PGPで攻撃 19
ストーリー by wakatono
心当たりの方は対策を 部門より
心当たりの方は対策を 部門より
Wildcat 曰く、 "ZDNNニュース速報によるとPGPの長いファイル名を扱う際の問題点により、攻撃者はメール受信者のコンピュータをコントロール下に置くことができ、組織ネットワーク上の権限を得ることもできるようになるらしいです。Network Associates は既に自社サイトにパッチを掲載済みだそうです。いやーしかしこれは怖いですねえ。"
Wildcat 曰く、 "ZDNNニュース速報によるとPGPの長いファイル名を扱う際の問題点により、攻撃者はメール受信者のコンピュータをコントロール下に置くことができ、組織ネットワーク上の権限を得ることもできるようになるらしいです。Network Associates は既に自社サイトにパッチを掲載済みだそうです。いやーしかしこれは怖いですねえ。"
日本発のオープンソースソフトウェアは42件 -- ある官僚
信用するか? (スコア:3, 参考になる)
「暗号化された電子メール添付ファイルは信用されやすい」
というZDNNでのコメントにちょっと。
PGPでもS/MIMEでも暗号化は相手の公開鍵さえあれば誰でもできるから、
「暗号化」されてるからって信用しちゃ駄目。
自分が知ってる人の秘密鍵によって電子署名されてることを確認してから
開きましょう。
# それを確実に行えば、ぜんぜん恐くない。
言われてみればそうかも知れないが・・・ (スコア:1)
ようするに誰から来るかわからないメールを受け取らないと話が進まないといったような場合は困るんじゃないだろうか?
やっぱ最初は直接会うしか方法ないか? しかしそれすらも出来ない場合は?
(´д`;)
Re:言われてみればそうかも知れないが・・・ (スコア:1, 参考になる)
マスコミや捜査当局などはそもそも「誰から来るかわからないメールを受け取」る立場です。(PGPの問題とは無関係に)信用できない添付ファイルが送られてこないとも限りません。したがって、マスコミ・捜査当局側で安全を確保する(『権限が厳しく制限された環境でメールを開く』、『仮想マシンを使う』など)のが望ましいでしょう。
Re:言われてみればそうかも知れないが・・・ (スコア:2, 参考になる)
誰だか知らない人からもらったアーカイブファイルの類を安全に展開するには,アーカイバが本当に安全であることがわかっている(証明されている)か,サンドボックスで展開するということをしないといけないようです.筑波大のSoftwarePot [tsukuba.ac.jp]は後者のための環境(もっと一般的にプログラムを安全に動かす環境)を提供するもののようです.
Re:言われてみればそうかも知れないが・・・ (スコア:1, すばらしい洞察)
、、、そんな場合って、想像出来ない気がするのは気のせい?
内部からのメールが検閲される環境なら、暗号化してても宛先とわざわざ暗号化している事から逆に目を付けられると思う。
外部から出すんなら暗号化する必要無いだろうし。(アドレスも、捨てアドレス使えば良いし)
なんでもメールで済ませようとしないように。
まだ複数の手段があるのですから。
#この場合、匿名で封書がベストでは?
Re:言われてみればそうかも知れないが・・・ (スコア:1)
それともこういうソフト [holonsoft.co.jp]を使うか…
Re:言われてみればそうかも知れないが・・・ (スコア:0)
、、、ネタだか、マジボケだか判らんが、本気で言ってる?
内部の監査に掛からずに、外部の人間だけ気づく様な都合の良い物なんてねーよ。
画像埋
Re:言われてみればそうかも知れないが・・・ (スコア:1)
確かに情報の受信側が隠ぺい方式を知らなければダメなんですが.この場合は,(あたかも公開鍵暗号のように)情報の受信側が隠ぺい方式とそのための「公開鍵」をwebか何かで公開しておいて,発信側が伝えたい情報をその「公開鍵」で隠ぺいするとします.そして隠ぺいされた内容は受信側しか知らない「秘密鍵」でしか取り出すことができない,といったことができればいいのではないでしょうか.隠ぺいした結果があまり怪しく見えないというのが難しいところですが.不可能というものでもないでしょう.
