「時事ネタ」カテゴリーアーカイブ

2005-03
01
23:57:00
OperaでようやくSSL証明書情報が参照可能に・・なるか?


INTERNET Watchから

Operaが次期ブラウザのベータ2公開、フィッシング対策に大幅な改良
今回のバージョンから、URLに応じたセキュリティ情報がアドレスバーの中に表示されるようになった。正当に暗号化されたページを訪れている時にはアドレスバーの右半分に黄色いセキュリティバーが現われて証明書などの情報が表示される。これによって自分がだまされていないかどうかを容易に確認できる。

というのはIEやFirefoxなどでいうところのこれ

相当の機能ですかね。実物はまだ試していないのでよく分からないのですが。
Operaの最大の不満点は、httpsサイトを訪れている時にSSL証明書の詳細情報が参照できなかった(暗号方法やキーサイズなどの情報しかなかった)ことなのですが、フィッシング対策とは銘打っているものの、要は詳細情報を表示できるようにようやくなるみたいですね。
今まで何で対応していなかったのかが不思議です。
でもそうだとしても他のブラウザ並みになるだけなので、大幅な改良ってのはどうかと。
# 記事中でそれとなくXMLHttpRequestサポートに触れているのも”Ajax”対応を暗に示していて、流行ものに目ざといINTERNET Watchらしいですね。
追記
やっぱりそうでしたね。ほぼFirefoxと同様かな。
cert_opera8beta.jpg
でもツリー形式だと一覧で見にくいし、証明書のエクスポートとかは出来ないんですね。この辺りはIEが一番出来はいいですね。

2005-02
01
00:00:00
RFIDの暗号鍵破られる


/.Jから
認証用RFIDタグの暗号が破られ、なりすましの危険性が実証

このタグは40ビットの暗号鍵を内蔵し、読取り機から送られてくる40ビットのチャレンジコードを暗号化して応答すること(チャレンジ・レスポンス)によって認証を実現し、24ビットのID番号をなりすましされないように送信しているという。
ところが、暗号アルゴリズムは非公開であるものの、鍵長が短いため、総当り攻撃によって鍵を解読できてしまうのだという。

ITmediaにも詳しく報じられています。
米研究者、イモビライザーのクラック方法を発見
ほう、非公開の独自アルゴリズムで鍵長40ビットですか。一概に比較できないものの、DESの56ビットやRC4 40ビットもコンテストで破られてたと思いますから、当然の結果かも知れませんね。
そもそも非公開のアルゴリズムなんかに安全なものがあると思う方が間違いだと思うし(確率論かも知れないが)、数時間の総当り攻撃で突破できるような鍵長では、TIが何と抗弁しても実用には耐えないでしょうね。
(RFIDでは鍵の定期変更なんて使えないのかなぁ)
よく社内システムなんかでも、チャレンジ&レスポンスを使ったシステム間認証アルゴリズムとかを「社外秘」などと大げさに扱ってる時がありますが、本当に適切に考慮された認証アルゴリズムなら広く仕様を公開したところで、(それが理由で)脆弱になるはずも無く。
同じ理由で、よく分からない認証とか暗号方式を使ったシステムなんかは個人的には使う気にならないです。
Suicaとかお財布ケータイなんかはどうなんだろうか。(よく分からずに書いてます。)
# 高木浩光大先生のエントリーが楽しみだ。