一般的な公開鍵暗号アルゴリズム(RSAなど)では公開鍵と秘密鍵は『1対1』の関係となっている。そのため、ユーザ一人一人が秘密鍵を持ち、デジタル署名に使用するので、署名を検証する際に必要となる公開鍵から署名したユーザを特定することができてしまう。 自分の頭の中には、公開鍵暗号アルゴリズムは全てこういったものだとインプットされていた。 しかし、先日ある打ち合わせの場で"グループ署名"といった技術があることを初めて知った。 これはあるグループに属する個々のメンバーはそれぞれ異なる秘密鍵を持つが、そのグループの1つの公開鍵で各メンバーのデジタル署名を検証することができるというものであるらしい。つまり、公開鍵と秘密鍵は『1対n』の関係なのだ。これによって、署名者はあるグループに属しているということは確認できるが、個人を特定することは通常はできない。(ただし、秘密鍵・公開鍵を発行したものは追跡可能。)
今週、ワシントンDCで開かれた暗号ハッシュワークショップでは、暗号分野の巨人たちが一堂に会し、崩壊寸前のハッシュアルゴリズムをどうすべきか話し合った。オンラインバンキングとデジタル署名システムを保護するアルゴリズムの安全性がいまや崩壊しつつある。なのに、この問題にどう対処したらよいか、いまだ誰も明快な答えを打ち出せずにいる。 ワークショップは、中国山東大学の王小云(Wang Xiaoyun)博士の発表から始まった。王博士の研究チームがMD5ハッシュアルゴリズムにコリジョンを発見し、それをきっかけとしてさまざまなクラッキング法が続々と登場してきたのは周知のことである。ハッシュアルゴリズムの本格的セキュリティ実装など、いまやお笑い種になったと言ってよい。今年前半、王チームがSHA1の弱点を発見し、それによって保護レベルが2^80から2^63に低下したと発表したとき、暗号界は上を下への大騒動にな
2005年9月1日掲載 2005年9月6日更新 2005年10月31日更新 2005年12月9日更新 2005年12月13日更新 2005年12月26日更新 2006年1月5日更新 2006年10月12日更新
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
ソフトウェア製品の脆弱性は毎年数多くのものが見つかっている。次のグラフは1998年から2004年までに、米国のセキュリティ情報サイト「SecurityFocus」に新たに掲載された脆弱性の記事数の推移を表したものである。 ソフトウェア製品の脆弱性については、最近は各ベンダーがいち早く情報を発信し、パッチを配布するようになってきた。読者の皆さんの職場でもパッチ当て作業に追われている担当者がいるかもしれない。 こうした製品の脆弱性は、ソフトウェアの専門家が発見し、しばらくのちにベンダーの技術者が修正パッチを提供してくれるので、多くのユーザにとってはそのパッチを当てればだいたい事は済んでしまう。 ところが、われわれの身近にありながら、このように問題への対処が行われていないソフトウェアのカテゴリーがある。それが、Webアプリケーションである。 いまや、インターネットにアクセスできるわれわれにとって
Webアプリケーションの脆弱性を狙った攻撃が国内外で相次いでいる。脆弱性を突かれて顧客情報を盗まれるようなことになれば,企業の信用は失墜する。Webサイトを運営している企業なら,業種や事業規模にかかわらずセキュリティに気をつけなければならないのが現状である。そこで今回の記事では,Webアプリケーションのセキュリティを取り上げる。 Webアプリケーションのセキュリティには,次のニつが考えられる。一つは,運用中のWebアプリケーションに関するセキュリティである。現在利用しているWebアプリケーションを診断し,脆弱性が見つかった場合には,できるだけ速やかに対処する必要がある。 脆弱性の診断には,専門ベンダーが提供している診断サービスを利用する方法や,診断用のパッケージ・ソフトウエアを導入して自社で調べる方法などがある。 もう一つは,これから開発するWebアプリケーションに関するセキュリティである
手紙やポケベルの時代を経て、メールの時代が始まりました。しかし、現在はチャットツールやビデオ通話が台頭し、メールの時代は終わりを迎えています。様々なツールがある現代は、コミュニケーションツール戦国時代と言えます。 メール時代の終焉? 平成の時代が終わり令和が始まった昨今、経済や文化はもちろんコミュニケーションのあり方も大きく変わりました。 手紙からポケベルへの進化、そしてメールからチャットへの進化は目まぐるしいものがあります。 日常生活のスタイルが変化し、ビジネスにおいてもコミュニケーションの方法は多岐に渡るでしょう。
第15回 フリーツールで行うネットワーク脆弱性検査:知ってるつもり?「セキュリティの常識」を再確認(1/6 ページ) Webアプリケーションの検査に加えて、サーバやネットワークの検査も重要だ。改めてネットワーク脆弱性検査の重要性を認識するためにも、今回はフリーツールを使ったネットワーク脆弱性検査を紹介する。 5月中旬に企業のWebサイトに不正侵入される被害が相次いだ。あなたの管理しているサーバでも同様の被害を受けるかもしれない。さらには機密情報の漏えいにもつながってしまう。そのためにも、前回説明したWebアプリケーションの検査に加えて、サーバやネットワークの検査も必要である。ネットワーク脆弱性検査については、昨今インターネット上や書籍などで解説されているが、今一度ネットワーク脆弱性検査の重要性を認識していただきたい。 ネットワークデバイス/サーバの脆弱性を調査するには、次のような8つの作業
