週末スペシャル: Go コンパイラのセキュリティアップデートがあるらしい

no extension

年末忙しくて書き損ねてるネタを回収中。

  1. Go コンパイラのセキュリティアップデートがあるらしい
  2. GnuPG 1.4.20 released
  3. GitLab.com にアカウントを作った
  4. くそな「中間者デバイス」が SHA-1 廃止の邪魔をする

Go コンパイラのセキュリティアップデートがあるらしい

詳細は示されてないが13日(日本時間だと14日かな)を待つことにしよう。 来週は月例のセキュリティ更新週間である。

GnuPG 1.4.20 released

昨年の話で申し訳ないが

セキュリティアップデートではないが既定の動作が変わるようである。

  • Reject signatures made using the MD5 hash algorithm unless the new option –allow-weak-digest-algos or –pgp2 are given.
  • New option –weak-digest to specify hash algorithms which should be considered weak.
  • Changed default cipher for symmetric-only encryption to AES-128.
  • Fix for DoS when importing certain garbled secret keys.
  • Improved error reporting for secret subkey w/o corresponding public subkey.
  • Improved error reporting in decryption due to wrong algorithm.
  • Fix cluttering of stdout with trustdb info in double verbose mode.
  • Pass a DBUS envvar to gpg-agent for use by gnome-keyring.

GnuPG というか OpenPGP が後生大事に MD5 を残しているのは過去の資産への対応のためであろう。

ちなみに PGP の最初のリリースは1991年で,実に四半世紀も前である。 作者の Phil Zimmermann は当時,米国内反核運動の活動家であった。 更に暗号技術に対する政治的圧力は現在と比較にならないほど厳しく,米国は長いあいだ彼をマークし続けた。 PGP の広まり方や改良のプロセスは実に「インターネット的」であった。 詳しくは Steven Levy の『暗号化(Crypto)』をどうぞ。

あれからネットも随分変わったが,当時政府が何をしたか企業は何をしたか「暗号アナーキスト」たちはどうしたか。 現在のネットは先人の努力により「勝ち取った」ものであることを私たちは絶対に忘れてはならない。

自由そのものは自由ではない。 勝ち取ったものはいつか奪われる。 奪われたくなければ勝ち続けなければならない。

GitLab.com にアカウントを作った

これ見て GitLab.com にアカウントを作ってみた。 とりあえず中身は空っぽ。 公開リポジトリを GitLab.com に作るメリットはない気もするが,容量が 10GB/repos あるのはありがたい。

まぁ,どう使うかはこれからおいおい考える。 今年あたり,どっかにサーバでも借りて私用リポジトリ・サービスを立ち上げてみたいのだが,これもおいおい。

くそな「中間者デバイス」が SHA-1 廃止の邪魔をする

いやもうこれは笑うところだよね。

Barnes氏は次のように説明している。「ユーザーがHTTPSサイトへの接続を試みると、中間者デバイスがFirefoxに対し、サーバの本物の証明書でなく新規のSHA-1証明書を送信する」
「Firefoxは新規のSHA-1証明書を拒否するため、サーバに接続できない」(同氏)

SHA-1 衝突問題: 廃止の前倒し」でも紹介したが, SHA-1 の危殆化はかなり現実的な問題になってきている。 いますぐどうこうというわけではないが,これ以上の先延ばしは出来ない状態である。 しかし CA やブラウザが頑張っても「中間者デバイス」なる覗き屋が邪魔をする。

やはりセキュリティ製品が暗号通信に対して「中間者攻撃」を仕掛けるのは筋が悪すぎると思うのだが,何とかならないものかねぇ。

参考図書

photo
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー (著), 斉藤 隆央 (翻訳)
紀伊國屋書店 2002-02-16
単行本
4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
評価     

20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)