サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
共同通信が嬉しそうに【独自】とか出してるこれだけど https://news.yahoo.co.jp/articles/36b7dc49140f802e2ebeb3320d433573f132e4c6 ソニーのリリース https://www.sony.co.jp/Products/felica/business/information/2025001.html 情報を整理するとおそらくこう 影響を受ける範囲(いずれか) カードが古いトリプルDES暗号によって通信を行うモードを備えたチップを使っている場合(悪意のあるリーダーライターでカードの改ざん可能) 読み取り装置が古いDES暗号による処理を許容している場合(悪意のあるカードで偽のデータを流せる・ただしこっちは速やかに対応されふと思われ、単体では影響可能性低い)問題の範囲トリプルDES通信方式に対応していた古いFeliCaを搭載している
2017年以前に出荷された一部のFeliCa ICチップの脆弱性に関する指摘について 2025年8月28日 ソニー株式会社 ソニーの非接触ICカード技術「FeliCa」のICチップのうち、2017年以前に出荷された一部のICチップについて、独立行政法人情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき外部から指摘を受け、報告された操作により、当該チップにおいてデータの読み取りや改ざんが実行される可能性があることを確認しました。 FeliCaを利用するサービスのセキュリティは、FeliCa ICチップのセキュリティに加え、サービスごとにシステム全体で構築されます。本事案については、上記パートナーシップの枠組みの中で、一部のサービス事業者や公的機関とも連携しています。ご関係の皆様におかれましては、関連事業者からの情報を踏まえ引き続き安心してご利用くださ
LabBaseテックカレンダー Advent Calendar 2024の12月17日分のアドベントカレンダーです。 このブログのゴール ssh-keygenしたときに出るあのキラキラの正体を突き止めて、Rustで完全再現する⭐️ 再現するだけにとどまらずオエー鳥AAで似たようなものを作る🐦⬛ コードはここ 出典 http://www.dirk-loss.de/sshvis/drunken_bishop.pdf https://github.com/lfam/randomart あのキラキラの正体 randomartって言う テキストベースのフィンガープリントだと人間が誤って確認するリスクがあるから、視覚的な差分が取りやすいようにAAとして可視化している アルゴリズム 公開鍵ファイルの解析 公開鍵の中身はこうなっている ssh-ed25519 AAAAC3NzaC1lZDI1NTE5A
SSHの鍵生成には暗号論的に安全な疑似乱数を使おうという話。 暗号論的に安全ではない疑似乱数がどれだけ危険かというのを、簡単なCTFを解くことで検証してみました。 背景 SSH公開鍵に自分の好きな文字列を入れる、という記事を読みました。 かっこいいSSH鍵が欲しい 例えばこのSSH公開鍵、末尾に私の名前(akiym)が入っています。 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFC90x6FIu8iKzJzvGOYOn2WIrCPTbUYOE+eGi/akiym そんなかっこいいssh鍵が欲しいと思いませんか? かっこいい!真似してみたい! そこまではいいんですが、問題は実装です。 秘密鍵を生成する際の乱数生成には高速化のためにGoのmath/randを使っていますが、乱数が用いられるのは公開しない秘密鍵自体であり、このアルゴリズム自体はLagged Fib
西日本高速道路(NEXCO西日本)は3月15日、個人情報191人分を保存していた可能性があるUSBメモリを紛失したと発表した。データは暗号化していたものの、メモリ本体にパスワードを貼り付けていたという。 保存していた可能性のある情報は、191人分の氏名、住所など。いずれも、道路を損傷させた人に復旧費用の負担を求める「原因者負担金」に関する情報という。 紛失は2月13日に判明。社員が気づき、捜索したが見つからなかったという。個人情報保護委員会への報告は3月11日に済ませた。情報を保存していた可能性がある人には個別に連絡するという。 関連記事 元日限定「JR西日本乗り放題きっぷ」発売 新幹線も利用可能 2017年の元日限定で、JR西日本と智頭急行の全線が乗り放題になる「元日・JR西日本乗り放題きっぷ2017」が登場。USBメモリ、メモ、ノートPC……紛失事案が目立った10月セキュリティまとめ
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 米国の研究機関であるAperture Internet Laboratoryは、Linuxで動作する中国のインターネット検閲システム「グレートファイアウォール」(Great Firewall、GFW、金盾)をオープンソースで実装したシステム「OpenGFW」を発表した。このシステムは家庭用ルーターで使用可能なほど柔軟で使いやすく、GFWを個人レベルで実現することを目指している。 OpenGFWは、IPとTCPのデータを完全に再構築する能力を持ち、HTTP、TLS、DNS、SSHなどのネットワークプロトコルを解析できる。特に、Shadowso
Chinese flags hang from a lamp post in front of anApple Inc. store in Shanghai, China, on Thursday, July 1, 2021. Photographer: Qilai Shen/Bloomberg アップルのスマートフォン、iPhoneに標準装備されている人気のファイル共有ツール「エアドロップ」について、中国政府は送信者を特定する方法を確立したと主張した。望ましくないコンテンツ掃滅を目指す政府取り組みの一環。 北京の政府系研究所はエアドロップの暗号を解読し、送信者の電話番号と電子メールを特定できるようになったと、現地の司法当局がオンラインに投稿した。警察はすでに複数の容疑者をこの方法によって特定しているという。逮捕者の有無には触れていない。中国政府の発表であらためて注目を集めることになっ
