パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

13125621 story
プライバシ

WhatsAppの脆弱性は意図的な実装? バックドア? 9

ストーリー by hylom
暗号化があるだけマシ? 部門より
あるAnonymous Coward曰く、

Facebook傘下のWhatsAppが提供する人気メッセージングアプリ「WhatsApp」にセキュリティ上の問題があるという指摘が出ている(TechCrunch)。

指摘されているのは、暗号化プロトコル「Signal Protocol」の実装方法に問題があるという点。そのため、暗号化されたメッセージが第三者に傍受された場合に、その内容が漏えいしてしまう可能性があるという。

この問題は昨年4月にFacebookに報告したが、同社は修正を行わない意向を示したという。WhatsApp側はこれをメッセージの紛失を防ぐために意図的に実装したものであると述べているという。また、これについては「政府の意向を受けたバックドアではないか」と主張する声も出ている。

13108755 story
アメリカ合衆国

米議会の暗号化ワーキンググループ、暗号に対する「バックドア」提供に反対との姿勢を示す 56

ストーリー by hylom
ブレーキ 部門より
taraiok 曰く、

米議会の暗号化ワーキンググループ(EWG)が、FBIなどが求めていた司法当局へのバックドア提供についての報告書を発表した。同グループは「議会は暗号化という重要な技術を弱めるべきではない。ただし、法執行機関や情報機関が有している懸念を無視してはならない」とした(BetaNewsレポート[PDF]slashdot)。

その上で、暗号専門家と情報セキュリティ専門家は、ハッカーや悪意のある行為者に対抗するため、安全性を損なうことなく、法執行機関に暗号化されたデータへの例外的なアクセスを提供するシステムを考案・実装する手段を考えるべき、非常に困難で非現実的ではあるが不可能ではない、としている。さらに、議会は法執行機関の技術企業間のコミュニティと協力を促進すべきであるともしている。

13091963 story
暗号

ジャーナリストら、撮影データをカメラ内で暗号化する機能の搭載をカメラメーカーに求める 93

ストーリー by hylom
著作権保護という話ではなかった 部門より
あるAnonymous Coward 曰く、

映画製作者やフォトジャーナリストの団体が、キヤノンやニコン、ソニーなどのカメラメーカーに対して「撮影したデータを暗号化して保護する機能を純正で搭載してほしい」とする要望を訴えているそうだ(TechCrunchCNET JapanGIGAZINESlashdot)。

ドキュメンタリー映画製作者や戦場カメラマンの多くは、危険な現場に足を運んで現地の生の様子を伝えている。そのため、場合によっては身柄を拘束されたり、撮影機材を没収されたりすることもある。たとえば世界で拘束されているジャーナリストは2016年12月1日現在で257人に上るという(ロイター)。その際には撮影したデータが抜き取られてしまうことも少なくないという。

現在市販されているカメラは、例えプロ向けの機材であっても暗号化機能が一切搭載されていない状況に対し、150人を超えるジャーナリストが声をあげたとしている。

これに対し、暗号化は役に立たず、むしろ撮影されたデータの確認に手間が掛かってしまう可能性があるほか、カメラや記録メディアを破壊するといった方法でデータを消しさることも可能だという指摘がある(TechCrunchの別記事

13083933 story
ニュース

HTTPSを利用できるニュースサイトは105サイト中29% 32

ストーリー by headless
三割 部門より
米非営利組織Freedom of the Press Foundationは15日、ニュースサイトのHTTPS導入状況によるセキュリティランキングを発表した(Freedom of the Press Foundationのブログ記事LeaderboardBetaNewsの記事The Guardianの記事)。

ランキングは自動化されたツールで判定されたもので、有効なHTTPSの有無、HTTPSの利用可否、HTTPS接続がデフォルトかどうかという3点が基本のチェックポイントになっている。グレードはHTTPSが導入されていないか導入されていても証明書が無効の場合に「F」、HTTPSがデフォルトなら「B」となり、HSTS(HTTP Strict Transport Security)の導入状況によるボーナスポイントが加算されると「B+」以上が与えられる。