What we're talking about is giving Bloglines a quick upgrade and doing it ourselves. That means we're talking Greasemonkey, a Firefox extension that allows you to write scripts that modify the pages you visit. In this case, the modification is going to be decryption. We'll write a Greasemonkey script, securesyndication.user.js that looks for encrypted content and, using the private key we provide,
Camellia紹介 Camellia(カメリア)は、世界のトップクラスの暗号研究者を抱えるNTTと三菱電機が共同で2000年に開発した共通鍵ブロック暗号です。技術的に高い安全性を有するのは当然のこと、効率性と実用性にも優れており、さまざまなプラットフォーム上でのソフトウェアにより高速に実装することができます。ハードウェア実装においても、高速実装はもとよりコンパクトかつ低消費電力型の実装が可能です。 これらの技術的優位性は、例えば欧州連合推奨暗号選定プロジェクトNESSIEにおいて「米国政府標準暗号AESと多くの点で同等の安全性と性能を有している」と評価されるなど、国際的にも認められています。現在では、AESと同等の安全性・処理性能を有しているほぼ唯一の暗号として国際的にも認知されつつあり、多くの国際的な標準暗号・推奨暗号に選定されています。 とりわけ、日本国産暗号としては、初めてインター
■2005.07.17(Sun) PHP と Web アプリケーションのセキュリティについてのメモのSession Fixation を起こす方法 に少しだけ追記しました。 wwwcheck.php で PHP 4.4.0 でリファレンス関連のエラーが表示される問題に対応しました。 *セッションハイジャック対策 本当にセッションハイジャック対策になるのかは分かりませんが、興味深いのでメモしておきます。 Chris Shiflett: PHP Security Forum で知ったのですが、Question about session hijacking の議論でWeb アプリケーションへのアクセス中に User Agent や Accept Charset などの HTTP ヘッダ文字列を変更するような人はほとんどいないという事を利用して、以下のような関数が挙げられていました(この関数はセ
お手軽で強力な暗号化ツール ED スポンサード リンク パスワードや企業秘密の情報ファイルをメールでやりとりするのはとても不安だ。だからといって相手がPGPのような導入や利用に知識の必要な暗号化ソフトをつかいこなせるとは限らない。そこで便利なのがこのソフトウェア。 ・暗号化ツールEDのページ http://www.netlaputa.ne.jp/~katapon/type74/ed/ 使い方は簡単でまず「E」をクリックして、暗号化したいファイルを選択すると、パスワード設定画面が出る。暗号化されたファイルは複合するまで他のアプリケーションでは開くことができなくなる。 暗号化ファイルを受け取ったユーザは「D」をクリックして複合化したいファイルを指定するとパスワード入力を求められる。パスワードが一致すれば元のファイルに戻って通常通り開くことができるようになる。 パスワードのヒントを付加できる機能
セキュリティ対策自己宣言 SECURITY ACTION「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。 ISMAP政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。 サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。
Adam Laurieは、ホテルに宿泊する際、テレビのプレミアムチャンネル、ミニバー、電話の料金請求額を自由に変えられると言う。 さらに、同氏は特定の先進的なテレビシステムにノートPCを接続することで、他の宿泊客の行動を密かに探ることができるという。同氏も他の客室を直接覗き見ることは(今のところ)できないが、このシステムを使えば、他の客がテレビでどの番組を見ているかを調べたり、彼らの明細書を見たり、ミニバーの料金を変更したり、彼らがホテルのテレビで閲覧しているインターネットのウェブページを自分のノートPCの画面に表示させることもできる。 また知り合いの客をからかうために、テレビを介して、宿泊している部屋から勝手にチェックアウトの手続きをしたり、早朝にモーニングコールがかかるように設定することもできる。 Laurieがこのようなことが行なえるのは、彼自身の言ういわゆるシステムの「逆転セキュリ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く