MIYU 曰く、

米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず
といわれても、プログラムがブラックボックスである限り、パッチが不完全であっても手の打ちようがない。
パッチを当てた後、穴がふさがっているかどうかまで、今後は検証しろということになってくるのだろうか？ 毎度のことなのだが、非常に憂鬱に・・。

また親の所に寄ってパッチ当てをしないといけないだろうな。
このところマイクロソフトのおかげで、非常に親孝行な状態になっているけど、こういうのはあんまり感謝したくないなあ。

ozuma 曰く、

以前に1000ページ突破のニュースがあったWikiによる百科事典作成プロジェクトWikipedia日本語版ですが、9月9日についに10000記事を突破した模様です。

なかなか充実してきた感もありますが、一番記事数の多い英語版では150000近い記事があることからも、まだまだ不十分な分野は多いようです。アレゲな知識をお持ちの方、Wikiならではのお手軽さを利用して、ちょっと執筆してみませんか?

gzip 曰く、

ケータイの充電器なんていろいろ出尽してる感はあるわけですが、自転車用のダイナモ式携帯電話充電器なんてのはどうでしょう。 自転車旅行する以外には使えそうもないっていうのが正直な感想なわけですけれども。

ケータイに限らず、モバイル機器向けにはかなり以前からソーラー充電や手動充電はポピュラーになったけど、歩行発電、空気発電なんてのも浮かんでは消えて？いきました。

ていうかいい加減PHSの充電インターフェースを標準化して欲しいんですが。
みなさんのモバイル充電ライフはいかがですか？

Futaro 曰く、

無線LANのメーカーというといろいろあるが、中身のチップはIntel等数社のものに限られているのはご存じだろう。ところで、 このSun Jose Mercury Newsの記事 によれば、この市場に新たに Air Go Networks という会社が参入するとのこと。 記事によれば、この会社のチップを使った無線LANシステムでは、802.11 a/b/gをともにサポートし、最高で108Mbpsの通信速度を出すことができ、さらに今までの機器と比べ2〜8倍のサービスエリアを確保でき、かつ速度も速くなる、という。なお、この企業はStanford大学から生まれた企業とのこと。肝になる技術は、複数のアンテナで受けた受信信号のDSP処理技術にあるという。
さて、日本には製品はいつ頃入ってくるのか？

satou-hr 曰く、

毎年恒例の『月刊コンピュートピア　2003年９月号』（コンピュータ・エージ社）「2003年情報サービス産業売上高ランキング」が出てます。日本の情報サービス業の大手企業のデータが並んでいます。とりあえず，
・上位７社(売上高2000億円以上)で業界全体売上高の18％，上位15社(1000億円以上)で25％，上位120社(100億円以上)で48％を占める。
・上位７社の一人あたり売上高は6600万円で，上位120社平均の２倍。
とのこと。個人的には，平均年齢／勤続年数 や 新卒／中途採用数など，社員定着率に関わるデータに目がいきますね。

brake-handle 曰く、

RBB TODAYの記事によると、今年1月に承認され、7月からサービスが開始されたダブルスペクトラムADSLにて、実態速度が規格のうたう24Mbpsや26Mbpsには遠く及ばないことがわかった。speed.rbbtoday.comが集計した2カ月以上に及ぶ計測結果では、下りで20Mbpsを超えるスループットが出たのがたったの4回(Yahoo!BBが3回、アッカ・ネットワークスが1回)。平均に至っては4-6Mbpsと、規格の1/4から1/6にまで落ちていた。

ダブルスペクトラムは高周波へ帯域を拡張する。このため、実用上は拡張された帯域での減衰が酷く、期待するほど速度が出ないのではないかという懸念があった。今回の結果はそれを裏付ける実データの一つとなるであろう。現在は最大50Mbpsを目指したクワッドスペクトラムが審議されているが、このままでは技術が一人歩きし、利用者不在のADSLになってしまいかねない。

pierre 曰く、

「疲労回復」「静電気防止」「保湿」などの効果があると言われるわりには 科学上の定義や測定方法があいまいなマイナスイオンであるが、 国民生活センターより マイナスイオンを謳った商品の実態−消費者及び事業者へのアンケート、学識経験者の意見を踏まえて− というレポートが2003年9月5日付けで公開されている。

この中から興味深い部分を幾つか紹介するが、まず消費者の意識としては「マイナスイオンという言葉は聞いたことはあるが、実感として効果がわからないという人が相当数いた」そうだ。

製品としては「マイナスイオン商品すべてに効果を謳っているわけではな」く、「マイナスイオンの効果を謳う商品であっても、全て検証しているわけではない」そうだ。

また「マイナスイオン商品といっても、その発生量表示は、あるものも、ないものも」あり、測定している場合でも商品ごとに測定条件はバラバラらしい。

このようなマイナスイオン商品について学識経験者の意見として、東京理科大学 中江 茂 教授と東京大学 安井 至 教授の意見が掲載されている。中江氏は日本機能性イオン協会会長であり、当然ながらマイナスイオン擁護の内容となっているが、安井氏は自身のサイト市民のための環境学ガイドを見ても判るようにマイナスイオンに対して否定的な意見をもっており、今回のレポートに掲載された意見も同様の内容である。