全105サイトのうち、すべての項目が「YES」で「A+」を獲得したのはThe Interceptのみ。The GuardianとTechCrunch、ProPublicaが「A-」、WiredとBuzzFeedが「B+」で続く。「B」はWashington PostやThe Atlantic、Bloombergなど9サイトに過ぎず、HTTPSがデフォルトになっているサイトは14%。HTTPSを利用できるもののデフォルトではない「C」となったThe IndependentやThe Economist、BBCなど15サイトを加えても、HTTPSを利用できるサイトは29%にとどまる。

一方、The Wall Street JournalやReuters、Associated Press、Huffington Post、CNNなど、全体の48%にあたる50サイトが「F」となっている。
13077187 story
暗号

他のユーザーを感染させることで無料暗号化解除を提供するランサムウェアが登場 13

ストーリー by hylom
コストが高い 部門より
headless 曰く、

被害者が「身代金」を支払わなくても、他のユーザーを感染させれば無料で暗号化を解除するというランサムウェアが登場したそうだ(Bleeping ComputerRegisterGuardian)。

Bleeping Computerの記事によると、このランサムウェア「Popcorn Time(海賊版映画のストリーミングツールとは無関係)」は被害者に対し、ビットコインで身代金を支払って暗号化を解除するオプションに加え、無料で暗号化を解除するオプションを提示するという。

無料暗号化解除のオプションには被害者のユニークIDを含むURLが用意される。感染後、暗号化完了時に表示されるメッセージでは、このURLを他のユーザーに送って感染させ、2名以上が身代金を支払えば無料で暗号化を解除すると説明されている。ただし、Bleeping Computerが記事を執筆した時点でURLが示すサーバーはダウンしており、実際にこのオプションが利用できるかどうかは不明とのこと。

このランサムウェアは特定のフォルダー内の特定の拡張子のファイルをAES-256で暗号化する。現在も開発途中とみられ、当初はユーザーの「デスクトップ」フォルダー内のファイルのみを暗号化していたが、その後「ドキュメント」「ピクチャ」「ミュージック」が対象に追加されたという。また、未完成のコードには4回以上間違った解除キーを入力するとファイルを削除するといったものもみられるとのことだ。

13022814 story
変なモノ

ロンドン警視庁考案、容疑者にiPhoneのロックを解除させる新たな方法とは? 60

ストーリー by headless
力技 部門より
英国・ロンドン警視庁が容疑者にiPhoneのロックを解除させる新たな方法を考案したそうだ(BBC Newsの記事9to5Macの記事)。

この方法は6月に偽造クレジットカード密売事件を捜査していた時に生まれたもので、証拠は捜査対象となっている容疑者のiPhoneに保存されているとみられていた。容疑者を逮捕してiPhoneを押収しても容疑者はロック解除を拒否できるため、証拠を確保できない可能性がある。指紋センサーに指をあてるよう強制できるかどうかも検討したが、そのような権限はないと判明したとのこと。

そこで考え出されたのは容疑者をすぐに逮捕せず、容疑者がiPhoneのロックを解除するまで尾行するという方法だ。尾行していた警察官の一人は、ロックを解除して通話を開始した容疑者に駆け寄ってiPhoneを奪い、同僚が容疑者を拘束。証拠の確保が完了する前にiPhoneが再びロックされないよう、警察官は画面をスワイプし続けたとのことだ。
13002996 story
インターネット

ネット検閲に積極的なトランプ政権の誕生に対し、Mozillaはネットの中立性を守る活動に注力へ 43

ストーリー by hylom
戦えMozilla 部門より

Mozillaが2015年の年次報告書と「the State of Mozilla for 2015」を発表した(マイナビニュースCNETSlashdot)。

Mozillaの2015年の売上高は前年比28%増で、特にロイヤリティ収入が大きく増加している。これは、2014年にGoogleとの検索パートナー契約を終了させ、国・地域ごとに異なるパートナーと契約する体制に切り替えたことが影響しているという。

また、the State of Mozilla for 2015ではMozillaは今後「インターネットの健全性」を保つ活動に注力することが明かされた。背景にはネットの検閲に積極的とみられるトランプ政権の誕生がある。そのため、Mozillaはネットの中立性がWebのイノベーションを加速させるために重要になると強調、 暗号化の強化などを支援したいと考えているようだ。

