[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

「tls」を含む日記 RSS

はてなキーワード: tlsとは

2024-06-27

プロ機械学習もやってないやつのコード

プロ機械学習系のクソコード・クソジャークっぷりが取り立たされてるけど、クソコード・クソジャークっぷりは何も競プロer機械学習er専売特許ではない。

自分経験したやつを以下に列挙する。

組み込みerC言語)のクソコード・クソジャークっぷり

フロントエンドerのクソコード・クソジャークっぷり

インフラerのクソコード・クソジャークっぷり

VBAerのクソコード・クソジャークっぷり

2024-06-18

運転免許証マイナカードICチップの違い

運転免許証にもICチップがあるからマイナカードと同じことができる」と勘違いしている人が多いので以下解説

運転免許証ICチップ:
マイナカードICチップ:

以上の理由により、今後オンラインでの本人確認マイナカードに一本化されていく。運転免許証オンライン本人確認に使えなくなっていく。

対面での本人確認なら引き続き運転免許証を使える。

運転免許証ICチップを読んで偽造対策するのは有効だけど、それは対面で本人確認するときの話。

2024-03-24

anond:20240324025847

でも、増田を見るにはHTTPS対応する必要があるので、TLS実装しなくてはいけませんよね

2024-01-21

anond:20240121161553

TLS等身大POPを飾ってるし

ときメモのマグでコーヒージュース飲んでるし

センチタペストリは飾ってる

北へ。シリアル入り複製原画は目が覚めたら見える場所に飾ってある(陽当り厳禁)

アカイイトの複製原画も飾ってる


ラインナップで分かる通り、結婚とかは諦めた口だが

4.5畳の部屋を展示場みたいにしてる

逆に最近アニメとかはグッズ買わないな

ガルパンくらいか

2023-09-27

SSL/TLSの鍵交換にRSAは使われない」「電子署名=秘密鍵暗号化は間違い」

こんなしょーもないことを何年も言い続けてる病人、ヤバくね?

2023-05-05

自動計量IH炊飯器レビュー

anond:20221228030607 の続き。

ようやく実機がGW前に届いて使ったのでレビュー

設置・設定編

Apple製品のようなスマートさは期待してなかったがある意味予想通りで期待通りだった。

アプリを使った初期セットアップの流れは以下。

1.専用アプリパナソニック調理家電アプリ)をインスト

2.専用アプリ自動炊飯器登録

3.専用アプリから自動炊飯器無線LANを設定

特に難しいということもないがスマートではない。

たとえば2の登録では「家電登録ボタンを押す」→「機種カテゴリ選択」→「品番を選択または家電本体QRコードを読ませる」という流れになるが、機種カテゴリを間違えると品番は見当たらないしたとえQRコードを読ませてもエラーとなる。なお本機の機種カテゴリは「自動計量IH炊飯器」であって「炊飯器」ではないので、上から順に見て「炊飯器」だと思って選ぶと登録できない。まあこれは注意すれば回避できるので大した問題でも無いが。

厄介なのは3の無線LAN設定時、ここでは背面のQRコードを読ませるのが必須なので意気揚々と設置した後にもう一回持ち上げて裏を向かせる必要がある。それなりに重量も大きさもあるのでペラ1枚の注意書きぐらいは欲しいところ。

アプリ

アプリでの操作大前提としている作りなのでアプリの使い勝手重要になるが、キッチンポケットというパナの調理家電アプリの一機能としている時点で不安があったがまあお察しというか、やはりこれは「日本家電」であって「ガジェット」ではないという感想

予約エラー時の動作について

たとえばお櫃(内釜)を入れずに炊飯予約を入れるとどうなるか?

内釜なしで炊飯することは出来ないので、画面上では「お櫃が設置されていない」というエラーが表示される。ここまではいい。

問題はこのエラー解除には本体で「キャンセルボタンの押下が必須アプリを一度落とそうが必ず本体側でのキャンセル操作必要

どうせお櫃をセットしないと動作しないガードが掛かっているのに、予約キャンセルボタンをわざわざ押させる理由はなんなんだろうか。

炊飯予約について

アプリ上で炊飯時間炊飯量・炊飯の速さの組み合わせを3パターン登録できるが、毎日・毎週といった設定や炊飯2回分の先行設定も不可。つまり毎日毎回必ず手作業で予約しろということ。

毎日自動炊飯されると、手入れを忘れたときに衛生面に問題が出るとか色々考慮したのかもしれないが普通に考えてこれは不便だ。

炊飯時間について

設定の約1時間15分前に「そろそろ炊飯始めるぞ、予約変更するなら早くしろ」というアプリ通知が飛び、1時間前に炊飯前の計量が開始されて時間通りに炊き上がる。

炊き上がるとアプリ通知が飛んでくる。この辺は予想通り、期待通りなので特に何もなし。

炊飯中について

米と水の計量時に多少音がするだけ…と思っていたら、炊飯中はずっとファンの音がする。

後部の底面から吸気して、内釜の方に送風しているようだがいまいち用途がよくわからん。この辺は取説にも余り詳しく書かれていない。

なお蒸気レス炊飯できるという記載は無いが炊飯中に蒸気が出ている気配は無い。

炊飯中にキャンセルボタンに触れるとどうなるか

ちなみに本機のボタンは「静電式ボタン」と呼ばれるもの物理的に押し込むのでは無く、触れるだけで反応する。

記念すべき初回の炊飯中、ふと水平状態が気になり(キッチンの端っこ、IHコンロの段差部分に設置したため)iPhoneの水準器で水平状態確認してたらキャンセルボタンに触れてしまったらしく、文字通り炊飯キャンセルされるというイベントが起きた。普通炊飯器であれば再度炊飯開始ということが可能だと思うが、本機は計量から自動炊飯器なので計量からやり直さなければならない。つまり内釜に入った水とコメは捨てるか鍋にでも入れて自分で炊くしかない。泣く泣く捨てた。そして二度と本体には指1本触れないと誓った。

本機の購入キャンペーンで貰った米(確かコシヒカリ)だが特に可もなく不可もなし。特に味に拘りはないがトップバリュパックご飯よりは美味しい…ような気がしないでもない。

手入れについて

内釜とその蓋については洗い物ついでに洗えるのでさして面倒ではないが、蓋はパッキンが付いている(取り外し不可)ので完全乾燥させるには放置するしかない。小さい水滴を気にしないなら、布巾で拭けるだけ吹いてセットして次の日の炊飯というのも有りだとは思う。

内釜は一応コーティングされてるようだが一回使っただけでうっすら傷というか跡が付いたのでコーティング寿命は余り長くないかもしれない(使った杓文字は本機の購入キャンペーンで貰った木製のもの)。

地味に本体とお櫃を繋ぐ連結パッキン部分も毎回の手入れ箇所となっている。ここは炊飯直後には水滴が付いているので放置すると禄なコトにはならなさそうだし、外からは目に見えにくいという厄介さがある。カビとか生えたりしたら恐怖なので取り外して洗えるようにして欲しい。