そしてこのレポートでは結論として「消費者はマイナスイオンを謳った商品の効果を期待して使用するが、期待通りの 効果が分からない」「マイナスイオンの発生量表示は、あるものも、ないものも。発生量を表示してもその数値と人体への効果との関係が明確でない」としている。

そういえば去年の10月にマイナスイオン放出機能搭載PCなんてのも発表されていたようだが、あれはどうなったのだろうか？

あるAnonymous Coward 曰く、

この記事によると炭水化物での発電を効率化する微生物が発見されたようだ。

これは 砂糖電池 と言われる燃料電池の一種なのだが、燃料が通常の水素なりアルコールではなく炭水化物と言うのがちょっとアレゲ度が上だ。
それと言うのも、子供の頃に妄想したであろう人間と一緒に食事をするロボットというものの実現性を垣間見せてくれるからだ。

記事曰く、その効率を 80%まで高めることができるとか1カップの砂糖で60ワット の電球を17時間動かすことができるとか言う景気の良い話も書いてあるが、まあ、実現にはまだまだハードルはあるのだろう。

が、順調に研究が進めばあの、ごはんをさも美味しそうに食べるロボット（でなくてアンドロイド）の彼と出会えるようになるのもそう遠くない未来なのかも知れない。

T.MURACHI 曰く、

ZDNN Japan の記事によると、セキュリティ調査会社の Secunia は、先日公開されたIE の為の累積的な修正プログラム (MS03-032) について、その内容は不十分であり、しかも "最も深刻な脆弱性を悪用する手法が既に出回っていると指摘している" んだそうです。

早急に、包括的な正しいパッチが配布されることを望みますが、Windows をお使いの方 (特に IE 利用者) は気を付けましょう (月並みなせりふだなぁ…)。

hoe 曰く、

InternetWatchの記事によると修正パッチを当てていても脆弱性が存在するとの事。

対象となるのは　IE 5.01/5.5/6で、脆弱性の回避策は「インターネットオプション」から
「ActiveXコントロールとプラグインの実行」の項目を「無効にする」に設定すれば良いとの事

設定が正しいかどうかは、セキュリティ企業のSecunia社のテストページより
[Click here to perform test] をクリックし、”MS03-032: You are vulnerable! ”と記されたページが出なければ
脆弱性が存在していないことになるそうだ。

k2n 曰く、

本家より。ダウンロードした楽曲は誰の物？で取り上げられていた、iTunes Music Storeからダウンロードした楽曲のオークションについて、AppleのコメントがBusinessWeekで取り上げられています。

Appleとしては、法律に觝触するかどうかについては明言を避け、転売は技術的に困難であるので、実用的ではない、という姿勢です。

あるAnonymous Coward 曰く、

ZDNetエンタ−プライズニュース(日本語版)によると
http://www.zdnet.co.jp/enterprise/0309/09/epic01.html

以前に, 公開されたIEの累積パッチが適切に機能しないという ことが新たにわかったようです。

すでに、悪用する手法が出回っているようで、Microsoftより完全なパッチがでるまでは、IEユーザーは、Active Scriptingの機能を無効にすべきだという ことのようです。


＜概要＞
攻撃者は、電子メールもしくは、悪意をもって巧妙に作成された ウェブサイトから任意のコードが実行をさせる可能性があると いうことです。 IEではファイル拡張子によってオブジェクトの安全性を判断して いるようですが、今回は、ファイル拡張子から安全(実行可能ファイルでない) と一旦判断したデータでも「Content-Type」のヘッダでファイルの扱い方(実行可能へ)を変えることが可能になります。「これにより、ひそかに任意のコードを実行させることが可能である。」と危険性が指摘されています。

(原文のニュースソースへのリンク)
http://www.atnewyork.com/news/article.php/3073791

＜影響範囲＞
Microsoft IE versions 5.01
Microsoft IE versions 5.5
Microsoft IE versions 6.0

＜参考ＵＲＬ(Secunia)＞
http://www.secunia.com/advisories/9580/

HappyJap 曰く、

株式会社エンジンでは、コンビニエンスストアでのゲームソフト・ハード販売を行っている株式会社デジキューブ（東京・品川）との連動企画「デジキューブにたのみこむ」を９日より開始することを発表した。当企画は、主にプレイステーション２のゲームの販売に際し、消費者から「こんなオマケをつけて欲しい」というリクエストを募り、これを参考にして製作したグッズをゲームと共に販売する計画。この消費者参加型で製作されたグッズは、デジキューブからゲームを購入しなければ手に入れることができない。また、リクエストが採用されたユーザーには、ゲームとグッズのセットが無料でプレゼントされる。
「デジキューブにたのみこむ」の第一弾としては、９月９日から、まず以下の３タイトルのゲームグッズのリクエスト受付が開始される。

