ROCA のすべての投稿

2005-02

01

00:00:00

RFIDの暗号鍵破られる

時事ネタRFID, アルゴリズム, ビット, 暗号, 総当, 認証, 鍵, 非公開ROCA

このタグは40ビットの暗号鍵を内蔵し、読取り機から送られてくる40ビットのチャレンジコードを暗号化して応答すること（チャレンジ・レスポンス）によって認証を実現し、24ビットのID番号をなりすましされないように送信しているという。
ところが、暗号アルゴリズムは非公開であるものの、鍵長が短いため、総当り攻撃によって鍵を解読できてしまうのだという。

ITmediaにも詳しく報じられています。
米研究者、イモビライザーのクラック方法を発見
ほう、非公開の独自アルゴリズムで鍵長40ビットですか。一概に比較できないものの、DESの56ビットやRC4 40ビットもコンテストで破られてたと思いますから、当然の結果かも知れませんね。
そもそも非公開のアルゴリズムなんかに安全なものがあると思う方が間違いだと思うし(確率論かも知れないが)、数時間の総当り攻撃で突破できるような鍵長では、TIが何と抗弁しても実用には耐えないでしょうね。
(RFIDでは鍵の定期変更なんて使えないのかなぁ)
よく社内システムなんかでも、チャレンジ&レスポンスを使ったシステム間認証アルゴリズムとかを「社外秘」などと大げさに扱ってる時がありますが、本当に適切に考慮された認証アルゴリズムなら広く仕様を公開したところで、(それが理由で)脆弱になるはずも無く。
同じ理由で、よく分からない認証とか暗号方式を使ったシステムなんかは個人的には使う気にならないです。
Suicaとかお財布ケータイなんかはどうなんだろうか。(よく分からずに書いてます。)
# 高木浩光大先生のエントリーが楽しみだ。

2005-01

31

23:41:00

超個人的RSSリーダー考

技術ネタBlog, RSS, フィード, ブラウザ, プラグイン, メーラー, リーダー, 巡回, 新着ROCA

はっきり言ってしまうと僕はRSSリーダー(アグリゲータと呼ぶべきか)が性に合っていない。
思うに理由は幾つかあって、

そもそも自分で管理できないほどの数のBlogサイトを巡回するくせになっていない。せいぜい十数サイト。
ブラウザやメーラー以外にこれ以上常駐ソフトを使いたくない。
「Blogを読む」だけのためのソフトに必然性を感じない。

まずはそんなところだろうか。
結論じみて言えば、多分に僕は面倒臭がりで贅沢屋なのだ。

Continue reading →

2005-01

31

21:50:00

Yahoo!ブログ

Blog全般Atom, Blog, Internet, XML-RPC, オーソドックス, ブログ, ベータ, ボタン, 人気度, 最大, 機能ROCA

機能についてはINTERNET Watchが一番詳しいみたいですね。
INTERNET Watch: Yahoo! JAPAN、最大2GBまで画像投稿が可能な「Yahoo!ブログ」ベータ版
画像が最大2Gまでなのは他のBlogサービスに比べて大きなアドバンテージですが、アバダーや訪問者履歴、「傑作」ボタン機能(要するに拍手ボタンかな)、人気度(livedoorのポイント？)なんかは他Blogの真似と呼ばれても仕方ないものばかり。
満を持しての登場かと思っていただけに、ちょっとがっかりですね。
ついでに、XML-RPC機能やAtom PPなどのインターフェースに対応していないのも残念。
まだまだベータ版なので今後に期待というところもありますが、実を言うとYahoo!こそがこの一年で出来上がった現在のBlogの「形」を崩してくれるんじゃないかな、などという期待をしていた部分もあったんですが。
予想外にオーソドックスで逆にびっくりという感じです。
# とは言え、以前の記事にも書いた通り、実のところはこうした大手のオーソドックスで無難なサービスが一番受け入れられることになるんだろうなとは思う訳ですが。

2005-01

27

10:47:50

旅行びと日記 R1.9 リリース(BlogPet)

こうさぎBlogPet, ROCA, リリース, 内部構造, 変更点, 旅行びと日記, 日当, 脆弱ROCA

きょう「ろこ」っていいますがここへパがlivedoor♪
そもそもきょう「ろこ」っていいますが脆弱とかAtomPPした。
いやきのう、ここまでパの災へ機能したいです。
そもそもきょうは、ここに1するはずだったの。
不要。rocaは、

長らく間が空いてしまいましたが、旅行びと日記R19をリリースします。
今回の大きな変更点としては、これまでは1日当り1日記(記事)の作成しか行えませんでしたが、今回内部構造を大幅に見直し、日付や時刻

といってました。

*このエントリは、BlogPetの「「ろこ」っていいます」が書きました。

2005-01

26

08:18:00

MovableTypeにスパムメール送信される脆弱性

Blog全般Formmail, IP, MovableType, スキャン, スパマー, スパムメール, バグ, メールサーバー, 手法, 踏み台, 送信ROCA

【重要】 Movable Typeの脆弱性と対策について
既に各所で問題になってますが、MT派の人はぜひ対策を。で無いと、不要な批判に晒されてしまう可能性も出てきます。
# Typepad系は別実装だしsendmailベースでメールサーバーを置いていなければ大丈夫なのでしょうか。
どこか大手でこんな脆弱性が発覚して利用されたらと思うと・・ブルブル
そう言えば、何故か最近うちのF/WログでFormmailバグを突いたスパムメールのための踏み台探し?スキャンが目立ってるみたいです。
実際は2003年に既に発見されてFIXされたバグらしいんですが、未だスキャンが横行しているということは、対応していないところも多く有効な手法と見なされてるのかな。
どうも同時刻に別IPからのアクセスがあるとのことで、乗っ取られてただけか、あるいはIPを偽造して効果だけを検知する新しい手法が編み出されてる可能性も。
考えてみればスパマーさん達も、昔みたいにリレー自在なメールサーバーがそこかしこに転がってる時代じゃ無いし、生き残りに必死になってきてるのかも知れませんね。
ひょっとすると今後こうしたメールサーバー直接じゃない踏み台攻撃が流行ったりするかも。