今日は会議があまりにも…だったのでちょっとステガノグラフィのページをみていました.日本語だとここ [kyutech.ac.jp]が面白いです.まさに上に書いたようなことを意図した匿名秘匿メール [kyutech.ac.jp]という応用もあります.
まったくもって余談ですが... (スコア:1)
「複合化」ではなく「復号」(「暗号化」とは違って「化」をつけないのがミソ)
ですよね?
#暗号技術Q&A [ipa.go.jp]
...とコメントしようと思ったのですが、googleで検索すると
「暗号化/複合化」がいっぱい見つかります。実は「複合化」と
いう用語を暗号の世界でも使ったりするのでしょうか?(^^;)
Re:まったくもって余談ですが... (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:信用するか? (スコア:0)
Re:信用するか? (スコア:0)
それいったら(PGPに限らず)公開鍵暗号は成り立ちまへん。
GnuPGは大丈夫? (スコア:2, 参考になる)
さっき自分のマックにgpgをインストールしたばかりなんだけど,こっちは大丈夫だろうな…
大丈夫じゃないかな... (スコア:2, 参考になる)
ファイル名だろうがメール本文だろうが
暗号化すべきコンテンツであることには変わりなくて、
ファイル名だけ特別扱いしているとは思えません、
今回の問題点はひょっとしたら、
PGP/MIMEの実装の、「MIME」の部分の問題で
「PGP」の部分は関係ないんじゃないかな、とか
GnuPGのソースも読まずに言ってみたりして(^^;
Re:大丈夫じゃないかな... (スコア:2, 参考になる)
PGP を ( != ファッション ) で使っている人なら (スコア:1)
この仕掛に「はめられる」ことはマズないんじゃないかと。
…と、言いたかったんだけど、今様の PGP って U/I がめっちゃ 簡単になってるからね。「ファイアウォール建てたから安全」 的発想で地雷踏む人少なからず?
因みに私は現状で PGP を実際には使っておりません。ときどき あれこれ PGP のリソースを触ってますけど、実際に PGP を 使わなくても他のメディア経路で充分に所期の目的を実施できる 環境があるじゃん… というのが、私的現状。まぁ、セキュリティ について、未だにそこまでシリアスな立場にないという ことなんだけど(爆)
--- Toshiboumi bugbird Ohta
Re:PGP を ( != ファッション ) で使っている人なら (スコア:2, 参考になる)
p.s.
今の日本ではあまり考えられないほど平和ってことでしょうね。
でも一個人までもが普通の通信で暗号の使用を真剣に考えないとまずいような社会にはなって欲しくないね。
(´д`;)
Re:PGP を ( != ファッション ) で使っている人なら (スコア:1, 参考になる)
>NHK特集の変革の世紀(4) [nhk.or.jp]を昨日やってたんだけど
(後略)
その頁の冒頭に「匿名性は悪意を増幅し」というフレーズが踊っているのが、なんだか皮肉ですね。
一方で匿名が、殺されそうになった善意を守っている、というのに。
いや、NHKも嘘を言ってるわけじゃないので、別に責めることではないんですが、なんか皮肉だなあと。
#このうえ「無料配布」のところを代わりに「OpenSource」とか書いてあったら、微妙に泣いちゃったかも…
>今の日本ではあまり考えられないほど平和ってことでしょうね。
>でも一個人までもが普通の通信で暗号の使用を真剣に考えないとまずいような社会にはなって欲しくないね。
うーん?どうだろう?殺されるとかの「困りかたの量」においては、確かに日本では少ないんだろうけど、
困る回数、つまり情報が漏れて誰かにチョメチョメされる率、は、低いといえる論拠はどこにも無いのでは?
つまり、死なない程度に困らせられている、と。
そういう意味では、死なないまでも本人が許容不可だと思うような漏洩が有りそうならば、暗号は欲しくなるんじゃないですかね?
そして、「有りそうではない」と判断できる理由は、たぶん誰にとっても何処にも無い…
よだん:
>PGP を ( != ファッション ) で使っている人なら
括弧の使い方が微妙に変っすね。
「PGP を ( != ファッションで ) 使っている人なら」
かなあ。
Re:PGP を ( != ファッション ) で使っている人なら (スコア:0)
(!= ファッションで) ではなく (!ファッションで)のほうがボクのC言語に侵された頭にはフィットするにゃ。