タンク毎日入れ替えることになるからか毎回の手入れ指定はされていないが、水を扱っているので経年で水垢とかが付くのだろうなあという予感がある。

この水タンク、内側もかなり複雑な形状で手入れはかなりし難い。水垢が目立ってきたら補修部品と交換した方が絶対早い。

良いところ

  • 0.5合から0.25合刻みで計量不要炊飯できるところ
    • 計量なんて人類がやることではない、という人には本当に有り難い
  • 奥行きは既存炊飯器並だが、横幅は小さいので狭いキッチンでも置ける
    • が、高さはあるので実物を見るとそこそこ大きく見えて一瞬後悔した。なお既存炊飯器も、蓋を開けると高さが必要になるしその時の高さは本機よりも大きい(ようだ)。

駄目なところ




トータルとしては面白いコンセプトと思うので、一般販売されたらより良く……なってるといいなあ。

2023-04-08

anond:20230408001224

ワイが代わりにchatGPTに聞いてやったやで

 

1.電子メールの内容は、中継サーバーで盗み見可能なのか?

中継サーバー上の電子メールは、暗号化されていない場合は、中継サーバー管理者攻撃者によって盗み見られる可能性があります。ただし、多くのメールプロバイダーは、暗号化された通信プロトコル(例:TLS)を使用して、中継サーバー上の電子メール暗号化しているため、中継サーバー上で盗聴される可能性は低いです。

 

2.電子メール送信される過程で、怪しい第三者が設置したサーバーを経由して送られることはあり得るのか?

インターネット上のどこかに、怪しい第三者が設置したサーバー存在する可能性はあります。このようなサーバー使用して、電子メール送信すると、そのメール第三者によって盗聴、改ざん、または中断される可能性があります

 

3.電子メール送信元のクライアントと受信先のクライアント間のP2P暗号化される技術は何があるのか?

P2P暗号化された電子メール送信するために使用できる一般的技術には、Pretty Good Privacy(PGP)、GNU Privacy Guard(GPG)、またはS/MIMEがあります

 

4.「3.」の実現は中小企業で導入するのは難しいものなのか?

PGP、GPG、S/MIMEなどの技術中小企業実装することは可能ですが、技術的な知識スキル必要です。また、P2P暗号化された電子メールの受信側も同じ技術使用する必要があります中小企業では、公開鍵暗号化を使用したエンドツーエンド暗号化提供するメールサービスを利用することが簡単効果的な解決策となる可能性があります

 

5.中継サーバーを経由するなら、メールアドレスは容易に漏洩し、迷惑メールが来るのはそれで漏れたのが原因?

中継サーバーを経由することによって、メールアドレスが漏洩する可能性があります。この漏洩によって、スパムメール送信元として使用される可能性があります

 

6.例えば、会社PCWiresharkからネットワーク上を流れるデータを盗聴し、隣にいる社員メール内容を盗み見することは容易に可能なのか?

Wiresharkなどのネットワークプロトコルアナライザーを使用して、ネットワーク上を流れるデータを盗聴することは可能です。ただし、一般的には、電子メールの内容は、中継サーバー上で暗号化されているため、中継サーバー上での盗聴による情報漏洩がより問題となります。また、会社ネットワーク内でのデータ盗聴は、セキュリティポリシー監視機能の設定によって防止される場合があります

電子メールが中継サーバー漏洩するリスクを知りたい

疑問

1. 電子メールの内容は、中継サーバーで盗み見可能なのか?

2. 電子メール送信される過程で、怪しい第三者が設置したサーバーを経由して送られることはあり得るのか?

3. 電子メール送信元のクライアントと受信先のクライアント間のP2P暗号化される技術は何があるのか?

4. 「3.」の実現は中小企業で導入するのは難しいものなのか?

5. 中継サーバーを経由するなら、メールアドレスは容易に漏洩し、迷惑メールが来るのはそれで漏れたのが原因?

6. 例えば、会社PCWiresharkからネットワーク上を流れるデータを盗聴し、隣にいる社員メール内容を盗み見することは容易に可能なのか?

疑問の詳細

疑問の背景

会社日常的に契約書のPDF重要文書を送付しあってるけど、あれ、内容が漏洩することはないの?

あと、会社情シスから、「迷惑メールが突然来るようになるのは、第三者が設置した中継サーバーメールアドレス漏れしまからインターネット不特定多数サーバーを経由するからITを囓ったものなら誰でもそれは分かる」と言われた。確かにインターネット(というかTCP/IP通信)では冗長化されたネットワーク上でパケットが送付されるが、第三者個人が設置した野良サーバーを、会社から送付されたメールデータが経由するものなのか・・・

思えば、正直、電子メール技術的詳細を知らなかった。

送信プロトコルとしてSMTPがあり、受信はPOP3IMAPがあるのは知ってる。

送信アドレス偽装が容易なのも(エンベロープFROM)。

バイナリBASE64エンコードされる、とかも。

 

各疑問の詳しい説明

1.について: TCP/IP通信では冗長化されたネットワークパケットが通るのは分かるが、例えばGmailからOCNメールに送られるとして、都内在住のマンションに住むある悪意を持った人物が設置したグローバルIPを持つ野良サーバーを経由して送られる、なんてことがあるのか? あるとは思ってなかったのだが。。。

 

2.について: 上と同じ。

 

3.について: S/MIMEかな? PGP会社使用されているのは見たことがない。

 

4.について: S/MIMEPGPは、例えば社員400名くらいの小規模な弊社でも導入は容易なのだろうか。Microsoft 365のExchange Serverの設定がいるの?

 

5.について: 情シスがこれ(メールアドレスは中継サーバー漏洩するもの)を気にしていた。だから重要文書メールで送ったりするな・・・と。そうなのか? 初めて知ったのだが。。。メールアドレス漏洩は、リスト型攻撃みたいに文字列(@の左側)を試行して特定ドメインに送付され、届かなければ存在しない、届けばその文字列アドレス存在する、みたいなやり方とか、あとダークウェブで入手するものとか、そうだと思ってた。

 

6.について: 弊社の情シスが言うには、メールの盗聴というのは容易に可能からメールPDF給与明細を送付するなんてことは絶対にできないらしい(でも、普通にしてる気はするけど・・・)。確かに電子メールネットワーク上を平文で送付されるかもしれないが、パスワード付きPDFにすればいいし、給与明細Webサイト閲覧の形にしてTLS通信させればいいじゃん。そういうクラウドサービスあるんだし。そもそも、社内のHUBに悪意ある第三者LANケーブルつないでパケットキャプチャするとか、実現の難易度高すぎるから、それは想定しなくていいんじゃないの?

 

 

ていうのか、疑問。誰か教えて。

2022-08-05

IT用語お笑いコンビ名考えなくちゃいけなくなったんだけど

なにかいいのある?