12965602 story
プライバシ

アムネスティによる人気メッセージングアプリ11社のプライバシーランキング、1位はFacebook 18

ストーリー by headless
評価 部門より
Amnesty Internationalが人気メッセージングアプリを提供する11社のプライバシーランキングを公表している。評価は100点満点で、主にエンドツーエンドの暗号化が評価の対象となっているが、プライバシー保護に対する姿勢も加味されているようだ(Amnesty Internationalの記事BetaNewsの記事)。

1位はFacebook(Messenger、WhatsApp)で100点満点中73点。WhatsAppはエンドツーエンドの暗号化がデフォルトで有効になっており、エンドツーエンドの暗号化が使われない場面ではユーザーに明確な警告を表示する唯一のアプリである点が高く評価されている。一方、Messengerについてはエンドツーエンドの暗号化がデフォルトで有効になっておらず、弱い暗号を使用する場面で警告しない点がマイナス評価となっている。

2位のApple(iMessage、Facetime)はエンドツーエンドの暗号化がデフォルトで有効になっている点や、政府の要求によるバックドア設置とデータ開示に反対している点が評価され、100点満点中67点。ただし、メッセージをiPhone以外のユーザーに送信する場面など、エンドツーエンドの暗号化が使われない場合に通知することが求められるとのこと。

2位にはAppleと同点でTelegram(Telegram Messenger)が並んでいる。こちらはプライバシーと表現の自由を売りにしているにもかかわらず、エンドツーエンドの暗号化がデフォルトで有効になっておらず、弱い暗号を使用する場合にも通知されない点がマイナス点として挙げられている。Appleと同点になった理由は不明だ。
12959537 story
暗号

Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった 14

ストーリー by headless
適当 部門より
世界最大の認証局ComodoでSSL証明書発行手続きに不備があり、一部のドメインで正規の所有者以外がSSL証明書を取得できる状態にあったそうだ(Incident Report — OCRSoftpediaの記事The Registerの記事heise Securityの記事)。

ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。

そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0」と小文字の「o」を正しく識別できなかったため、これらの文字に続く文字が英字の場合は英字として、数字の場合は数字として識別する仕組みを採用していた。
12934479 story
暗号

iOS 10の暗号化バックアップファイルはiOS 9と比べて最大2500倍容易にクラックできる 3

ストーリー by hylom
すごい 部門より
headless 曰く、

iTunesアプリで作成したiOS 10の暗号化バックアップファイルがiOS 9のものと比べて最大2,500倍容易にクラックできることが判明したそうだ(ElcomsoftブログSoftpediaThe Next WebMacRumors)。

この問題はElcomsoftが同社の「Elcomsoft Phone Breaker」をiOS 10に対応させるための調査を行っていた際に判明したものだという。iOS 10では従来のパスワード認証メカニズムに加え、新たなパスワード認証メカニズムが導入されているのだが、新しいメカニズムでは特定のセキュリティチェックが行われないのだという。その結果としてパスワードの試行にかかる時間が大幅に短くなるそうだ。

現在のところ、iOS 10のバックアップをクラックする場合にはGPUアクセラレーションが使用できず、CPUのみでの処理となる。それでも秒間600万個のパスワードが試行でき、GPUアクセラレーションを使用してiOS 9のバックアップをクラック(秒間15万個)するのと比べて40倍高速だという。CPUのみでiOS 9のバックアップをクラック(秒間2,400個)するのと比べれば2.500倍高速とのこと。

Appleでもこの問題を認識しており、今後のセキュリティアップデートで修正する予定とのことだ。

12906455 story
Firefox

Windows版Firefox 49ではWindowsの証明書ストアにインストールされたルート証明書を使用可能に 26

ストーリー by headless
証明 部門より
Windows版Firefoxの今後のバージョンでは、企業の環境でインストールされたルート証明書の扱いが変更されるそうだ(Mike's Musingsの記事Softpediaの記事)。

Windows版のFirefoxはWindowsの証明書ストアを使用せず、独自の証明書ストアを使用している。そのため、企業のシステム管理者がプライベートネットワークやアプリケーションで使用するルート証明書をWindowsにインストールした場合、Firefoxからはアクセスできなかった。

この問題を解決するため、Firefoxの今後のバージョンではWindowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。また、これによりWindows 8.1のMicrosoft Family Safety機能もFirefoxで使用可能となる。