■鬼武者　無頼伝（カプコン）
発売日：11月（予定）
対応機種：PlayStation2
ジャンル：アクション
価格：未定

■はじめの一歩2 VICTORIUS ROAD（ESP）
発売日：2003年冬
対応機種：PlayStation2
ジャンル：スポーツ
価格：6,800 円

■バイオハザード アウトブレイク（カプコン）
発売日：今冬
対応機種：PlayStation2
ジャンル：アクション
価格：未定

【企画ページ】
http://www.tanomi.com/digicube/

Kidzuki_Nihiru 曰く、

ZDNetの記事によると、Microsoftは 自社の WindowsMedia9 規格のオープン標準を目指し、WindowsMedia9Series を 映画テレビ技術者協会 に提出したそうだ。
記事には、競合他社としてRealNetworksやAppleComputerが挙げられているが、動画圧縮では他にも DiVX や XviD 、 XVD などといった競合規格がある。
私も含め、/.Jerの中には録画した番組を何時間もかけてエンコードしている人も少なくないと思うが、この動向は実に気になるのではないだろうか。
これが承認された場合、WindowsMedia9 を用いた家電やハードウェアエンコーダなどの登場、またそれを競う形で、まだあまり種類の無い家庭用DiVXプレイヤー等の登場に期待が持てる。

aipbcfxovrtt 曰く、

夕方のフジ系列スーパーニュースより、 いまや携帯電話の普及により見かけることの少なくなった公衆電話だが 通話料無料の公衆電話 MOSIVO(モシーボ)が登場した。現在は全国で約70台が設置されている。開発したのは東京フォーラム株式会社。無料の仕組は電話番号入力の後、15秒の広告が液晶画面に自動的に流れ、その後も会話中に広告が 表示される。通話時間は一般電話に9分間、携帯電話に1分間となっている。 MOSIVOの中身を見てみるとCPUにIntel Celeronを採用しているなど一般的なPCとほぼ変わらない、肝心のOSはAXE Linux (RedHat7.1ベース）となっている、 式神などで知られる 株式会社アックスが関係している？（詳細わからず)。OSがLinuxの為か、コンテンツ表示に Mozillaを使っているとの事、広告もFLASHのようだった。これで公衆電話が増えるかどうかはわからない。

あるAnonymous Coward 曰く、

昨日も投稿させていただいたのですが、 IEのパッチが働いていないというのは、 非常に危ない問題だと思います。
ここの読者層なら、取り上げなくても大丈夫という判断なのかしら？

ZDでも昨日 今日連続で取り上げられていますが、セキュリティーに関して慎重な人でも、パッチを当てた後、検証まではしないことが多いと思います。
連続して不都合がでているので、話題として取り上げるのどおうかな、という判断かもしれませんが、やっぱり取り上げて欲しかったりします。

MIYU 曰く、

べつに目新しくはないのですが、「ウイルスバスター2004」が発表されています。
記事を読んでいて気になったのが、「スパイウェア検出機能を新たに搭載」したという記載。 対応OSはWindows 98/Me/2000/XPらしいので、IEが標準で使用されていることが多いと思われます。 Alexa はどういう扱いにされるんでしょう　？

全てのパソコンに、「スパイウェアが発見されました」というおどろおどろしい文字が表示されるのでありましょうか？それとも、「あなたのパソコンは安全です」と表示されALEXAは無視されるのでしょうか？
どちらにしても何だかなあ、な感じがするのですが実際はどうなっているのだろう？

oddmake 曰く、

今回の翻訳企画は、国際的に著名な暗号研究者のPaul Kocher氏への本家でのインタビュー です。氏はDES暗号解読コンピュータの設計やSSLv3の仕様策定に関わった人物で、RSAやMicrosoftへもセキュリティついてコンサルティングを行っているそうです。
訳者はセキュリティについては素人に毛の生えた程度の知識しかないので、今回の翻訳も多くの方に手伝っていただきました。別に記して感謝もうしあげます。


1)重大な脅威？

Prizmによる質問

暗号解析を勉強しているときに、私はTiming Attackや差分攻撃法といったいくつかの興味深い攻撃法を学びました（私の記憶が正しければ確かあなたの専門分野です）。こうした攻撃は確かにさまざまの暗号文の暗号解析に役立ちそうに見えます。が、実際のセキュリティという点でどのくらい実用的なのでしょうか。言い換えればこうした手法が攻撃者によって活用される可能性はどのくらいあるのでしょうか？

Paul:

