Webサーバーで使うサーバー証明書の発行数が世界最多の認証局Let's Encrypt(レッツエンクリプト)は2024年7月23日、衝撃的な声明を発表した。サーバー証明書の有効性を確認するメジャーなプロトコル「OCSP(Online Certificate Status Protocol)」のサポートを終了する意向を示したのだ。
SSH接続においてハンドシェイク中にシーケンス番号の操作を可能とする攻撃手法「Terrapin Attack」が報告されています。 以下のいずれかの暗号方式を利用してSSHプロトコルを実装しているシステム ChaCha20-Poly1305 CBCモードを用いたEncrypt-then-MAC 研究チームは、Terrapin Attackの影響を受けるかどうかをチェックできるツールをGitHubリポジトリで公開しています。 通常、SSH接続時のハンドシェイク処理では、シーケンス番号順にパケットがやり取りされ、途中のパケットが削除された状態で次のパケットを受信すると、シーケンス番号が一致しないことが検出され、接続が中断されます。 Terrapin Attackでは、SSH接続のハンドシェイク通信を傍受および改ざん可能な攻撃者によりハンドシェイク中にIGNOREメッセージが挿入されると、シーケ
サイバーセキュリティグループが、世界中の警察や軍、重要インフラ組織などが利用する暗号化無線規格の地上基盤無線(TETRA)に意図的なバッグドアが存在すると指摘しました。研究者によると、このバックドアは数十年前から存在していた可能性があり、これを介してさまざまな機密情報が漏れていた可能性があります。 Researchers Find ‘Backdoor’ in Encrypted Police and Military Radios https://www.vice.com/en/article/4a3n3j/backdoor-in-police-radios-tetra-burst ヨーロッパの国家警察や緊急サービス、アフリカの軍事組織、北米の列車運行会社や日本の空港無線サービス、その他の地域の重要インフラ・プロバイダーなどは暗号化無線規格「TETRA」を20年以上にわたって使い続けていま
総務省、デジタル庁及び経済産業省は、CRYPTREC※の活動を通して暗号技術の安全性、実装性及び利用実績の評価・検討等を行っており、このたび、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定版を策定しましたので、公表します。 総務省、デジタル庁及び経済産業省では、CRYPTREC※の活動を通して作成した「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」(案)について、令和5年3月9日(木)から令和5年3月23日(木)までの間、意見募集を実施したところ、4件のご意見の提出がありました。ご意見並びにそれらに対する総務省、デジタル庁及び経済産業省の考え方は別紙1のとおりです。 また、当該意見募集の結果等を踏まえ、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)」の改定版を別紙2のとおり
トピックス *意見募集は終了しました。* 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」(案)に係る意見募集について 令和5年3月8日 デジタル庁 総務省 経済産業省 デジタル庁、総務省及び経済産業省は、CRYPTRECの活動を通して暗号技術の安全性、実装性及び利用実績の評価・検討等を行っており、2013年3月に、「電子政府推奨暗号リスト」(2003年2月策定)を改定し、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」を策定しました。 CRYPTREC暗号リスト(2013年3月策定)は、小改定等を除き10年程度の運用を想定して策定したものであり、今般、産業構造や社会の変化に伴い暗号技術の重要性が一層増している中、今年度実施した暗号アルゴリズム利用実績調査等の結果を踏まえ、CRYPTREC暗号リスト(2013年3月策定
総務省、デジタル庁及び経済産業省は、CRYPTREC※の活動を通して暗号技術の安全性、実装性及び利用実績の評価・検討等を行っており、このたび、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定案を作成しました。 つきましては、本改定案に対し、令和5年3月9日(木)から同年3月23日(木)までの間、意見を募集します。 総務省、デジタル庁及び経済産業省では、CRYPTREC※の活動を通して暗号技術の安全性、実装性及び利用実績の評価・検討等を行っており、2013年3月に、「電子政府推奨暗号リスト」(2003年2月策定)を改定し、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」を策定しました。 CRYPTREC暗号リスト(2013年3月策定)は、小改定等を除き10年程度の運用を想定して策定したものであり、今般、産業構造や社
東ドイツの国家保安省「シュタージ」が開発した短波送信機「DDR Type 2」について、過去の暗号通信に使用されてきた機器を紹介するCrypto Museumが取り上げています。 DDR Type 2 https://www.cryptomuseum.com/spy/ddr2/index.htm DDR Type 2は、1960年代前半に旧東ドイツでシュタージとして知られた国家保安省の一部門、Operativ Technischer Sektorが開発したバルブ式の短波秘密無線送信機。DDR Type 2という名称は2004年に名付けられたニックネームであり、正式名称は不明です。西ヨーロッパ諸国で活動するシュタージの諜報員によって使用されていました。 諜報員は通常、ナンバーズ・ステーションとして知られる短波ラジオ放送のワンウェイ・ヴォイス・リンク(OWVL)を通じて指示を受けます。そして、
2022年12月28日、警察庁がランサムウェアにより暗号化されたデータの復元に成功したと報じられました。ここでは関連する情報をまとめます。 Lockbitによる暗号化されたデータの復元に成功 データ復元は警察庁のサイバー警察局、サイバー特別捜査隊が担当。暗号化されたデータからマルウェアを解析し、暗号化の復元を行うシステムを開発した。2022年4月以降、Lockbitの被害に遭った3社において捜査の過程でデータの復元に成功した。*1 復元成功に至った組織の一社はNITTANで、2022年9月13日早朝に暗号化によるシステム障害発生が発生し、2022年10月14日には警察、各システム会社及びサイバーセキュリティ専門会社の協力をうけシステム等の復旧作業を開始している。取材に対しては同社は復旧費などの損失を回避できたとコメント。*2 警察庁から欧州の複数の国の捜査機関に対して、今回の復元方法の情報