現在この機能はベータ版のFirefox 49でテストが行われている。オプションを有効にするには、about:configで「security.enterprise_roots.enabled」をtrueにセットすればいい。
12887179 story
暗号

PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される 9

ストーリー by hylom
時代の進化 部門より

ソースコードの改ざん防止や本人確認に使われるPGP署名で、鍵の偽造が問題になっているようだ。

問題となっているのは鍵IDが32ビットの鍵だそうで、Linuxの開発者であるLinux Torvalds氏やGrek K-H氏の偽造鍵が発見されているようだ(LKMLへの投稿ZDNet Japan)。

すでに32ビットの鍵IDは脆弱であることが知られており、GPUを使った処理で容易に偽の鍵を生成できる状態になっているようだ。 対策としては鍵IDのビット数をより長いものにすれば良い。また、今回は偽造鍵が見つかっただけで、それ以外のトラブルや問題、これを利用した攻撃などは確認されていないようだ。

ただ、こういった脆弱な鍵が存在する状況で公開鍵サーバーを利用することについて懸念の声も上がっている。

12881685 story
暗号

中国が解読不可能な暗号通信の実現へ向けた量子科学実験衛星を打ち上げ 20

ストーリー by hylom
世界に先駆けられるか 部門より
あるAnonymous Coward 曰く、

中国が16日未明、世界初という量子科学実験衛星「墨子」の打ち上げに成功したという(産経新聞ウォール・ストリート・ジャーナルCNET Japan)。

墨子は量子鍵配送システムによる量子暗号通信を行うことを目的とした衛星。これを利用することで、非常に堅牢な暗号化通信が可能となる。光ファイバーを利用した量子鍵配送システム自体はすでに一部商業利用されているが、量子鍵配送を目的とした人工衛星の打ち上げは初めてという。

中国は関連施設の建設も行っており、今後衛星と地上を結ぶ量子暗号通信の実験システム構築を目指すという。

12862632 story
プライバシ

ニューヨークの地方検事、AppleやGoogleに暗号化の水準を昔に戻すように求める 63

ストーリー by hylom
暗号化を緩くしたら別の手段が使われるだけでは 部門より
あるAnonymous Coward曰く、

米ニューヨーク州のCyrus Vance Jr.マンハッタン地方検事がサイバーセキュリティに関する国際会議での講演で、スマートフォンで使われている暗号化を弱めるよう主張したという(Tom\'s GuideSlashdot)。

氏によると、スマートフォン端末の暗号化解除が進まないことで、犯罪事件における加害者の特定が難しくなり、数千件の犯罪が未解決となっているという。氏は暗号化自体は否定せず、法執行機関に向けた「バックドア」の設置も否定、「現在のメーカー自身ですら解除できない」という暗号化レベルを、「メーカー側で解除できる水準」にまで落とすことを主張している。

12851952 story
スパコン

KDDIおよび九大の研究チーム、「世界で誰にも解読されていない」という暗号問題を初めて解読 26

ストーリー by hylom
手法が凄いのか実装が凄いのか 部門より

KDDI研究所と九州大学の研究チームが、「これまで誰も解読に成功していなかった」という60次元のLearning with Errors(LWE)問題の解読に成功したと発表した

n次元のLWE問題とは、m×nサイズの行列Aとn×1サイズのベクトルbが与えられた場合にA・x+e=bを満たすxを求めるというものである。Aおよびe、bがすべて既知であれば単純な問題であるが、LWE問題ではAおよびbのみが与えられ、eについては未知(非公開)であることがポイントとなる。

現在、この問題を解くためのコンテスト「TU Darmstadt Learning with Errors Challenge」が行われており、KDDI研究所と九州大学だけが解読に成功している状況だ。このコンテストでは次元数およびeの分散が異なる複数の問題が用意されているが、次元数や分散が多いほど解を得るのが難しく、60次元のLWE問題を解いたのは同チームが初めてだという。

KDDIおよび九州大学が開発した手法についての詳細は明らかにされていないが、分枝限定法という、解を探索しながら条件を満たす解の候補の集合を小さくしていく手法に分類されるもののようだ。

typodupeerror

人生unstable -- あるハッカー

読み込み中...