それは標的によるだろうね。もし君が護ろうとしているシステムが攻撃者の努力に見合うものでないか、もっと簡単に侵入する方法があれば、その可能性はあまり無いだろう。一方、もし君が非常に価値あるデータ（金、株価に影響するような情報、Star Trekのエピソード、政府の機密情報、等）を保護しているのだったら、君は頭の切れる人達が君のセキュリティを攻撃するだろうと考えなければならないね。私達はクレジットカード会社やその他スマートカード会社を支援してテストプログラムを作るのに時間をたくさん費やしている。 -- 彼らの製品は差分攻撃法やtiming analysisや他の精巧な攻撃が本当の問題であるようなハイリスクの環境で動作させる必要があるんだ。


2)最悪の実装は？

burgburgburgによる質問

あなたがコンサルティングをしていて（実名を出さないで結構です）、あまりに出来が悪く、セキュリティ上あまりにも問題があって、脆弱性への対策があまりに無防備な企業のセキュリティ実装に出くわして、サーバをシャットダウンしてドアをロックしてセキュリティのSWATチームを呼びたいという抗し難い衝動を感じたことはありますか？　暴露してその会社の株価を暴落させたいと実際に感じたことは？　誰かの頭を上からボコするのを踏み止まらなければならなかったことは？　セキュリティ担当がブラックハット・ハッカー/競争相手のスパイ/外国の秘密工作員でないと確信するために、人事に調査してはどうかと尋ねたことはありますか？　あなたが見た中で最悪の実装はどのくらい悪いものでしたか？

Paul:

不快に思わなかったシステムをリストアップということにさせてもらわないと、タイプ数が大変なことになるね。

抜け目なく才能があって経験豊かで性根を据えた攻撃者なら、どんな標準的な商用製品からでも欠陥を見つけることができる。評価プロジェクトは概して非常に限られた予算しかつかないが、それでも私達がセキュリティ評価したものの半分以上から破滅的問題点が見つかっている。

もっともよくある状況はシステムのセキュリティ目標が、設計者も実装者もテスターも決してどんなエラーも起こさないとしたときにのみ理論的には達成できるようにしていることだ。例えばほんの僅かなパフォーマンス向上のために、オペレーティング・システムがカーネルへ膨大な複雑さを押し込め、デバイスドライバにシステムを自由にできる権限を与えるようなことをしている。もし技術者が誤謬を犯さないならこのアプローチは素晴らしいが、彼らが人間であるならばそれはトラブル製作法になるのだ。

私がもっとも腹立たしく思うのは悪いソフトウェアではない -- 私達が企業に重大な問題について告げてもNDAにサインしているから問題が露見せず売上げに影響しないと、彼らが無視を決め込む、そういう状況だ。もし君の会社が承知の上でセキュアでないまたは信頼できない製品を、セキュアだと広告していたら、それについて何かしてくれ。意図的に顧客を誤誘導することは違法で、非道徳で、巨大な賠償責任リスクでもある。（キーワード:Enron,アスベスト,タバコ）

自身のセキュリティについて誤誘導したり支持されない主張をした企業の製品を、ユーザが買い続けるのも腹立たしいことだ。もしユーザがセキュリティに金を払わなかったら、企業はセキュアでない製品を売り続けるだろう（そして私達の市場は比較的小さなままだろう:-)

最悪のセキュリティの例として、私は次のパスワード検証コードをノミネートする。

gets(userEntry);
if (memcmp(userEntry, correctPassword, strlen(userEntry)) != 0)
return (BAD_PASSWORD);

ROT13 SPOILER: Na rzcgl cnffjbeq jvyy cnff guvf purpx orpnhfr gur pbqr hfrf gur yratgu bs gur hfre ragel, abg gur yratgu bs gur pbeerpg cnffjbeq. Bgure cbgragvny ceboyrzf (ohssre biresybjf, rgp.) ner yrsg nf na rkrepvfr sbe gur ernqre. [Funzryrff cyht: Vs lbh rawbl ceboyrzf yvxr guvf, unir fgebat frphevgl rkcrevrapr, pbzzhavpngr jryy, naq jnag n wbo ng n sha (naq cebsvgnoyr) pbzcnal, ivfvg uggc://jjj.pelcgbtencul.pbz/pbzcnal/pnerref.ugzy.]