ちなみに

・タプル&カラム

ARPRARP

・昔SSLTLS

くらいは考えてる

追記

お笑いコンビ名”って言ったろ?

笑えないの多すぎんだよ…涙拭けよ

あと「&」は全角大文字にしないと&になるぞ

2022-06-27

Core Keeper Dedicated Server を VPS 上に構築したときの手順メモ

Ubuntu 22.04 LTS x86_64 で構築。

CoreKeeper側で apt依存しているっぽいので、Ubuntu でやった方が楽だと思います

Tips

Ubuntu 20 TLS でやる場合、/home/steam/Steam/ が /home/steam/.steam/ になってたと思うので、環境に合わせて読み替えてください。

Install steamcmd dependent packages

dpkg --add-architecture i386
add-apt-repository multiverse
apt-get update
apt-get dist-upgrade
reboot

Create steamcmd User

useradd -m steam
passwd steam
gpasswd -a steam sudo

Steamcmd / Core Keeper Dedicated Server Install

sudo -u steam -s
cd
sudo apt install steamcmd
ln -s /usr/games/steamcmd steamcmd
./steamcmd +login anonymous +app_update 1007 +app_update 1963720 +quit

Run steamcmd (Install and Creating Core Keeper Dedicated Server system drectory )

cd ~/Steam/steamapps/common/Core\ Keeper\ Dedicated\ Server/
./_launch.sh

Press Ctrl + C for Stop Core Keeper Dedicated Server

World file migration (if there is an old file)

mkmir -p -m 775 /home/steam/.config/unity3d/Pugstorm/Core\ Keeper/DedicatedServer/worlds
chown steam:steam /home/steam/.config/unity3d/Pugstorm/Core\ Keeper/DedicatedServer/worlds

Copy old world file (0.world.gzip) to

/home/steam/.config/unity3d/Pugstorm/Core\ Keeper/DedicatedServer/worlds

Copy old setting file (*.json) to

/home/steam/.config/unity3d/Pugstorm/Core\ Keeper/DedicatedServer/

chmod 664 /home/steam/.config/unity3d/Pugstorm/Core\ Keeper/DedicatedServer/worlds/0.world.gzip
chmod 664 /home/steam/.config/unity3d/Pugstorm/Core\ Keeper/DedicatedServer/*.json

Backup setting

vi /etc/cron.hourly/corekeeper_backup

#!/bin/bash
cp -a /home/steam/.config/unity3d/Pugstorm/Core\ Keeper/DedicatedServer/worlds/0.world.gzip /home/steam/worldbackup/0.world.gzip.`date '+%Y%m%d%H%M%S'`
cp -a /home/steam/Steam/steamapps/common/Core\ Keeper\ Dedicated\ Server/CoreKeeperServerLog.txt /home/steam/worldbackup/CoreKeeperServerLog.txt.`date '+%Y%m%d%H%M%S'`

chmod 777 /etc/cron.hourly/corekeeper_backup

sudo -u steam -s
cd
mkdir worldbackup

Start Core Keeper Dedicated Server

sudo -u steam -s
cd ~/Steam/steamapps/common/Core\ Keeper\ Dedicated\ Server/
nohup ./_launch.sh
tail -f ~/Steam/steamapps/common/Core\ Keeper\ Dedicated\ Server/CoreKeeperServerLog.txt

サーバースペック

利用者問題か、サーバー問題かわかりませんが人数が10人超えると CPU4コア/メモリ4G/100Mbps で結構ラグかったです。

今は CPU6コア/メモリ8G/1000Mbps で動かしています

不具合 (2022/06/28時点)

6-8人以上で2-3時間サーバー動かしてると、Unityライブラリがsegfault起こして、Core Keeper Dedicated Server が落ちます

ログ取れたのでバグレポしましたが、改善するまでは不特定多数が好き勝手するサーバーみたいなのを長期運用するのは厳しいかなと思いますタイミングによってはアイテムロストしてしまうので。

遊びで使うなら、ウォッチドック的なサービスを入れて、落ちたら適宜起動しなおすみたいな対応をした方がよいと思います

2022-04-30

FirefoxTLSハンドシェイクが定期的にタイムアウトする問題が直った気がする

直った気がするけどIssueが見当たらねえ

なんかのコンポーネントを書き直した時に一緒に直ったのか?

2021-12-27

ネットワークプリントサービスサーバーお客様との通信で、TLS 1.0/1.1の無効化を予定しておりましたが、諸事情により延期いたしま

事情

IE11すか?

2021-12-02

anond:20211202122148

OSINTというやつやね。

OSINTは、公開されている(登録認証不要な)アクセス可能ソースからターゲット企業に関する情報受動的に収集することだけを行います能動的にスキャンをしたり攻撃をしたりしてはいけません。以下はOSINTの対象内と対象外の行為の例をまとめたものです。

OSINTの対象外にある行為許可なく実行した場合違法犯罪)になります

https://tex2e.github.io/blog/security/osint

そいつを上手いこと煽ったりして聞き出したりした情報プロファイリング」の部分が怪しいんとちゃうかな。

2021-09-28

N〇Tの大きな課題

暴露系・叫び系はバズるらしいので暴露系を叫んでみる

転勤・単身赴任原則廃止すると宣言した某グループだが今のままだと恐らく何にも変わらない

現状の転勤・単身赴任者は例外者としてエクセル名前記載され

四半期に一度名簿の確認PDF出力された管理簿に部長電子署名が行われるような儀式業務が増えるだけのことが起きる

他にも紙の廃止とかも発表されていたが、同じように紙の使用時にエクセル管理簿に記載するという手順が増えたり

紙の使用時にはエクセルチェックシートの提出が求められたりして手間暇が増えて紙の使用は減らないということが冗談では無く本当に起きる

テレワークは持株やその他本社組織では進んでいるが支店営業なんかは全然進んでいない

このグループがなぜこんなにトップの言うことを聞かないかというと、実は原因は明らかで持株は戦略ビジョン策定してもその実行を各事業会社委任するから

もちろん迅速な遂行のために権限委譲するのは当然なのだが、委譲された組織もまたバカかいので更に権限委譲する必要が出てくる

そうなると今度は人材不足に陥る

ぶっちゃけ持株や本社系ですらヤバい人が割といるのにそこから更に下の組織になるとまともな人を探す方が難しい

できることはエクセルパワポを使ったアーティスティック業務と聞いているだけのミーティング参加、という人が大半で

とてもじゃないが戦略ビジョン理解して新しい取り組みを遂行できるわけがない

そんなところに「原則廃止」なんていう指示を出したら「例外場合はどうするか」しか考えない

権限委譲された人も「そうだよね、無理だよね」ってなって何かを変えようなんていうしんどいことは誰もやらず

エクセル管理簿を更新していくというトータルで見るとしんどいことを皆がやるようになる

こういう現状を知っている上の方の偉い人達権限委譲したがらないので管理するようになるが、そうすると今度は幹部が忙しいことを逆手に取った打ち合わせ・エスカレ調整による時間切れ作戦とかが出てきてしまい、結局幹部疲弊してエクセル管理簿を承認することになる

