2019年4月25日のtwitterセキュリティクラスタ

公開鍵が公開されない件の続き

書いた。またPKIネタじゃねーか! // パスポートと公開鍵の議論ポイント – めもおきば d.nekoruri.jp/entry/2019/04/…

公開鍵を公開すると偽造リスクが上がる?! 逆に「これは確かにうちのものです」という証明付きで公知にすることで多くの人が偽造を発見する能力を付けることができ,偽造流通の抑止につながるのですが?! / “パスポートのセキュリティ – AAA Blog” htn.to/29P7Nj2aph

@tetsutalow 少なくともフィンガープリントは政府機関自らが広く公開した方がいいですよねぇ。CSCA証明書は自己署名ですし。マレーシア政府は公開しているみたいです。imi.gov.my/index.php/en/p…

この場合CSCA証明書がトラストアンカーなので、公開しないってことは民間人にはパスポート偽造を電子的に見つけ出す必要はないって突っぱねてるようなもんですよね。民間で広く身分証明書に使われてる現実を追認してるにも関わらず。 twitter.com/TakashiSasaki/…

仮に公開相手がICチップをパスポートから剥がし取る人だろうが、テロ組織だろうが、公開鍵は公開しても構わないように作ってあるわけだから「こんな危険性があるかも!」って素粒子レベルの確率の話を書いても、その根拠と危険度が明記されていない限りトンデモ文章にしかならない。

記事の結論である「盲目的に外務省に情報公開しろと言うんじゃなくて、事情を細かく調べよう」という趣旨は大雑把には正論であり、それは同意するけど。
まずかったのは雑に電力解析とか無関係な話を書いたことで、ハッタリかまそうとしている感が記事全体に蔓延したことじゃないかなぁ。 twitter.com/n4tsuki_k/stat…

まとめ
・ICAO証明書の公開鍵を公開してはいけない、は誤り(現に公開されている)
・AA用の公開鍵を公開してはいけない、も誤り(普通に読み出せる)
・どちらも「電力解析」「プローブ解析」無関係
・IPAが総研に外注した調査報告書は誤り
・外務省の仕様は正しい
・ICAOの元文書がわかりやすい

いまだ民間に対して券面イメージしか開放しないことによって、パスポートや在留カードの偽造やダークウェブでの販売が横行している現実と、数年以内にRSA暗号が危殆化するリスクとを比較考量するセンスが問われますね

パスポートみたいな公開鍵を配布する先が極めて限定されていてよく、かつ、revokeした場合の影響が大きい公開鍵について、鍵を非公開とすることで、秘密鍵をクラックされる可能性を下げるのは、別に非合理的なアプローチではないと思いました(他のところで公開されてるじゃん!というツッコミは妥当)

公開鍵を公開しないことを(技術面から)擁護している人、HTTPS は実用にならないと言ってるのと同じなので、機微な情報はウェブで一切送受信しないのでしょうね。(しかしどうやって Twitter にログインしてるのかしら)

ソフトウェアアップデートで証明書のrevokeや鍵交換、認証アルゴリズム変更ができるTLS+X.509 PKIと、いったん発行したパスポートを10年間同一鍵で署名検証するパスポートとは危殆化のリスク評価が違うんですよ twitter.com/pmakino/status…

ICパスポートの鍵、あるいは鍵アルゴリズムの危殆化リスクに対して、どのような対応計画が考えられてるのかは気になる。まあ、IC化したことで得たメリットが最悪失われるだけだとわりきってるのかもだけど

これは納得なんですけど,業務として行う人たちに正規の証明書を安全に届けるための要求が満たされていれば十分.事故で秘密鍵が漏れたりアルゴリズムが危殆化したら入れ替えなきゃいけないのは証明書の公開とは無関係だし,公開でリスクが増すというあの回答はやはり不適当だと思いますよ. twitter.com/kazuho/status/…

相違も何もPKIというものの根本を理解してない。有効期限内での危殆化の可能性の程度を専門家分析と合わせて勘案して設計されるのが当然のこと。危険はゼロではないからやらないみたいなことは技術者のすることではないし、役人はそういう技術者を使用してはいけない。
twitter.com/kazuho/status/…