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセス
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29,2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『
はじめに つい先日、GitHubのRSA SSHホスト鍵が突如差し替えられるという一件がありました。 We updated our RSA SSH host key 詳細に関しては識者による解説に委ねますが、ちょうどタイムリーな話題だったので、SSHをより安全に利用するという観点でおすすめ設定についていくつか紹介します。 なお、クリアコードではSSH以外にもおすすめzsh設定やおすすめEmacs設定という記事も公開しているので参考にしてみてください。2023年5月11日更新:StrictHostKeyCheckingをyesにする場合の安全なknown_hostsの更新方法について追記しました。 おすすめ設定について クリアコードでは、.ssh/configのおすすめ設定を https://gitlab.com/clear-code/ssh.d にて公開しています。 これは、社内で.ss
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? LibreSSL は OpenBSDプロジェクトによって OpenSSL から2014年にフォークされ、メンテナンスされている OpenBSD 用の SSL/TLS 通信用ソフトウェアです。 OpenBSD 用としてフォークされましたが、他プラットフォーム用に移植されたポータブル版も同じく OpenBSDプロジェクトからリリースされています。 同じものを分離独立させて独自にメンテナンスを行う理由は何でしょうか? この文章では LibreSSL の意義について考察します。 OpenSSL について はじめに LibreSSL のフォー
macOS 13 VenturaではOpenSSH 9.0が同梱され、SHA-1ハッシュアルゴリズムを使用したRSA署名がデフォルトで無効となっています。詳細は以下から。Appleが2022年10月にリリースした「macOS 13 Ventura」では、phpに続きPythonランタイムの同梱が終了されていますが、同じくVenturaではSSHコマンドで利用されているOpenSSHがmacOS 12 Montereyの「OpenSSH 8.6」から「OpenSSH 9.0」へアップデートされています。 このOpenSSH 9.0がデフォルトとなったmacOS 13 Venturaでは、Montereyからのアップグレード後に一部のサーバーへssh接続しようとすると以下のようなエラーが出て接続できなくなっています。 hoge@hoge.com: Permission denied (pub
かなり雑に書いてるので、雑に読んでください。Bun がZig で開発されていることを知り、そこからZig を調べてみています。 調べていくと自分が求めていた言語っぽいというのがあり、社外では学生に QUIC や TLS 1.3 をZig で OSS を開発してもらうお仕事を出したり、社内では実際に採用に向けて調査を進めています。 そもそもの目的自分の会社では Erlang VM を利用した製品をメインに利用しています。ただ Erlang VM 遅いんです。少なくとも暗号処理であればRust の方が 2 倍ほど速いです。Erlang VM 自体 JIT を採用したり、いろいろ頑張ってくれているのですが劇的な高速化というのは今すぐには難しいのが現実です。 そこで NIFs (Native Implemented Functions) を使って頑張るという戦略があります。早い話が Er
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版)クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
概要本稿は、突然ムシャクシャした筆者が自分の考えるブロックチェーンの定義と、世間で言われているブロックチェーンの特性および応用例を批判するものである。本稿は筆者の見解であり、所属組織の公式見解ではない。 ブロックチェーンの定義 そもそもブロックチェーンとはなんなのか。狭義には、「ブロック」の「チェーン」であることから、以下の定義をしたい。 データが、当該データ直前のデータの暗号学的ハッシュ値を持つリスト型のデータ構造 ここでは、そのデータの中に何を保持するかは一切考慮しない。 データがハッシュ値で連鎖することによって、リスト中の任意のデータのみを書き換えると、ハッシュチェーンの整合性が失われ、書き換えが行われたことを検知可能なデータ構造であると定義する。 しかし、世間で「ブロックチェーン」に興味を持つ諸氏はこの定義だけではいささか狭すぎると感じるだろう。 そこで、狭義のブロックチェーン
こんにちは、石ころです。 メッセージングアプリSignalの創業者であるMoxie Marlinspikesさんが書かれたMy first impressions ofweb3という記事(2022年1月に書かれたもの)が示唆に富む内容だったので翻訳版を紹介します。 Moxieさんの記事書いたよという元ツイートは3万いいねがつき、イーサリアム創設者のヴィタリック・ブテリンや、イーロン・マスクもリプをし、良い意味で物議をかもしたようです。 個人的にも今年読んだWeb3関連の記事で一番面白いと感じました。 翻訳はDeepLをベースに各種改変しています。 私は自分を暗号学者だと思っているにもかかわらず、"Crypto "には特に惹かれていない自分がいます。実際に「私の芝生から出て行け」と言ったことはないと思いますが、新しいNFTの情報よりも、「crypto」が「暗号学」を意味していたというPep
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