ROT13によるネタばれ防止
(このコードは正規のパスワードの長さではなくユーザ入力の長さを使ってしまっているため、空のパスワードがこのチェックを通過してしまうだろう。他の潜在的な問題点（バッファーオーバーフローとか）は読者への練習問題として残しておく。[厚かましくも追記: もし君がこういう問題を楽しめて、強固なセキュリティの経験があって、会話ができて、楽しい（そして儲かる）会社での仕事を欲しているなら、 http://www.cryptography.com/company/careers.html に来てくれ。])


3)インターネットは壊れてる？

bpfinnによる質問

インターネットは元来似たようなプロジェクトで協同作業する研究者が利用するために設計され、そのためセキュリティはデザインの一部になっていません。セキュリティを主要な設計上の目標とするような現在とは異なるインターネットの設計と構築を提唱する気はありませんか？　あるいは私達は現在のインターネットを微調整して今そこを流れている悪意の量を減らすことができるのでしょうか？

Paul:

私は核となるインターネットが問題とは思わない。いくつかのプロトコルはアップグレードが必要だが、インターネットは認証も品質保証もしないコミュニケーションを提供するという大きな仕事をしてきている。セキュリティポリシーをネットワーク層に適用しようと試みることは、インターネットを偉大なものしている自発性とオープンさを破壊することになるだろう。言い換えれば、私達にはインターネットが常に危険がつきまとうものであり続けるという事実に対処する方法を考える必要があるということだ。

私が改良されたセキュリティが本当に必要であると思う部分はプロトコル、アプリケーション、そしてインターネットを利用する装置だ。例えば、ムーアの法則で計算能力はとても安価なものになり、全てのWebページを暗号化してもいいくらいになった。同様にIPSEC,VPNトンネル,暗号化電子メールはもっと広く使われるべきだ。

もちろん、大きなネットワークにはいつも予測不能な複雑なセキュリティリスクがあるだろう。であるから、もし君がクリティカルなシステムを扱うなら、可能な限りネットワークから遮断するべきだ。


4)飛び込め

Accidental Hackによる質問

新入りは何をしでかすでしょうか？　私はサーバセキュリティに幾分かの責任のある立場に、正しい背景知識無しに置かれて（そして責任はしっかりかぶって）ます。いかにすれば私は頭を整理して重要な問題に集中し、ドアをしっかり閉め誰かにやりたい放題にさせないようにしたと確信が持てるでしょうか？　本や記事を読むことは十分ではないようです。しかしもしそれが一番の出発点なら、お勧めは何ですか？

Paul:

君は実際には二つの質問をしているね:いかにしてセキュリティについて学ぶかということと、何をしたらいいかわからない状況に置かれ時、君は何をすべきかということと。

セキュリティや暗号技術について学びたいと欲する人々にとって、私は実地経験の確かな提供者だ。君がセキュリティバグについて聞いたとき、いって何が実際におかしくなったかを見なさい。DES,AES,RSAそして君の任意精度ライブラリを実装しなさい。貧弱に構築されたLinuxマシンを2台セットアップし、それらに侵入するんだ。スニッファをインストールして君自身のネットワークのトラフィックを監視するんだ。ソフトウェアプログラムを観察し修正するんだ。C/C++を学ぶんだ。オープンソースの暗号コードの既知のバグを研究し新しいのを探すんだ。もし君が仕事で予算がつくのなら、セキュリティの専門家を雇いたくさんの質問をするんだ。君が何をするのせよ、法律に慎重に（君が同意しないものであっても）従って倫理的に振舞うんだ。

君の技術水準を越えた状況に君が置かれたとき何をするかという質問は、究極的には関わってくるリスクによるものだ。普通のサーバ（会社の電子メールやそういったもの）の場合、もし君がきちんとバックアップをとっているなら時折起きる問題は破滅的ではない。

一方、失敗の結果や成り行きが深刻なものである場合には、君は、開胸手術やボーイング747の操縦を私が試すべきではないように、ただ「やってみる」ことはできない。例えば、もし君がクリティカルなインフラや攻撃目標になりやすいマシン、ペイテレビのネットワーク（か、海賊行為と関わるもの全て）とか大きな顧客データベースを扱っているなら、助けを得るんだ。たとえ君が経験豊かだったとしても、君は誰か君の仕事をチェックしてくれる人を必要としているんだ。君が誰かを雇うときには、彼らが質問に答え、君を教育し、良いドキュメントを提供してくれるように念を押すんだ。マッドサイエンティスト、本格的なエンジニアリングをしたことのない人々、セキュリティ監査を脅威とか侮辱とかと受け取る人全てを避けるんだ。


5)量子コンピュータと暗号

Nova Expressによる質問

量子コンピューティングの進歩は現代の最新の暗号技術でさえ時代遅れにしてしまうのでしょうか？　暗号技術が量子コンピューティングが示しだす挑戦に打ち勝つ方法はあるのでしょうか？　そして、もし量子コンピュータが現代の最新の暗号を破れるとするなら、そうなるまでにはどのくらいかかるのでしょうか？

Paul:

量子コンピューティングはこの十数年の理論計算科学上、おそらくもっともクールな発見だろう。なぜならそれは計算のルールを完全に変えてしまうからだ。

しかし、実用的問題に関する限り、私達が心配しなければならない他の問題に比べるとそれは際立ったセキュリティリスクにはならない。私は量子コンピュータが従来のコンピュータを次の50年のうちに（例えば）RSA解読で凌駕することは非常に起こりにくいことだと考えている。私の懐疑の理由は、実用になる量子コンピュータを製作するのに関わってくる課題が眩暈がするようなものであるということだ。例えば、量子コンピュータは逐次動作しないため巨大にならざるを得ないが、（フリップフロップ無しの、組み合わせロジックだけのハードウェアを想像してみなさい）コンピュータが大きくなればなるほどデコヒーレンスはより大きな問題となっていく。エラー訂正テクニックは提案されているが、それはさらに回路の複雑性を増していく。

もし誰かが任意に大きな量子コンピュータを製造する方法を見つけたら、それはほとんどの現存する公開鍵暗号スキームの終焉となるだろう。共通鍵暗号は、セキュリティを同じレベルに保つために鍵の長さは倍になるだろうが、機能し続けるだろう。

注：量子コンピューティングは量子暗号とは違う。後者は盗聴を防ぐ方法であり、偏光された光子とエンタングルメントをふつう利用している。量子暗号は実装は可能であり素敵な研究対象になるのだが、私は、それが通信者に光子を直接交換することを求めるために、どんな実用的利用法も見出せない。その結果、それはパケット網では機能しない。さらに、AESといった現在のアルゴリズムは同じこと全部をでき、さらに他のこともできる。結果として、量子暗号が意味あるものになるような唯一のシナリオは、暗号学を葬り去るような信じ難い奇怪な発見、例えば誰かがP=NPを示すような場合だけだろう。


6)SSLとForward Security

Effugasによる質問

Paul,

Paul、第一に、ここでインタビューを受けることを承諾してくれたことに感謝します。非常に嬉しいことです。

私は、RSAの秘密鍵の妥協のためにSSLのセキュリティアーキテクチャーが破滅的な失敗をしてることをあなたがちっとも気にしないとしたら、好奇の念を抱きます。攻撃者は文字通り、一年の間全てのトラフィックを監視して、一回だけ解読し鍵を盗み、そしてその年の全てのトラフィックだけでなく次の年のぶんも全て非能動的に労せずに解読することができるのです。そしてもし彼がもっと能動的な攻撃をしたければ -- セッションハイジャックとか、悪意あるデータの挿入とか、その他いろいろ -- それもたやすいことなのです。

つまり、なぜでしょう？　とても多くの努力がセッションごとの秘密鍵をセキュアにすることに払われているというのに、何が非対称暗号（公開鍵）を脆弱なままにしているのでしょうか？　ええ、PGPはこうした故障に対して同じように脆弱です。しかしPGPは他のホストへのソケットといった特長を持たないのです。

より重要なことですが、この他は賞賛すべきアーキテクチャーの、この欠点に神経質な人々にたいして何をしてやれるでしょうか？　私はDSAモードを見ましたが、それはいっこうに広まらないように見えます（そのことはもっともそれを必要としているサイトにとっての妥当性を無くしています）。短期的RSAは興味深くみえますが、Rascolaのドキュメントによると最大でも512ビットのセッションごとの非対称鍵（不十分です）をサポートしているに過ぎないのです。もしVerisignが毎日新しく生成した鍵に署名するのなら、それは機能するでしょう -- ですが、おそらくそのサービスを得るために会社の一部の売却手続きに署名することになるでしょう。一個の完全修飾ドメイン名に結びついた一個の長い鍵にサインし、長時間の証明書から割り振った時間割の中の一時的な鍵にいくつでも署名できるようにするというのは可能でしょうか？

あなたの示してくださるであろうご明察に重ねて感謝もうしあげます。

敬具

Dan Kaminsky
DoxPara Research

Paul:

私はSSL3.0のDSAオプションつきの一時的Diffie-Hellmanを特にperfect forward secrecy(PFS)を提供するように設計した。DSAのパフォーマンスが懸念材料だったことは確かだが、それはもはや問題ではない。

[*]もし君がDSAを避けたいなら、君は通常のRSAハンドシェイクをしてその直後に認証されていない一時的Diffie-Hellmanハンドシェイクで再ネゴシエートすればいい。（SSL3.0とTLS1.0はいずれも、通信者に任意の時期に再ネゴシエート要求を出すことを認めており、その場合の再ネゴシエートのプロセスは最初のハンドシェイクの元に保護される。）君の質問にもあるとおり、一時的な証明書は適切な認証局が提供するなら機能するだろう。

SSL3.0でのPFSの義務づけは、パフォーマンス上の必要条件や、レガシーRSA証明書との互換性の維持の必要性や、ライセンス問題（1996年当時、RSAは特許になっておりほとんどの会社は特許のライセンスではなく限られたRSAツールキットのライセンスを持っているだけだった）のために実現できなかった。