パスワード管理アプリ「LastPass」から情報が盗み出されていた問題で、セキュリティ専門家のウラジミール・パラント氏が、LastPassから出された声明文を「省略ばかり、真実が半分しかない、あからさまなウソに満ちている」と痛罵。具体的な内容を挙げて、厳しく非難しています。 What’s in a PR statement: LastPass breach explained | Almost Secure https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/ パラント氏はまず、声明がクリスマスを目前に控えた12月22日に出されたことを、「報道の数を抑えるために意図的に行われた可能性があります」と指摘しました。 声明内容にも1段落目から厳しい目を向けています。LastPassは「透
But the researcher demonstrated that when extracting x.zip using a completely different password, he received no error messages. In fact, using the different password resulted in successful extraction of the ZIP, with original contents intact: BleepingComputer was able to successfully reproduce the experiment using different ZIP programs. We used both p7zip (7-Zip equivalent for macOS) and another
Note: As of 2022/10/25 the information in this series is slightly outdated. See Part 5 for more up to date information. The Car⌗ Last summer I bought a 2021 Hyundai Ioniq SEL. It is a nice fuel-efficient hybrid with a decent amount of features like wireless Android Auto/Apple CarPlay, wireless phone charging, heated seats, & a sunroof. One thing I particularly liked about this vehicle was the In-V
情報を安全に取り扱うためには、通信情報や保管情報の暗号化や署名などに使う暗号技術のみに注意を払うだけでは不十分であり、その暗号技術に用いられる暗号鍵に対して適切に鍵長を設定し、さらに適切に鍵管理を行って安全に運用していくことが必要です。 本書では、安全な暗号技術の導入の観点から、暗号技術を利用する際の鍵長の選択方法に関する一般的な考え方を解説します。実際の利用用途や利用期間、環境、コスト、その他様々な制約条件を踏まえて、必要なセキュリティ強度を満たすように鍵長を設定する上で参考となるガイドラインとして取り纏めています。 「暗号鍵設定ガイダンス」の内容 本書で示すセキュリティ強度は暗号技術のセキュリティ(暗号学的安全性) を判断する上での目安となるものであり、利用する鍵長によってセキュリティ強度と処理効率などが変わることに留意する必要があります。 アルゴリズムの中には(特にRSAなどの公開鍵
クラウドストレージサービスの「MEGA」は、ユーザーがアップロードしたファイルをエンドツーエンドで暗号化しており、たとえ何者かにインフラストラクチャー全体が押収されてもファイルを復号できないと主張しています。ところが、スイス・チューリッヒ工科大学の研究チームが発表した調査結果によると、MEGAには暗号化されたファイルを復号したり、悪意のあるファイルを勝手にアップロードしたりできる脆弱性(ぜいじゃくせい)があるとのことです。 MEGA: Malleable Encryption Goes Awry https://mega-awry.io/ Mega says it can’t decrypt your files. New POC exploit shows otherwise | Ars Technica https://arstechnica.com/information-techn
ランサムウェアは、感染したマシン上のファイルやディレクトリから有効な暗号化対象を選択した上で暗号化するマルウェアで、攻撃者は復号化の鍵と引き換えに身代金の支払いを要求します。ランサムウェアは早く発見されればされるほど被害の規模が小さくなるため、ランサムウェアを仕掛ける攻撃者の戦略としては、感染したマシンのデータをいかに速く暗号化するかが重要となります。セキュリティ企業のSplunkが10種類のランサムウェアで暗号化のスピードを測定し、その結果を公表しています。 Gone in 52 Seconds…and 42 Minutes: A Comparative Analysis of Ransomware Encryption Speed | Splunk https://www.splunk.com/en_us/blog/security/gone-in-52-seconds-and-42-
JVNVU#90127554 OpenSSLのlibsslにおけるX509_verify_cert()内部エラーの不正な処理 OpenSSLのlibsslには、内部エラーの発生を示すX509_verify_cert()関数からの戻り値(負の値)の処理に問題があります。 OpenSSL 3.0.0 SSL/TLS クライアント OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。 なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。 深刻度 - 中(Severity: Moderate) OpenSSLのlibsslは、クライアント側でサーバ証明書の検証を行う際に、X509_verify_cert()関数を呼び出しますが、この関数内でメモリ不足が発生した場合などに、内部エラーを示す負の値が戻されます。Ope
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く