人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

トランプ政権のシグナル流出:エンドツーエンド暗号化に関する誤解

2025-03-25
トランプ政権のシグナル流出:エンドツーエンド暗号化に関する誤解

イエメンでの軍事作戦について議論するシグナルのグループチャットに、トランプ政権が誤ってジャーナリストを追加したという記事が議論を呼んでいます。多くの人がこれをシグナルのセキュリティの欠陥と誤解していますが、著者はエンドツーエンド暗号化(E2EE)は、メッセージの転送中の機密性を保護するものであり、ユーザーエラーではないと明確にしています。E2EEは、許可されていないユーザーのチャットへの追加を防ぐものではなく、機密通信のための政府承認の安全なシステムに取って代わるものでもありません。この記事では、E2EEのメカニズム、長所と短所、さまざまな状況での適合性について説明し、誤解や代替技術の宣伝を批判しています。最終的に、著者はこれがシグナルの失敗ではなく、政府が承認されていないツールを使用した結果であり、関係者は責任を問われないだろうと予測しています。

続きを読む
(soatok.blog)
テクノロジー

コラッツ予想と暗号化:計算複雑性に関する物語

2025-03-15
コラッツ予想と暗号化:計算複雑性に関する物語

この記事では、悪名高いコラッツ予想と、暗号化におけるARXアルゴリズム(例:ChaCha)との驚くべき関連性を探ります。コラッツ予想は単純な反復関数を記述しており、それが常に1に収束するかどうかは、未だ証明されていません。この記事では、コラッツ関数をチューリングマシンと比較し、ビット単位の実装における桁上がり伝播が、予測不可能な複雑さを生み出すことを強調しています。これは、効率的な拡散を実現するために加算、回転、XORを使用するARXアルゴリズムと対照的です。この記事は、コラッツ予想の未解決の性質は、停止問題と同様に、計算の固有の複雑さから生じる可能性があると示唆しています。

続きを読む
(soatok.blog)
その他

FreeSWITCHにおける重大な脆弱性:オープンソースの通信ソフトウェアのセキュリティリスク

2025-03-12
FreeSWITCHにおける重大な脆弱性:オープンソースの通信ソフトウェアのセキュリティリスク

セキュリティ研究者がオープンソースの通信ソフトウェアFreeSWITCHにおいて、バッファオーバーフローの脆弱性を発見しました。これはリモートコード実行につながる可能性があります。FreeSWITCHの開発元であるSignalWire社は脆弱性を修正しましたが、修正版を含む新しいリリースは夏まで行われないため、数千ものシステムが脆弱な状態に置かれる可能性があります。これは、オープンソースの通信ソフトウェアにおけるセキュリティ管理の欠陥、および経済的インセンティブがない場合のセキュリティ問題の軽視を示しています。

続きを読む
(soatok.blog)
テクノロジー

シグナルの暗号化監査:週末の深堀り

2025-02-18
シグナルの暗号化監査:週末の深堀り

この記事では、応用暗号化の専門家によって行われた、人気の暗号化メッセージアプリSignalの週末にわたる暗号化監査の詳細を説明しています。著者は、暗号化監査のプロセスと限界について説明し、企業が監査結果を誤って提示する事例を強調しています。ケーススタディとしてSignalを使用し、著者は実装された暗号化メカニズムを調べ、将来の監査の優先事項を概説しています。目標は、ユーザーがマーケティングの主張を超えて、暗号化アプリのセキュリティをよりよく理解し、評価できるようにすることです。

続きを読む
(soatok.blog)
テクノロジー シグナル 暗号化監査 暗号化メッセージ

自作暗号はやめよう:開発者が暗号化で失敗し続ける理由

2025-02-01
自作暗号はやめよう:開発者が暗号化で失敗し続ける理由

開発者は、しばしば低レベルの暗号化ライブラリを使用することで、「自作暗号」のリスクを回避できると誤解しています。この記事では、多くの開発者が暗号化を誤解しており、既存のライブラリを使用しても、プロトコル設計やキー管理でミスを犯せばセキュリティが保証されないことを主張しています。著者は現実世界の例を示し、堅牢なキー管理の重要性と、開発者が暗号化実装を深く理解し、専門家によるレビューを受ける必要性を強調しています。

続きを読む
(soatok.blog)
開発

Sessionメッセージアプリ:暗号セキュリティ監査

2025-01-20
Sessionメッセージアプリ:暗号セキュリティ監査

セキュリティエンジニアのSoatokは、Sessionメッセージアプリの暗号設計に疑問を呈するブログ記事を発表しました。この記事は、SessionがEd25519キー生成に128ビットのシードを使用していることを指摘し、バッチ衝突攻撃に対して脆弱であることを示しています。概念実証コードも提供されています。さらに、この記事は、Sessionの署名検証プロセスの設計上の欠陥と、フォワードシークレシーの削除を批判しています。Soatokは、Sessionの暗号設計は重大なセキュリティリスクをもたらすと結論づけ、使用しないようアドバイスしています。

続きを読む
(soatok.blog)
テクノロジー