全体として、私はSSL3.0がとてもたくさんの方法で使われ、世界でもっとも広く展開されている暗号プロトコルとなっているのを見て喜んでいる。私のした設計上の選択について討論すべき理由があるものの、私はプロトコルのPFSの扱いがその一つであるとは思わない。いくつかの実装についてはバグがありerror-analysis攻撃に対処するガイドラインが付加されるべきだが、全体としてプロトコルはよくできている。

[*]1996年（SSL3.0仕様が出来た時）、コンピュータは現在の速度の4%しかなかった。（ムーアの法則は7年間で速度の倍増が4.67回あると予測している。）今日、どんな現代のCPUも毎秒200個以上の2048ビットDSA認証を十分にこなせる。平均10ハンドシェイク/秒は負荷5％にしかならないが、それでも1CPUにつき864,000コネクション/日に等しい。君が最大級のWebサイトのひとつを動かしているので無い限り（あるいはセッションの再開を無効にするように設定ミスしていない限り）、これは問題にはなりにくい。本当に大容量サーバのためには、SSLアクセラレータがコスト的に見合いでき、それはとても高速だ。概して、今日標準的な暗号操作のスピードが実際に問題となる状況はほとんど無い。


7)開かれたP2Pコミュニティ内での信頼

smd4985による質問

オープンソースのP2Pアプリ（gnutella）を製作しているソフトウェアエンジニアとして、私達は大きな問題に直面しています:プロトコルを実装しているアプリケーションならいかなるものでも参加することのできる開かれた環境で、どうすれば信頼を確立することができるでしょうか？　私達は信頼状態を確立するためにさまざまな暗号システムを考えてみましたが、それはいくつもの致命的な欠陥がありました -- 何らかの一極集中（P2P環境では絶対駄目です）を必要する、「信頼できない」ベンダを排除する、などです。

私達は開かれた環境を維持しつつ通信者間で信頼を確立するために何ができるでしょうか？

Paul:

確かに分散型の信頼の確立（PGPのWeb of Trustが頭に浮かぶ）の方法が存在している。しかし君は信頼と完璧な匿名を同時に得ることはできない。君ができるもっとも信頼に近いことは過去の行動と主張に基づいて参加者を評価することだ。君は設計を始められるようになる前に、何を可能にしようとしているか、何を防ごうとしているか、合法的な行動と違法な行動をどんな自動化されたルールで分別するかについて、明確に定義する必要があるのだ。

（注:私は質問が合法的なP2Pアプリケーションについてのものだと推定しているが、P2Pシステムでの海賊行為は、著作権保有者達を立法府による法的救済を求める方向へと駆り立てている。インターネットが大規模に知的財産権を犯すことに使えるという事実は、その行為を道徳的にするわけではない。）


8)どう思います？

Charles Dodgesonによる質問

私が最初にある脆弱性の発見（例えば、私はあなたの名前をあなたの発見報告のMD5から覚えています）について読んだときから、私はつねにシステムの設計者やその時点でのコミュニティの枠組みを超える発想に衝撃を受けています。同じ衝撃をTiming攻撃やそれに似たようなことについても受けています。私が百万年かかっても思いつかないことがあるのです。私にあなたのような精神がいかに働くかについて、そしてこれがどこまで訓練可能な技術であるか何か教えてくれませんか。

私はふつうは、「枠にはまらない考え方」という決まり文句が嫌いです。でもここでは完璧にあてはまると思います。

Paul:

セキュリティの仕事は複数のレベルでシステムを理解することが必要だ。例えば、差分攻撃法の発想は、トランジスタレベルの特性が論理回路に影響し、それがマイクロコードに影響し、さらにそれがCPUに影響し、暗号アルゴリズム、プロトコルと影響していって、それがビジネスの要求に影響するということに関連があるのだ。単一のレイヤで仕事をするのに慣れたエンジニアにとってセキュリティ分析の結果はしばしば驚くべきものに見える。幅広い経験も重要だ。セキュリティ問題は、別々の人々によって設計された領域間の意外な相互作用が関わっているものが数多く、大部分だからだ。

私にはしばしば二つの事柄が無視されていると思えてならない、低レベルのプログラミングと統計だ。これはいかにモノが実際に働くかということを理解し、システムが故障する可能性を評価するのに必須だ。懐疑的な意識も重要だ。あなたが納得するまで、物事は悪いと考えるようにしてみなさい。

問いかけて役立つような質問は次のようなものがある:

-どんな情報や可能性が攻撃者に利用されうるか？
-まだ隅っこに隠れていて誰も調べていないような事例には、どんなものがあるだろうか？
-システムを設計したの技術者は、怠惰あるいは未熟な設計者ではなかったろうか？
-利用者はどんな状態に置かれるだろうか？
-セキュリティ防衛線のもっとも複雑な部分はどこだろうか？（複雑な部品はもっとも故障しやすい。）
-どんな暗黙の仮定がなされているだろうか、そしてそれは正しいだろうか？

