リプレイ攻撃

CBK#05 暗号(Cryptography) go to menu page CBK#05 暗号(Cryptography) 5.1. セキュリティ原則 5.2. 定義 (Definitions) アルゴリズム (Algorithm): 暗号法 (Cryptography): 暗号システム (Cryptosystem): 暗号解読 (Crypto analysis): 暗号理論 (Cryptology): 暗号文 (Cipher text): 暗号化 (Encipher): 復号 (Decipher): 鍵 (Key): 平文 (Plaintext): ワークファクター(Work facto…

マイクロソフトから 2023年初頭に、Microsoft Entra に関して Identity の５つの優先的な対処事項について製品を交えながら紹介されています。5 Microsoft tips for securing identity and access - Microsoft Security Blog 冒頭に、2018年と2022年を対比し、パスワード関連の攻撃増加が月平均値のグラフで示されています。パスワード攻撃、リプレイ攻撃、パスワードスプレー、フィッシング、それぞれ２割以上増加しパスワードスプレー攻撃に至っては13倍以上の増加です。マイクロソフトでは、毎秒 1,287件、１日…

この記事はフラー株式会社 Advent Calendar 2022 12日目の記事です。 11日目の記事は @ManabuSeki さんで「X-Accel-RedirectとgoでS3ファイルに認証をつけて配信する方法」でした。 (10日目と12日目を担当することにしたので完全に囲む形になってしまった。) はじめに 環境 準備 今回の記事での流れ REST API に使用する秘密鍵の生成 client_secret を作る共通メソッド アプリを作る SiwA のリフレッシュトークンの取得 ナンスの生成 REST API からリフレッシュトークンを取得する リフレッシュトークンの検証 SiwA …

ビットコインの根幹を支えるのが、ブロックチェーンと呼ばれる技術です。ブロックチェーンの定義 電子署名とハッシュポインタを使用し改竄検出が容易なデータ構造を持ち、且つ、当該データをネットワーク上に分散する多数のノードに保持させることで、高可用性及びデータ同一性等を実現する技術（一般社団法人日本ブロックチェーン協会による定義）。 ブロックチェーンにより、全ての参加者が自律して取引履歴を記録し続けています。そして、参加者によって監視や承認がされることで安全性を保ちます。これは自律分散型のシステムの特徴で、P2P（Peer to Peer）ネットワークと呼ばれます。中央サーバーを用意せず個々の端末（P…

■ はじめに 仕事で、HMACなるものがでてきたので調べてみた。 軽く書いて終わらせるつもりだったが、 内容がかなりの量になり、かつ、勉強になった。 目次 【１】MAC １）入力値 ２）MACを使った認証の流れ ３）一方向ハッシュ関数との違い 【２】HMAC 【３】セキュリティ攻撃 １）再生攻撃・リプレイ攻撃 ２）秘密鍵推測する攻撃 【４】制限事項（解決できない事項） １）第三者に対する証明 ２）否認防止 【１】MAC * MAC = Message Authentication Code (メッセージ認証コード) * 正真性を確認し、メッセージの認証を行う技術 => メッセージを改ざんされて…

はじめに HTTPSがどのようなプロトコルなのかは”curl —trace”でも部分的には確認できるが、より詳細にはopenssl s_clientというコマンドを使うのがよい。そこで今回はこのコマンドを用いてHTTPSの仕組みを追っていくことにする。HTTPSがセキュアであるのはSSL/TLSプロトコルに依っているが、今回はTLS1.3でどうなっているかを見る。(TLS1.2は現状まだ広く使われている。TLS1.1, TLS1.0は非推奨) TLS1.3はQUICで前提となっているプロトコルなので、今キャッチアップするならTLS1.3まで追うのがおすすめ。 -- TLS 1.2と1.3は結構…

PCI DSSv4.0が3月31日（日本時間の4月1日）にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い453ページの”大作”となっており、中々細部まで読むのが大変な基準書となっていますが、PCI DSSの専門家を自負している1人として、個人的な感想を交えて何回かに分けてv4.0について記事を書ければと思います。 ※前回記事の6月から間が空いてしまいましたが、お盆休み期間に少し記事がかけたので公開します。 要件8：ユー…

概要 MongoDBやPostgreSQLでは認証時にSCRAM (Salted Challenge Response Authentication Mechanism) と呼ばれる認証方式を採用しています。 これは従来のチャレンジレスポンス型の認証を改善したものであり、パスワード（ハッシュ値含む）といった機密情報をサーバ側で保持せずとも認証できる仕組みです。 今回はそのSCRAMについて図を交えて説明します。 シーケンス SCRAMのシーケンスは以下です。

リレーブログの続きです。今月で、seccamp2021のkグループのリレーブログは終了します。一年もったのなにげにすごくないですか。リレーブログでフォーラム発表もしましたし、いい経験になりました。 来週の回は、メンバー全員での感想てきなものになります。前回はこちら。 今回のお題はRolling PWN(CVE-2021-46145)ということで、攻撃の細部は公開されていなそうなのでこれに関してと類似するCVEについて、また脆弱性の対応と少しのお気持ち表明という流れで書いていきます。 Rolling PWNの概要 ホンダ車に用いられるリモートキーレスエントリーシステムにある脆弱性の名前。 この攻…

SPIFFE に個人的に興味を持ち始めたので、https://github.com/spiffe/spiffe/blob/main/standards/ にある仕様を全部読んで簡単にまとめてく。今回は、JWT-SVID についてです。 尚、学習中であるため解釈が間違っている可能性は存分にあります。 ざっくりまとめ 原文: JWT-SVID Schema は、ここを見るとよい: https://github.com/spiffe/spiffe/blob/main/standards/JWT-SVID.schema Introduction JWT-SVID トークンベースの SVID で L7 …

はじめに こんにちは、開発本部所属エンジニアの id:kiryuanzu です。 現在、Classi ではサービスのセキュリティリスクをできる限りなくすために Content Security Policy を導入して脆弱性を検知する仕組みの導入を進めています。 本記事ではこの仕組みを導入する上でどのような手順が必要であり、どのような箇所で苦戦するポイントがあったかについて紹介していきます。 筆者は今まで CSP対応に携わったことがなかったのですが、導入段階の時点で想定していたよりも様々な知識が必要なことがわかり、記事にしたいと思いました。 もし数ヶ月前の自分と同じように初めてCSP対応に関わ…