とにかくこの企業の大半の人は今の仕事のやり方を変えたがらないので、ドラスティック業務改革必要なんだが、電話が止まると省庁に滅茶苦茶怒られるのでそうそう変えられない

恐らく仕事のやり方を変えてしまうとやっていける自信が無いので変えたがらない

管理簿やチェックシートを一度作ると廃止したことで何かが起きるかも知れないからどんどん増えていく

TLS接続するDaaS環境なのに念のためにVPN上で接続するような仕様にしてしまい、DaaS動作が重いだけじゃなくサーバ負荷も高くなって全社員から文句が出ているのにセキュリティはよく分かっていない人ばかりなので怖くてやめられない

能力が低い、というとそれまでだが、異動が多すぎて専門性を高められていないのも大きな要因だと考えられる

まり、広くて凄く浅い知識を持った社員ばかりなので今の業務を変えるだとか新しい取り組みなんかの業務を持株から割り当てられてもとてもじゃないけれど実行できないのだ

文句ばかりになってしまったが、本当に改革したいなら持株でちゃんと優秀な人を集めた「特命改革チーム」を作り、社長レベル権限予算を持たせて事業会社に送り込めばいい

ぶっちゃけ社内にそんなことができる優秀な人はいないと思うからコンサルに大量発注すればいい

金で解決できるのに自前主義とか育成観点とか言い出すのでいつも失敗している

ただ失敗が分かる頃には今の社長は変わっているので、新しい社長がまた別のことを言い出して同じようなことを繰り返すだろう

どうせ今回も同じように失敗する

悪いけれどみんなそう思ってる

2021-09-18

東武ストアサーバー証明書が死んだようだな

最近漫画公式サイトやらかしてたけど、資本金一億越えの大手私鉄スーパーでもこんな雑な運用なのか。

https://www.tobustore.co.jp/

NET::ERR_CERT_DATE_INVALID

Subject: www.tobustore.co.jp

Issuer: GlobalSign GCC R3 DV TLS CA 2020

Expires on: 2021/09/18

Current date: 2021/09/18

2021-09-02

anond:20210902084629

Web化されたら雇用を維持できなくなる、非効率な繫文縟礼であることが彼らの仕事

彼らにとっては「仕事っぽいことをしていると思うこと」が重要なんだよ

Web化されれば3秒で終わることを10分かけてやる

「結果」じゃなくて「労働した感」のためにそこにいるわけだ

TLSでエンドセキュリティ担保されていればPDFよりセキュア、っていう指摘は「わかっている人」って感じだけど、

99.999%の役人はその意味がわからいからな

PDFセキュリティにこだわるならAdobeのLiveCycleとか使うはずなのに、そんなのを使ってる官公庁を見たことがないってのがそれを証明している

地方自治体を中心にPowerPlatform採用したり地味なイノベーションは起きてるから時間問題だとは思うけどね

海外よりその歩みが遅いというだけw

PDF公開はいらない

https://www.digital.go.jp/posts/kMccIpBR

この記事ブコメがまぁまぁひどい。

論点

デジタル庁ともあろうもの役員人事の情報PDFだけで公開するのはどうしたものか」

という点なんだけど、やたらPDF擁護派が目立つ。

そもそもデジタル化(デジタライゼーション)とは

これまで紙文書として管理していたものWordExcelPDFにして管理することで

無駄プリンターでの印刷や紙媒体の保存などから脱却する、というのはデジタル化ではなくて単にペーパーレス

デジタル化というのはそれらの文書管理されていた情報構造化されたデータ統一

検索可能にしたり統計処理可能にしたりすることで業務効率化や解析による知見の発見を目指すもの

単に人事情報をPDF化したり、それをHTML化したりしてもまったくデジタル化ではない

大手企業とか政府とかならPDFHTMLになる前にシステムに投入してるんでしょ?」

と思う人が多いかもしれないが、実体としては大手企業政府ほどそういうシステム導入がされておらず

実質的に共有フォルダに置かれたPDFファイル管理されていたりする

これには定期的な人事異動が関連していて、システムを導入するとシステム操作の習熟という引き継ぎが発生してしまうために業務効率が悪い

それよりも一般常識化しつつある共有フォルダに設置されたPDFPPTを閲覧してもらったり編集して貰う方が誰でもできるし効率的、という現実があるためだったりする

この辺がPDF擁護派が本来主張しなければいけない部分

デジタル化の肝

こういった状況の大手企業政府に対してデジタル化を推進してもらうために取るべき方策は下記の通り

この3つを全て進めていかないとデジタル化はただのペーパーレス化になる

よくあるのは2つ目だけが行われ、慣例的に文書管理されているPDFファイルを共有フォルダではなくシステム投入するだけのデジタル化だ

結局データ解析できないからそのPDFOCRしようとかいう謎のムーブメントを見せたりするが

PDFに書かれている内容が構造化されていないので当然ながらデータ化できず、解析もできない

よくある領収書とか請求書とかは解析ができたりするがそういうのはそもそも電子的にやりとりされていてやる必要が無く

社員による立て替え払いの時だけ発生していたのがデジタル化されてお茶を濁される

PDFを公開することの何がダメ

「内部でPDF管理しているんだから公開するときはそのファイルリンクすればいいよね」

という安易な考え方に基づいてるのがPDFファイルWeb公開

まり1つ目の業務単位での見直しができていないし、2つ目のデータ構造化も行われていないだろうということが予想できる

また3つ目の利用者メリットのことを考えてみても、この役員人事の情報PDFで貰わないと困る一般人など存在しない

どうしても印刷したい人とか、どうしても自分管理している共有フォルダに置きたい人、なんかはいるのかもしれないが

それにしてもHTML表示されているものを保存するなり印刷すればよい

それよりもスマホで見ているのにA4縦の形式で表示される方がよっぽど不利益が大きい

デジタル化することで構造的なデータにさえなれば、表示する媒体に合わせてレイアウトを変えることは難しくない(大変ではあるが)

