【7/31まで】Humble Book BundleのCybersecurity Bundleがすごい

www.humblebundle.com

Humble Bundleっていう好きな額を支払ってゲームや本のパッケージを購入できるサービスがあるのですが、そこでセキュリティ関連書籍のバンドルが売られてたので買ってみた、という内容です。かなりいい内容なので英語でも読めるよという方にはオススメ。今日時点であと13日ってことなので7/31まではやってます。

$1からスタートで4冊、$15以上でフルセットの14冊が購入できます。「以上」というのがポイントで、購入金額は出版社と募金先とHumble Bundleの間で好きに割り振りをすることができます。私は$25で購入して追加分はEFFに募金しました。$25でも物理で1冊買えるかどうかなところ全部ついてくるんだからいかにこの企画がぶっ飛んでるか。

続きを読む

【論文紹介】Sliding right into disaster: Left-to-right sliding windows leak【RSA-1024続報】

だいぶ遅れましたが例の「RSA-1024がやられた」の攻撃の詳細を解説したペーパーである「Sliding right into disaster: Left-to-right sliding windows leak」の解説をします。

TL;DR

というよりは「攻撃の詳細な解説はいいから何すればいいんだ」という人向け。

  • RSA暗号RSA-1024そのものの理論的突破ではない
    • (今回の解説の範囲外だが)そもそもRSA-1024は対称鍵暗号の80ビット相当の安全性しか持たず、政府機関クラスの予算があればbrute forceで突破可能であり、TLSの証明書では既に2048bitへの移行が進んでいる
  • 攻撃が成立する条件は秘密鍵が存在するマシン上での任意コード実行
    • そもそもそんな状況許したらゲームセット、というのはパッチノートの通り
    • ただし、原理的には仮想環境で他のVMから攻撃を仕掛けられる可能性はある。メモリレイアウトを正確に知る必要があるので非常に困難ではあるが…
続きを読む

【演奏会記録】2017/7【出た方】

はいはいいつものいつもの。前回は3月4月です。今回のはいつもより短め。

続きを読む

「RSA-1024がやられた」について

例によってクリプト野郎なので解説します。速報としてはリンク集を置いておき、あとで原論文の解説を書きます。(7/6追記: 土曜日くらいになりそう) 超要約はTwitterでの以下の発言の通りになる予定。

(7/13更新: 記事書きました)


リンク集

WorldsFirstSha2Vulnerabilityについて

github.com

クリプト野郎なので解説します。とりあえず速報なのであとでもう少し書くかもしれません。結論から言うと(少なくとも現時点で観測される情報の範囲では)脆弱性じゃないので安心して。

続きを読む

Encrypt-then-MAC vs MAC-then-Encrypt (『プロフェッショナルSSL/TLS』読書会第1回フォローアップ記事)

1週間以内で記事にするとは何だったのか。というわけでタイトルの通り、質問で出ていた「Encrypt-then-MACだと安全だけどMAC-then-Encryptだとダメってどういうこと?」について解説します。

宣伝: 第2回もやります

第2回を立てたので今度こそ宣伝します。とはいえ開催2週間前に日程告知することになってしまったのは準備がぬるかったですゴメンナサイ…orz

ptls-study.connpass.com

続きを読む

『プロフェッショナルSSL/TLS読書会』#1

やりました。 事後報告記事なので軽めに。

宣伝をおおっぴらにしなかったのには主に会場のキャパシティの問題があります。もともとからして所属とかはがんばればわかったのでそこを伏せる意味は特になく、Twitterタイムラインで観測する限りそれなりに読者が多い本だったのでテーブル込み18・テーブルなし24のキャパシティなど軽く消し飛ぶんじゃないかと思ってたので…。そのへんは実際はちょうどいい感じでした。

続きを読む