もし君がどんな風に評価をはじめていいか不確かな時には、設計の概略を書き出してみたまえ。君はそうすれば目標と自分のした設計とを比較することができる。そこでの相違点は大抵、君のやった間違いを明らかにする（良い学習方法だ）か、あるいは目標のシステムの問題点を明確にする。


9)テクノロジーは私達を追い越しているのでしょうか？

Cozによる質問

質問をする機会を与えてくださってありがとうございます。

最近20年間で暗号技術は、主要な政府機関やビッグビジネス、また変わり者のホビイストや研究者のものから、誰も参加できる（している）大きな公共的な産業へと移り変わり、ほとんど毎週のように新しいアルゴリズムや新しいアプリケーションが発表されています。その一方で、暗号システム自体の原理的欠陥の発見に努めている人についての話は、さまざまな暗号システムの実装の脆弱性ほど頻繁には聞かれません。

これらの事実から、私達には（他でもないあなたのSSL3.0などの）暗号システムの実装を検証し「推奨」することに視点を移す必要がある、とお考えになりますか？　それとも「暗号コミュニティ」の重点は引き続き、暗号システムの革新とそれを用いた新しいアプリケーションに置かれるべきなのでしょうか？　暗号システムがきちんと実装されているかを検証する者がいることの重要性について、どのようにお考えですか？

Paul:

検証は間違いなく、もっとも重大な、セキュリティ分野における未解決問題だ。

私はセキュリティを確率的問題と見ている -- 失敗する可能性は常にある程度存在するが、検証は失敗の公算を減らす唯一の方法である、とね。例えば、よくテストされたコードは、テストされる前の同一部分と較べてよりセキュアになっている。

革新は研究者側にとって偉大なことであるが、現実世界のシステムは可能な限りよくテストされた技術を使うべきだ。たとえば、アルゴリズムでは、何か別のものを使わなければならない（稀だ）のでなければRSA、triple DES、AESやSHA-1をCryptography Research社では使う。私達はこれらのアルゴリズムを、皆よくレビューしてあり、予測できない暗号解析的な攻撃のリスクが低くなっているから使う。対して、新しいスキームの破滅的欠陥はとてもよくあることだ。

君が基本的アルゴリズムの段階を超えると、検証は不幸にも多くの理由により極端に難しくなる。

-ソフトウェアの複雑さは指数関数的に増加するが、熟練のセキュリティ専門家（と彼らの知性と生産性）はおおむね一定のままだ。
-多くの設計は貧弱に構築もしくは実装されており検証できない。
-検証は新しいコードを書くよりもっとずっと難しい（そして楽しくない）だからほとんどの人々はそれを避ける。
-技術者はテストしきれないほどの多量のコードを書いていく。
-今ある検証ツールは本当に貧弱なものだ。
-ほとんどのユーザはより良いセキュリティに余分の金を支払わないため、セキュリティテストのコストは正当化し難いだろう。
-ユーザにとってよくテストされた製品とそうでない製品の区別をつける簡単な方法はない。
-テストには長い時間がかかり、製品の立ち上げを遅くする。
-攻撃者は標準に自分自身を限定することは無いので、セキュリティ評価を標準化する簡単な方法はない。
-90％の欠陥を捕捉する事は、もし攻撃者が欠陥を見つけるのに10倍の努力を集中する気があるなら役に立たない。
-開発者はリスクの結果を引き受ける者ではないから、セキュリティのために苦痛に満ちた犠牲をはらう動機に乏しい。

長い目で見て、私はセキュリティが薬品もしくは航空産業のようになるだろうと思っている。法規制と保障責任が安全を課すが、製品開発を非常に高くつくものにするだろう。現在行われている状況よりどれだけいいか悪いかには関係なく、それは避けられないものに見える。


10)Re:fhnlsfdlkm&5nlkd%Bvbcvbc

Annoymous Cowardによる質問

0eefa Uv, V'z jbaqrevat vs lbh guvax gurer'f n shgher sbe EBG13. V'ir urneq vg'f cerggl frpher...

(やぁ、僕はあなたがROT13の未来をどう考えているんだろうと思っているよ。僕はそれはとってもセキュアだって聞いているんだけど…)

Lbh pna ernq guvf? Qnza!

(これを読めるの？　なんてこった！)

Paul:

すごい！ Juvyr lbh znl unir svtherq bhg zl fhcre-frperg EBG13 pvcure, abobql jvyy rire penpx *guvf* zrffntr orpnhfr V fjvgpurq gb bhe hygen-frperg cyna O: nccylvat n Pnrfre pvcure 13 gvzrf :-).
　(だが君は私の極秘のROT13暗号を解けるかもしれないが、私は私達のチョーひみつ計画Bに移行したから、誰も*この*メッセージを解読することはできないよ。)

(それはシーザー暗号を13回適用するんだ。)

訳注