また、もしかしたら別の省庁や地方自治体とかがPDF保存している、というのは2つ目の統一的なシステム化ができていないことを意味する

まぁそもそもそれが本当に必要かという話にはなるだろう

PDFであれば改変ができないので公文書には最適」

などという意見もあったりするが、そもそもPDFであれば改変できないというわけではないし

今時なら画面キャプチャしてOCRをかければほぼ同じものが出来てしまうのでほぼ無意味である

それよりもTLS化されているURLで改変されていないことを保証することの方が何倍も役に立つ

結局のところPDFでこの手の情報を公開することには何のメリットもないが、ペーパーレス化のレベルで止まってしまうとPDFメリットばかりを主張しがちになってしま

今回のPDF公開は何がダメ

結論から言うと別にダメではない

発足したばかりの組織上記の3つをいきなり解決できるわけがない

これから少しずつデジタル化していくのだろう

ただ、一番大変なのは業務見直しである

この慣例的に行われているPDFファイル公開をやめる・やめさせるのは大変に骨が折れる

単純に「やめなさい」と下達的に言うだけなら簡単だが

そうなると結局はPDF管理HTML編集の2倍の工数がかかって実務者の反発しか生まない

更にはPDFHTMLの二重管理になってしまって不整合が発生する、なんていうのも想像できる

業務見直しシステムを入れ、利用者作業者メリットを与える、という3つを同時に進めないと上手くいかない

大きな組織でこれをやるのは非常に骨が折れるだろうが頑張って欲しい

PDF公開が無くなったときにはこれほどの大きな調整が行われたのだ、と素直に喜びたい

2021-07-02

anond:20210702002618

TLSは「Transport Layer Security」の事であって、「True Love Story」のことではない

2021-06-03

[]2021年5月はてブあとで読むトップ30リスト

はてブホットエントリ(総合)で月内に数多く[あとで読む]タグを集めたエントリ

400あとで/2455users ハーバード大プログラミング講座を日本語化 無料で学べる「CS50.jp」公開 - ITmedia NEWS

340あとで/2437users 米ハーバード大学のプログラミング授業 日本語訳無償公開 誰でも聴講可 | ツギノジダイ

335あとで/2327users 東大無料公開している超良質なPython/Data Science/Cloud教材まとめ (*随時更新) - Digital, digital and digital

292あとで/1762users 新人の方によく展開している有益情報Qiita | kazuo_reve

244あとで/1441users 知っておきたかったLinuxサーバ設計、構築、運用知識まとめ - hiroportation

228あとで/1463users Google提供する無料AI講座受けてみた 1時間機械学習の基礎がわかる | Ledge.ai

227あとで/1355users 無料で読める、東大京大の「Python教科書電子書籍AI機械学習無料電子書籍 - @IT

220あとで/1750users 研究の話 | 医療法人豊隆会 ちくさ病院

208あとで/1145users ブラウザレンダリングの仕組み | Aki Kahamura | Zenn

191あとで/1151users すべての働く人におくるストレスマネジメントの基本 | knowledge / baigie

188あとで/1023users 【図解】https(SSL/TLS)の仕組みとシーケンス,パケット構造暗号化範囲, Encrypted Alert, ヘッダやレイヤについて~ | SE道標

187あとで/989users 認証と認可の超サマリ OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本 | ほげさん | Zenn

180あとで/1161users すべての開発者へ。すごいGitHubリポジトリ10選 – Qiita | baby-degu

179あとで/2080users 山本ゆり(syunkon レンジは600W) on Twitter: "今まで紹介したレンジハンバーグ個人的に優勝。この手間でこの味になるかと驚くほど簡単で、本当に美味しい(包丁不要。ボウルで捏ねないかヌルヌルの洗い物もナシ) 卵の有無、練り具合、つなぎの量など何度も試作しました。柔らかくジュ… https://t.co/BXntIVz5NQ"

169あとで/1342users 『スタンフォード式 最高の睡眠』を読んで、睡眠について知らないことがまだまだあったのかと感動しました - おたま日記

162あとで/1388users CS50 for Japanese(ハーバード大学 CS50 の日本語版翻訳プロジェクト): コンピュータサイエンスの入門

161あとで/1375users カレースパイス調合の基本からスパイスカレーや肉のスパイス漬けを極める(小林銅蟲/イナダシュンスケ) - ソレドコ

154あとで/743users 世界一わかりみの深いOAuth入門 | Noriyuki TAKEI | Speaker Deck

153あとで/1529users TOKIO国分太一さん「センスのいい、もらって嬉しい手土産知りませんか?」見ているだけで楽しい推し手土産」が集まる - Togetter

149あとで/980users 機械学習研究者を目指す人へ | Hiroshi Takahashi

149あとで/1629users お前らの登録してるyoutubeチャンネル教えろよ | anond.hatelabo.jp

144あとで/1277users 【更新創作する人は必読!書評家が下読みで感じた「応募小説問題点」がめちゃくちゃタメになる - Togetter

144あとで/1225users ナビつき! つくってわかる はじめてゲームプログラミング | Nintendo Switch | 任天堂

144あとで/1668users 政府向けシステムの話をするときの前提知識 | anond.hatelabo.jp

135あとで/656users フロントエンドパフォーマンスチューニング俯瞰する - 30歳からプログラミング

133あとで/998users 社員用に作った文書校正ツール一般公開した - gecko655のブログ

133あとで/2245users ため池に落ちると、なぜ命を落とすのか(斎藤秀俊) - 個人 - Yahoo!ニュース

131あとで/1170users 真っ先に変えるべきは日本人の「思考」 オードリータンが貫く「透明性」と「多様性」:「前例がない」をやらない理由に(1/5 ページ) - ITmedia ビジネスオンライン

126あとで/796users DOM Events | Alex Reardon

124あとで/912users 「結果が出ない焦り」と向き合う方法柴田史郎|note

124あとで/598users MySQLインデックスと私 - Speaker Deck | yoku0825

ナントカ大学の教材、みたいなエントリに[あとで読む]タグが集まった

スタンフォード式 最高の睡眠』は読んでしまった

2021-01-25

なんとかしてTLSはらせようとするねぇ。セキュリティー上脆弱だねぇ。TLS認証局戦争相手に成って、急遽パージみたいな事がほんとうにおきているのに、なんとかして、セキュリティーを操縦したい管理したいという当局の考え方が危険だねぇ

2020-11-18

Pマークが何故批判されているのか分から

パスワード付きzipメール添付の件。

Pマーク(or ISMS)が批判されているが、皆どんなチェックがされるのか知ってるの? 内容を知らないのでイマイチ批判の波に乗れないんだよね。自分検索能力が低いだけかも知れないけど、公開されていないようで文書が見つからず真偽を確かめられないし。

なので、ここから先は自分の推測。間違っていたら指摘して欲しい。

PマークISMS認定では「パスワード付きzipしろ」と明言されているわけではなく、「メールファイルを送るなら暗号化しなさい」くらいの話だと想像している。

もちろん、「パスワード付きzipで送付します!」に対してダメと言わないPマークが悪いとも言えるが、以下が担保されればセキュリティとしては問題ないように思う。

審査がザルなんだろうとは思うけど、受ける側が嘘ついてたらどうしようもないし、PPAPが手間が掛かる/非効率である点はPマーク側がどうこう言う話ではない(本当はコスト考慮した上でのセキュリティであって欲しいけどね)。

あと、別ソリューションとしてよく挙げられる外部ストレージサービス活用について、Pマーク側が禁止しているわけじゃないよね? 禁止していないなら、それを採用しないお宅が悪いのであってPマーク批判するのはお門違いなのでは?と思っている。

とりとめもなく書いたが、思っていたことをぶち撒けられてスッキリした。

じゃあな。

2020-11-02

大企業のDX状況を教えるよ!