公開鍵は必ずしも一般に公開して使うものではないのですよ。例えば、クライアント認証に使う公開鍵は、通信相手毎に違うものを使い、かつ、経路上では暗号化して第三者に見えないようにすることで、名寄せやユーザートラッキングができないようにする、というのが今日的なベストプラクティス twitter.com/march_tarou/st…

暗号応用の標準化に携わってる一技術者として言えることがあるとしたら、脅威モデルが何かという前提を明らかにせずに、あれが正しい、これが間違い、と主張するのは議論が空転するからさけたほうがいいよ、ってことですね

はあ?ルート証明書の話してるとこに関係ない話して何反論した気になってるの?
twitter.com/kazuho/status/…

おー、日本国のCSCA証明書は、 RSA-PSS (mgf1/sha256, 4096bits) じゃん。堂々と公開すればいいのに。
github.com/shutingrz/e-pa…

「日本のCSCA証明書は実際には4つに分散化してる?(未確認)」
「そもそも入出国業務に関してCSCA鍵が危殆化したとして、券面と格納情報の突き合わせを行うのだとしてどれ程の影響が起こりうるか?(IC含めてパスポートの偽造は無理な前提)」
(続
twitter.com/hamano/status/…

その他に気になったことはこのあたり。

バンキング型ボットネット Gustuff がオーストラリアを標的に bit.ly/2IGk7SQ
“このマルウェアで非常に巧妙な機能のひとつは復元力です。コマンド & コントロール(C2)サーバがダウンした場合でも、感染したデバイスに SMS メッセージを直接送信することで、マルウェア制御を回復できます”

Windows 10 / Server 2019 の次期バージョン 1903 ではパスワードの定期変更 (有効期限) がポリシーが削除されるそうです。その理由や背景も正しく説明されていてとても良いと思いました。blogs.technet.microsoft.com/secguide/2019/… pic.twitter.com/Mbqs5w5cpZ

ベネッセらの個人情報漏えい事件において
東京地裁35部で、本日、シンフォームに使用者責任を認め、
1人あたり3300円を支払えとの判決が出ました。
去年の12月の東京地裁13部判決と同額の判決です。

高橋郁夫先生はシステムかデータのCIAを侵害するという点でサイバー犯罪条約と不正指令電磁的記録における罪の構成要件は本質的に同じというけど,実害や実害の恐れを要件としてないから運用上ずれていってるのでは? / “定義が揺れる「ウイルス罪」、法制化の経緯から誤算…” htn.to/2oNzbX71v8

「運用上ずれていっている」というか、サイバー犯罪条約を超えて立案されたことは、記事にもあるように、法制審議会でそう確認されていたのですよねえ。
twitter.com/tetsutalow/sta…

【注意喚起】BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467) – nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨 –
jprs.jp/tech/security/…

【注意喚起】(緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について(CVE-2018-5743) – フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 –
jprs.jp/tech/security/…

皆様のお力添えで、現在44名様から合計292,864円(目標の91%)のご支援を賜っています。目標まで約3万円です。

こうしす!―コメディアニメでセキュリティ啓発 2019上期―
readyfor.jp/projects/kosys…

【情報通信・放送】
「アクセス抑止方策に係る検討の論点」に対する意見募集

平成31年4月19日(金)に開催 した「インターネット上の海賊版サイトへのアクセス抑止方策に関する検討会」において取りまとめた検討の論点について、意見募集を行うこととします。
soumu.go.jp/menu_news/s-ne…

product:”tomcat” port:”8080″
product:”tomcat” port:”8443″
product:”tomcat” port:”8081″
product:”tomcat” os:”Windows XP”
product:”tomcat” version:”1.1″
product:”tomcat” os:”Windows 7 or 8″
product:”tomcat” port:”80″ pic.twitter.com/Rdz3n23049

巨大IT企業蓄積の個人情報 広告などへの利用停止義務化検討 #nhk_news www3.nhk.or.jp/news/html/2019…

「誰が、何がネットワーク上に存在するかを可視化」–ジュニパーのセキュリティー japan.zdnet.com/article/351363…

12

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>