主要メーカーはパッチのリリースを行なっているとのことで、メーカーからの告知を確認した上でアップデートやファームウェア更新を行うよう注意喚起が行われている。

14112831 story
暗号

IANAのルートKSKセレモニー、10年間の歴史で初の延期 8

ストーリー by headless
延期 部門より
IANAはルート鍵署名鍵(ルートKSK)を用いてゾーン署名鍵(ZSK)に署名する第40回のルートKSKセレモニーをカリフォルニア州エルセガンドーの施設で2月12日に実施する予定だったが、物理的なセキュリティ上の問題が発生して延期したそうだ(Kim Davies氏のメーリングリスト投稿[1][2]ICANN Blogの記事The Registerの記事)。

ZSKはDNSルートゾーンの署名に使用するもので、3か月に1回更新される。問題が発覚されたのは2月11日。定期的な管理上のメンテナンスを実施した際、機器の故障によりセレモニーで使用する資料を含む金庫にアクセスできないことが判明したという。今回の問題による施設内で保護されている要素が影響を受けることはなく、DNSSECに対するサービスが影響を受けることもないそうだ。

14日に予定されている修理が無事に完了すれば、セレモニーは15日18時(UTC)に実施される。状況は金曜日(14日)遅くには判明し、さらなる作業が必要な場合は数週間以内に新たな日程を発表するとしていたが、現地時刻(PST)で日付が変わっても特に続報はないので、予定通り実施されるようだ。YouTubeでのライブ中継も日本時間16日3時から予定されている。

KSK管理10年間の歴史の中で、スケジュール変更が必要になるのは今回が初めてとのことだ。

追記: 15日16:00(UTC)時点で修理の作業がまだ続いているとメーリングリストに続報が出た。セレモニー開始は2時間遅れ(日本時間16日5時)に設定されている。

追記2: さらに2時間遅れの日本時間16日7時に再設定。その後もスケジュール再設定が繰り返されている。

追記3: 最終的に開始時刻はUTCで日付の変わる16日0時(日本時間9時)までずれ込んだが、セレモニー自体は無事終了したようだ。
14111748 story
アメリカ合衆国

米独の情報機関、有力な暗号機メーカーに秘密裏に出資し他国の機密を半世紀ほど収集していた 29

ストーリー by hylom
いつの時代もバックドアを求める 部門より

Anonymous Coward曰く、

多くの国で使われていた暗号化装置を開発していたスイスのCrypto社を米国およびドイツの諜報機関が1970年代に秘密裏に買収、同社の暗号化装置を使った外交公電などの通信内容解読していたことが判明した。同社の暗号装置は2000年代まで120か国以上に販売されており、一時は各国政府の暗号通信の約40%で使われるほどのシェアがあったという(Washington PostBBC東京新聞Slashdot)。

実際、これによって1979年のイラン米大使館人質事件時にイラン当局の動きを監視したり、1982年のフォークランド紛争でアルゼンチン軍の機密情報を入手する、といった成果が上がっていたそうだ。ただ、ソ連(現ロシア)や中国、北朝鮮はCrypto社の暗号機器を導入していなかったという。

なお、Crypto社の機器が人気だったのは、スイスが精密機器に強いとされており、また永世中立国であることから信頼できるという点も大きかったようだ。

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...