大企業に勤めてるよ!

みんな絶対に知ってる日本トップクラスっていうかある意味トップ企業だよ!

もちろんDXをゴリゴリに推進しているし「DX」と名の入った部署まで作って本気だよ!

そんなうちの会社の最新のDX事情を教えてあげるYO

もちろんDaaS

社内システムはもちろんDaaSDesktop As A Service)を使ってるよ!

要するにリモートデスクトップだよ!

社内全員がDaaSを利用するんだけど負荷を抑えるためにWindowsインデックスサーチはOFFにされてるよ!

なのでファイル検索はめちゃくちゃ遅いしOutlookメール検索死ぬほど遅いよ!

おまけに一人あたり20GBの容量しか使えないよ!でも基本的メールのやりとりだからメールだけで使い切るよ!

え?使い切ったらどうするかって?もちろん、古いメールは削除だよ!

なんで20GBしか使えないのか聞いたら、「平均して20GBしか使ってない」んだって

ってことは平均以上の半分の人は見捨てられたんだね!

スマホに入ってるmicroSDですら128GB使えるけどね!

ちなみに不正防止の観点メール等の証跡は全部別のサーバに蓄積されているよ!社員からは見えないけどね!

あと、インデックスサーチOFFにされてるけど、結局はセレロン並の遅さだよ!

ファイル暗号化

ファイルは全部暗号化されているよ!

からUSBで持ち出しても外では開けないよ!セキュアだね!DaaSからUSBさらないけどね!

ちなみに暗号化の解除は社員なら了承無しで誰でもできるよ!不便だもんね!

本当に危ないファイルzipパスワード独自に付ける人が多いよ!

でもほとんどの人が4桁数字しか使わないしzipパスワード付けてるだけだから

困ったときブルートフォースして一瞬で開けるよ!便利だね!

もちろんリモートワーク対応

コロナより前からリモートワークしてたよ!

からリモートワーク環境バッチリ

DaaSにつなぐためにVPNを張るよ!ワンタイムパスワード保護してるからセキュリティバッチリ

ちなみにこのVPNDaaSサーバしか繋げないVPNだよ!

DaaSにはTLSアクセスするんだけど、念の為VPNで更にセキュアにしてるよ!

そのせいでVPN繋ぐとトラフィックがそっちに吸い取られてインターネット通信できないよ!

キーロガー仕込まれてたとしても安心かもね!後で送信されたら一緒だけどね!

ちなみにコロナときVPNへのアクセス集中でみんな仕事できなくなったよ!DaaSは余裕があったけどね!

Web会議バッチリ

社内システムWeb会議システムがあるからリモートでも会議可能だよ!

DaaS上でしか使えないかラグエコーがひどくて結局現地で開催されている会議を聞くだけのツールになってるけどね!

最近流行りの最先端Web会議システムも使うよ!

なぜかZOOMは初期の頃に猛烈な反対にあって使用不可になったけどね!

DaaS上でしか使えないか映像ほとんど無理だし音声もエコーだらけだけどね!

からみんな自分携帯ログインして画面共有のために二重ログインしてるよ!

メールはもちろんPPAP

メール添付ファイル付けるともちろんPPAPパスワードZIP送付、パスワード送付、暗号化プロトコル)してるよ!

しかも送られるのはZIPじゃなくて自己解凍exeだよ!

exe送れないこと多いからex_にしてから送って、受け取り側でexeにして実行してもらうよ!

ZIPソフト無くても解凍できるなんて親切だよね!

4,5年前はこの状態だったけど、これは流石に修正されたのかな?実際に送られたファイルを知らないからわかんないね

標的型メール訓練もバッチリ

最近話題標的型メールへの対策完璧

定期的に訓練が実施されているよ!

「訓練が実施されるのでうっかり開いた人は報告してね」

っていうメールが事前に来るよ!親切だね!

訓練メールはだいたいWorddocファイルが付いていて開封したらHTTPリクエストが飛ぶ仕掛けで開封たかどうかが分かるよ!

ちなみに受け取っただけなら報告はいらないらしいよ!

この時期に本当の標的型メールが来てたらどうするんですか?っていう質問の回答は未だに返ってこないね

周知メールは周知ページへのリンク

社員への周知がある場合は、周知ページへのリンクメールされてくるよ!

たとえどんなに些細な周知(社長挨拶に来ます、とか)でもリンクメールされるよ!

リンクを踏むとIE9が開いて貧相なページが表示されるんだけど、そこにもまだ内容はないよ!

貧相なページの下に更にリンクがあって、Wordファイルダウンロードされるよ!

Wordファイルダウンロードして激重のDaaS開封すると

社長が○月○日に挨拶に来ます

だけ書いてあるよ!

稼働管理の多重化

社員がどれだけ働いてるかの稼働はしっかり管理されてるよ!

勤務表に投入するだけじゃなくて、どういう作業をしたかの稼働までちゃんと入れるよ!

別々のシステムから同じ内容を入れるんだけどね!

毎日15分単位で始業開始時刻と終業時刻と休憩時間を入れるよ!

ちなみに2つのシステム業務時間に誤差があると物凄く怒られるよ!

最近知ったけど日々の業務時刻はどうでもよくて合計しか見てないらしいけどね!

チェックシートエクセルシート

信じられないぐらいチェックシートをたくさん用意して不正防止に努めてるよ!

鉛筆一本買うだけでもとんでもないチェックをしないといけないよ!

チェックが多すぎて誰もチェックしないっていうのが常態化してるよ!

あ、ダブルチェックトリプルチェックは当たり前なので、責任希薄になってやっぱり誰もチェックしないよ!

ちなみに事件は頻繁に起きてるよ!だって、肝心のシステム側がザルだからね!

ペーパーレス

チェックシートは前は紙にサインだったけどペーパーレス化が進んだからPDF保存になったよ!

様式の見た目は印刷物と同じだからすごく入力しにくいけどね!

おまけにファイル暗号化されちゃうので検索で引っかからないよ!

ファイル名で検索するしかいから、ファイル名を間違えてると内容が合ってても後ですごく困るよ!

あと会計に少しでも関わるもの絶対にペーパーレスにならないよ!

領収書原本いらなくなったって何回言っても原本保管から変わってくれないよ!

飛行機領収書とかPDFダウンロードしてきて印刷して保管してるよ!

肝心の半券は不要からやろうと思えばPDFダウンロードした後にキャンセルできるけどね!

パスワードログイン

業務で使うサーバログインするとき共通アカウント共通パスワード常識だよ!

だいたいのパスワードアカウント+1234みたいな感じだよ!

この前、公開鍵設置して秘密鍵ログインしようとしたらなぜか弾かれてて、よく見たらわざわざOFFにしてあったよ!

公開鍵認証の話をしたら「は?なにそれ?」みたいな顔をされたよ!

あ、もちろんパスワードの定期変更は推奨されてるよ!

