InfoQ ホームページ 暗号化 に関するすべてのコンテンツ
-
NetflixがMessage Security Layerプロトコルをオープンソースでリリース
Netflixは,自ら"セキュリティ通信の現代的解釈"と称する,Message Security Layerプロトコル(MSL)のリリースを発表した。プロジェクトによるJavaとJavaScriptの実装が,Apache 2.0ライセンスの下でGitHubに公開されている。
-
GoogleがSSL 3.0のサポートを廃止
Googleはオンラインセキュリティブログでまもなく旧式のSSL 3.0のサポートを廃止すると発表した。SSL 3.0に、クライアントにダウングレードを強制することによって攻撃が可能になるという脆弱性が見つかったからだ。SSL 3.0の排除はHTTP2の仕様策定の停滞を解消する可能性もある。
-
CloudFlareがUniversal SSLで無償のWebセキュリティを提供へ
CloudFlareは,同社コンテンツ配信ネットワーク(CDN)の無料登録者すべてを対象に,Universal SSLによるSSLを提供する。この動きは,SSLの展開を望むwebサイトとアプリケーションの所有者がこれまで直面してきた,コストと複雑さという2つの問題に対処するものだ。エンドユーザへの証明書の発行は,CloudFlareが無償で実施する。SSLの有効化は,ドロップダウンメニューによる選択になる。
-
Clouderaがビッグデータ暗号化の新興企業Gazzangを買収
HadoopディストリビュータのClouderaが,Hadoopエコシステムのセキュリティ戦略を進めている。同社は先月,ビッグデータの暗号化とキー管理の新興企業であるGazzangを買収した。この取引はClouderaをセキュリティ面で強化すると同時に,Gazzangの技術チームが先鞭をつけた,Hadoopセキュリティの卓越した中心的存在の創造にもつながるものだ。
-
PayPalにおけるNode.jsのSSLパフォーマンス改善
PayPalで働くソフトウェアエンジニア、Trevor Livingston氏が最近の投稿で、Node.jsのアウトバウンドSSLパフォーマンスの改善提案について説明している。
-
Android 4.1.1のリバースHeartbleed脆弱性
Googleは先週,Android 4.1.1にOpenSSLのHeartbleedバグが影響することを発表した。関連する脆弱性があるのはAndroid 4.1.1のみだとGoogleではしているが,現在も数百万台のスマートフォンやタブレットでこのバージョンが使用されている。Android 4.1.1デバイスでは,”リバースHeartbleed”攻撃によって大量のデータ漏えいが起きることがすでに実証されている。
-
Android上のファイルを暗号化するFacebook Conceal
Facebookは,Android用のファイル暗号化および認証Java APIのセットであるConcealをオープンソースとして公開した。ライブラリを小さく保つためにConcealでは,OpenSSLのアルゴリズムと定義済みオプションのサブセットを使用する。現時点でのサイズは85KBだ。
-
研究者がライブラリと人気のある非ブラウザサービスにおけるその使い方に存在するSSLの脆弱性を公開
「世界で最も危険なコード:非ブラウザソフトウェアにおけるSSL証明書の検証」と題するACM CCS'12 の会報の中で最近公開されたのは、非ブラウザアプリケーションにおけるSSLライブラリとその使い方における重大な脆弱性である。学んだことと開発者とテスターへの確実な推奨事項がこの記事を読むことで共有される。
-
SSLは自重によってつぶれてしまうのだろうか?
F5 NetworksのLori MacVittie氏は最近2011年1月に行われたアメリカ政府によるNIST SSLデプロイメントガイドラインの採用について分析した。現在すべての商業認証機関は2048bitキーのみを発行しているため、サーバがSSLを処理する能力は大きく影響を受けており、SSLの計算コストは高くないという一般的に信じられていることの説得力はなくなっている。
-
Silverlight向けのMD5実装
Reid Borsuk氏により、Silverlight向けのMD5暗号ハッシュアルゴリズムの実装がMSDNに掲示されている。別のMSDNユーザである Delay氏は、近ごろWPFやSilverlightでも動作し、MD5、SHA-1およびCRC-32ハッシュの計算に役立つ小型の.NETコマンド行アプリケーション、ComputeFileHashesを掲載した。
-
MD5 Exploitが潜在的にSSLセキュリティを危険にさらす
特定のCAからのX509証明を使用したSSLベースのセキュリティは、たとえ「安全な」接続でも偽のX509証明のもと、なりすましサイトに、脆弱性がある。これは最近のベルリンでのChaos Conferenceにおいて、真の証明になりすますことで実証された。
-
JRuby: 1.0.3が互換性問題と1.1パフォーマンスアップデートを提示する
JRuby1.0.3が現在入手可能である。ポイントリリースではあるがそれはRails 2.0と他のライブラリ、ツールとの互換性問題を提示するので大変重要なアップデートとなっている。合わせてJRuby 1.1パフォーマンス向上のいくつかに目が向けられた。
-
Not-Yet-Commons-SSLが、パワフルでフリーのSSL機能を提供
Not-Yet-Commons-SSLは、様々な認証フォーマットや、設定のオプションをサポートする使いやすいAPIを提供することによって、SSLの利用が簡単になるように設計された、 ApacheライセンスのJavaライブラリである。特に、それは、単一VMの中で複数認証の利用、自身で署名した認証の操作、標準的な認証フォーマットを全てサポートするといった、JavaのビルトインSSLのサポートに関しての、長い間居座っているいくつかの問題を解決してくれる。