社内システムも3ヶ月でパスワード変更しないといけないよ!

コミュニケーションツールの導入

なんと今流行りのチャットコミュニケーションツールが導入されたよ!

グループ会社が作った肝入りソフトだよ!

社内のDaaSからアクセスできるけど、社外からアクセスできないほどセキュアだよ!

でもでも、スマホアプリなら社外からでもアクセスできるよ!よくバグで落ちてるけどね!

定期的な人事異動

今のようなことを情シスに言っても何も変わらないよ!だってほとんど素人からね!

3年で人事異動メンバーが入れ替わるから、それまで問題を起こさないために何もしないよ!

おわり

こんな感じでDXを進めてるよ!

もちろん客先では「うちは最先端のDXやってます」って言ってるよ!

胸が痛いね

追記

なんか知らんうちにめっちゃのびててビビってるよ!

フェイクをちょっと混ぜといてよかったよ!本当は「社長挨拶に来る」じゃなくて副社長だよ!

割と酔った勢いで書いたから今読み返したら意味わからんだろう内容があるのはごめんよ!

どこの会社か教えてほしい

教えられるわけないよ!

これDXじゃなくね?

ごめんね!そうだね!ガチDX施策のクソさも書きたいけどさすがに身バレするね!

本当に書きたかったのは社内システムこんなクソなのにもっとDXしよう!って言ってるシュールさと

社外的に「DXしましょう!うちはプロですから!」って言ってるとこだよ!

こんなにいろいろやっててえらい

つぎ足しつぎ足しの秘伝のシステムになってるのが問題だよ!

もはや全部変えると予算がつかないからこんなことになってるよ!

でもたぶん全部MS社にしてOffice 365OneDriveにしたら問題の8割は解決しそうだよ!

付き合わされてる下請けとかかわいそう

この辺のシステム請けてるのがそもそもグループ会社ってのが日本一般的大企業だよ!

そこで働いてる人はおじいちゃんばっかりで若者はみんな派遣だよ!

この辺のシステム最適化されると派遣が切られちゃうから下請けはたぶん喜んでるよ!

おわりのおわり

みんなの会社はこんなにひどくないと信じてるけど

DXとか言うなら社内システムちゃんとしようね!

人差し指タイピングする人(結構多い)にちゃんタイピング教えてあげてね!

2020-10-28

なぜ素人自分プログラミングができると勘違いしてしまうのか

プログラミングで食っていくためには、他の職業と同様に様々なスキル必要になる。単に技術的な面だけに絞っても、以下のようなことが出来なければ話にならない。

  1. 少なくとも1つのプログラミング言語が書ける(当たり前)
  2. その言語の主要なライブラリパッケージ管理ツール自動テストツール等の周辺ツールについても深く理解している
  3. ソート木構造のような基礎的なアルゴリズム理解しており、プログラム計算量を見積もれる
  4. HTTPSSL/TLSRDBMSSQLOSシステムコールファイルシステムメモリ管理などのアプリケーションよりも低レイヤーの基礎技術理解している
  5. 「Code Complete」「Clean Code」などに書いてあるようなソフトウェア設計ベストプラクティス理解している

プログラミングスクールなどを卒業したゴミには、(1)〜(2)もしくは(1)だけを以て「自分プログラミングが出来る」と勘違いしている奴が多い印象がある。

2020-10-11

エンドツーエンド暗号化(通称: E2E)について解説する

[B! セキュリティ] フェイスブックの暗号化、日米英などが見直し要求へ (写真=AP) 日本経済新聞

エンドツーエンド暗号化という技術がある。

暗号とは

平文一定アルゴリズムに従って暗号から生成したノイズデータを掛け合わせ、意味が読み取れない暗号を作るのが暗号化である。逆に意味が取れない暗号から平文を求める操作復号と呼ぶ。アルゴリズムがよく知られていながら暗号鍵が無ければ復号できないものがよい暗号と言われる。一般には256bitAESでも使っておけばまずパッと見ても聞いても数学的にもほぼ乱数区別できなくなる。

ノイズデータの生成方法には色々あり、事前に送り付けた乱数表を使い使用後は破棄するもの、事前に送り付けた共通鍵や公開鍵を使うもの、都度生成するものなどがある。掛け合わせる方法も色々あり、乱数表に書いてある数字暗号文を足し合わせると平文になるもの共通鍵を暗号文に使うと平文になるもの公開鍵を使うと平文になるものなどがある。

共通鍵を平文に使うと暗号文になり、共通鍵を暗号文に使うと平文になるものを、対称暗号とか共通暗号と呼ぶ。

公開鍵を平文に使うと暗号文になり、暗号文に秘密鍵を使うと平文になるもの公開鍵暗号と呼ぶ。非対称暗号ともいう。

ノーマルモードコモンモードみたいで意味不明だが耐えろ。

共通暗号でも公開鍵暗号でも「平文が、暗号文になり、平文に戻る」というところは同じだが、

共通鍵では「平文→   鍵→暗号文→鍵   →平文」と同じ鍵を使い、

公開鍵では「平文→ 公開鍵暗号文→秘密鍵 →平文」と二種類の鍵を順に使う。

なお、この二種類の鍵は順に使えば順序はどっちでも良い。先に秘密鍵で処理して公開鍵で処理することも可能だ。とにかく2種類両方を使えば良い。

共通暗号は分かりやすい。zipパスみたいなもんだ。Wi-Fiパスワードも同じだ。だが公開鍵暗号については、二種類の鍵を順番に使うと何が良いのかと思う人も多いだろう。どうせ暗号で読めないのだからいいじゃないかと思うだろう。実は名前の通り鍵を公開しても全くノーダメージというところがメリットなのだ。書かなかったが公開鍵から秘密鍵数学的に求めることは不可能である。逆も不可能である。そして処理する順番もどっちでもいい。つまり適当暗号文と鍵の片割れを公開しておくことで、もう片割れの所有を証明できるである。これが公開鍵暗号醍醐味である

この技術HTTPS証明書に使われている。というかすべての公開鍵基盤で使われている。.pemとか.cerとかid_rsa.pubはこの片割れであり、ウェブブラウザの「証明書の検証」とは、ネットを見てる時にサーバが送ってくる「適当暗号文」として"*.hatena.ne.jp"のハッシュを知らん鍵で暗号化したものハッシュを知らん鍵で暗号化したものハッシュ暗号化したものに対して、事前にWindowsインストールした時に付いてきたHatena-Masuda Ultra Global Root CAかいったけったいな鍵の片割れを使ってみてちゃんと復号出来てるかチェックしているのである

ここまでが暗号技術のおさらいである。

暗号化通信とは

暗号化通信を行うには、暗号鍵でデータ暗号化すればいい。暗号化には共通暗号を使うのが高速で便利だ。公開鍵暗号原理的に計算量が多く低速であるしかし、どうやって共通鍵を事前に知らせればいい? 公開鍵暗号共通鍵を暗号化すれば、受け取り手自分秘密鍵で復号できるだろう。しかし、秘密鍵は本当に秘密か? 暗号文と秘密鍵が手に入れば、公開鍵暗号でも解読できてしまうのではないか? HTTPS化しているウェブサービスでも、TLSロードバランサで終端してデータセンタ内は平文だったりするのではないか? そこで鍵交換、セッション鍵生成の議論が登場する。

Diffie-Hellman-Merkle鍵交換方式

Diffie-Hellman-Merkle(Diffie-Hellman)鍵交換方式とは、ディッフィー君とヘルマン君が下宿階段をドタドタやってる時に天啓のように降ってきたと言われる、ネット上に数字のものを公開することなく、2者間で同じ1つの乱数を得る方法である

送信者と受信者の間で共通の1つの乱数を得ることができ、その乱数第三者に知られることがない。

上で何度か「公開鍵暗号秘密鍵公開鍵は、平文に対して両方使えば平文に戻り、順序は関係ない」と書いたのを覚えているだろうか。Diffie-Hellmanはこれに似た方式だ。まず、AさんとBさんは送信者がお互い本人であることを証明できるようにする(公開鍵基盤を使う)。そして、それぞれ手元で乱数AとBを生成する。次に、鍵用の乱数Aを適当乱数暗号化した鍵Aと、鍵用の乱数Bを適当乱数暗号化した鍵Bを計算し、お互いに送り付ける。この暗号Aと暗号Bは盗聴されているものとする。

Aさんの手元には乱数A、適当暗号Bがある。

Bさんの手元には乱数B、適当暗号Aがある。

AさんとBさんはそれぞれ鍵Bと鍵Aに対して暗号化を行う。すると鍵BAと鍵ABが生まれる。このとき数学的な都合により鍵BA == 鍵ABである

では、暗号A、暗号B、適当A、適当Bのみから鍵ABや乱数Aを求めることはできないのか? 可能だが式変形などで「解く」ことができず、総当たりになるため計算量が膨大になる。従って実質的にはできない。

或は、暗号A、暗号Bを掛け合わせれば、鍵ABになるのではないか? これもできない。暗号AまたはBと掛け合わせるのは生の乱数AまたはBでなければ意味がない。第三者乱数Cを作って暗号AやBと掛け合わせても、鍵ACや鍵BCになってしまい、鍵ABと一致しない。

これにより、手元で生成した乱数以外のすべての情報が公開で既知で盗聴されているにもかかわらず、2者間で秘密暗号鍵用乱数を得ることができる。

原始的Diffie-Hellman鍵交換の実際の計算は非常に簡単であり、この「暗号化」は事前に決めた別の方法で生成する既知の2つの整数X, Yと乱数A, Bに対して、

暗号A = XをA乗してYで割った余り、

暗号B = XをB乗してYで割った余り、

鍵AB = 暗号BをA乗してYで割った余り、

BA = 暗号AをB乗してYで割った余り

である

なお、くれぐれも簡単と聞いてPython 2.7とかで実装しようとしないように。算数の上手い人が作ったライブラリを使え。暗号処理の自作絶対バグらせて割られるのがオチだ。ちなみにDiffie-Hellman-Merkleの三人目のマークル氏というのは両名と何のゆかりもないので普通名前に入れないのだが、Merkle氏の先行研究が直接の元ネタなので入れるべきだと主張する派閥もある。俺はどっちでもいいと思うが折角なので入れておく。

End-to-End(E2E) 暗号化

ここでやっとE2E暗号化が登場する。上のセクションでしれっと書いたが、DH鍵交換が完了した時に送信者と受信者が得る共通乱数は、各々ローカルで都度生成する乱数を元にしている。身許保証公開鍵によるが、鍵は公開鍵に縛られないのだ。つまりSNSメールサーバその他、身許を保証する機能文章をやり取りする機能があるツールと、そのツールで間違いなく本人にDH鍵交換の暗号を送れるクライアントアプリがあれば、その経路で本人同士の間だけで共通乱数を生成し、それを「セッション鍵」として共通暗号方式による通信経路が設定できる。

この「公開鍵認証基盤で本人確認し、DH鍵交換でセッション鍵を設定し、鍵を端末に出し入れすることなく、受信側端末のメモリに入るまで暗号化を解くこともないまま、共通暗号通信する」のがいわゆる「End-to-End 暗号化である

E2E暗号化を行うと、鍵はDH鍵交換で生成され、端末の外に出ないし書き出す必要もなく、通信の中で割り出す事もできず、通信が終われば破棄してもよい。好きなだけ定期再生成してもよい。認証に使う公開鍵数学的な関係もない。一度設定してしまえば、SNS運営チャットログを出させても鍵交換した意味不明な履歴意味不明な暗号文が出てくるのみで、盗聴者をなりすまさせて鍵を再設定させても前の鍵と何も関係のない新しい鍵が出てくるだけで、意味不明な暗号文の解読の助けにはならない。ちょっと量子コンピュータめいているが、端末となりすましの両方で鍵を一致させることもできない。

ざっくり言えば送信側端末と受信側端末に残っている平文か鍵をバレる前にぶっこ抜く以外に解読方法がない。

これは盗聴関係者にとって非常に大きな問題で、米国FBIなどは盗聴能力を維持するには法規制以外に策がないと考えている。DH鍵交換のアルゴリズムは上に書いた剰余以外にも楕円曲線を用いた数学的に更に複雑なものもあり、ソースネットいくらでも転がっているし、電子計算機アルゴリズムの常でやたら強力な癖に計算量的には全然負担にならない。NSAなどは数学者を揃えて最高のアルゴリズム提供する振りをして、規格書で事前に決めた一定数学的特徴を備えているべき定数に備えていないもの指定するとか、実装ミスが出やす関数を選ぶなど小細工を入れているが俺は二次関数分からんので詳しいことは知らん。しばしば政府陰謀にキレた若いITキッズが小細工を抜いて差し替えた再実装を公開したりして揉めている。

実際にSNSなどでE2E暗号化実装する上での問題点は、本人確認機種変マルチデバイス嫌がらせ対応がある。まず本人確認コケればMITMは可能だ。E2Eでは鍵を外に出さないのがメリットなので複数端末ログインができず(鍵が変わって別端末で書いたメッセージは解読できなくなる)、運営で常時メッセージ監視できない(したら意味がない)ので嫌がらせ対応が多少困難になる。またMITBというか、改造偽アプリで抜かれる可能性は、まあ、ある。

まとめ

  • 平文を鍵で暗号化するのが暗号である
  • DH鍵交換では、信頼されない通信路を使って2者間で鍵を生成できる。
  • E2E暗号化では、端末上で鍵を都度生成し、その端末以外での復号を防げる。

終わりに

時間もかけてこの程度かもうちょっと短く書けるだろボケ🍆と思ったので投稿する。

ログイン ユーザー登録
ようこそ ゲスト さん