FirefoxやFacebookなどがインターネットの新しいセキュリティプロトコルTLS 1.3をすでにサポート

先週の金曜日(米国時間8/10)に、Internet Engineering Task Force(IETF)はTLS 1.3をリリースした。これはWebのセキュリティプロトコルTLS 1.2のメジャーアップデートで、HTTPS接続による暗号化を扱うレイヤなど多くのセキュリティ機能がこのプロトコルで定義されている。

今回のアップデートで、セキュリティが向上するとともにスピードもやや上がる。それはブラウザーとサーバーがセキュリティの設定を折衝するときに必要とされるラウンドトリップの回数を減らしたからだ。そしてMozillaの今日(米国時間8/13)の発表によると、Firefoxは現バージョンがすでにTLSの新しい規格をサポートしている。Chromeも、バージョン65から(初期のドラフトにより)新しいプロトコルをサポートしている。

TLS 1.3は策定にかなりの年月を要し、前バージョンのローンチから10年かかっている。TLS 1.2に問題があることは広く知られていたが、それらは主に実装のレベルの問題で、しかも遍在的だったためにハッカーの餌食となり、また悪名高い脆弱性バグHeartbleedのような傷口を広げた。しかしそれだけではなく、TLS 1.2のアルゴリズムの一部も、攻撃が成功されてしまった。

そこで当然ながらTLS 1.3は、現代的な暗号化方法へのアクセスにフォーカスしている(Cloudflareの連中がその技術的詳細を書いている)。

これはユーザーにとってはWebがより安全になることであり、また暗号化の方法に関するブラウザーとサーバーの折衝がはやくなるぶん、Webアクセスもややはやくなる。

TLS 1.3をすでにサポートしているFacebookは、トラフィックの半分近くが新しいプロトコルでサーブされている、という。GoogleやCloudflareも、サポート済みだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleのProject Zeroが多くのスマートフォンに使われているBroadcomのWi-Fiチップの脆弱性を発見

GoogleのProject Zeroはこのところ快調で、CloudflareLastPassの高度なバグを発見したことに続き、今度は、iPhoneやNexusやSamsungの製品に使われているBroadcomのWi-Fiチップにバグを見つけた。

Appleは、昨日(米国時間4/3)のセキュリティアップデートでこのバグをパッチした(パッチ10.3.1 — Apple製品のユーザーは今すぐこのアップデートをインストールすべきだ)。そしてProject Zeroの研究員Gal Beniaminiが今日(米国時間4/4)のブログ記事で、問題を詳しく説明している。

Appleはセキュリティアップデートの注記で、“犯人が被害者から一定範囲内の距離にいれば、そのWi-Fiチップ上で任意のコードを実行できただろう”。それはまずい! まずいだけでなく、Appleが10.3.1のリリースを急いだ理由も分かる(一週間前に10.3が出たばかりだ)。AppleとGoogleは、どちらもコメントを拒否した。

BeniaminiはBroadcomのチップ上で一連の悪行を連鎖的に実行することによって、“ユーザーのアクションをいっさい要さずに、Wi-Fiの近くにいるだけでデバイスを完全に支配できた。すなわち、共有されているWi-Fiネットワーク上の犯人は秘かに、何の前触れもなく、ユーザーのデバイスを犯すことができた”。

Beniaminiは彼が行った調査を、Nexus 6Pでデモした。だからAppleがセキュリティアップデートの注記で“できただろう”と言っているのは、自分の(Appleの)デバイスでもできただろう、という意味だ。Broadcomのチップはいろんなスマートフォンで使われているから、Appleに限らずそのほかのメーカーにも影響が及ぶだろう。

“Broadcomはこの脆弱性の修復と、それの関連ベンダへの提供の両方で、対応がきわめて迅速で有益だった。その完全なタイムラインは、バグトラッカー記録見ていただきたい”、とBeniaminiは書いている。

Beniaminiからの、さらなる情報開示を期待しよう。彼は、近いうちにこの脆弱性の詳細をもっと明らかにしたい、と言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

合衆国国土安全保障省が図書館のTORノードを閉鎖、悪用の危険性に配慮

af-library

国土安全保障省(Department Of Homeland Security, DHS)にとっては、終わり良ければすべて良しだから、今日は同省とニューハンプシャー州レバノン市の警察が同市の公共図書館に、テロなどの脅威を防ぐためにTORのノードを閉鎖するよう求めた。

この図書館は合衆国では初めての、セキュアなTORの末端ノードを設けた図書館だった。TORを経由するとWeb閲覧の匿名性が維持され、そのサイトを見ている人の本人性がばれない。そこでDHSと警察は、図書館のローンチ直後にその職員たちにアプローチした。このレバノン市の公立図書館はLibrary Freedom Project(図書館の自由プロジェクト)のメンバーで、このプロジェクトは多くの図書館にTOR末端ノードを置こうとしている。図書館の訪問者の匿名性が維持されると、個人が悪質な国家権力からスパイされたりするおそれがなくなる、というのだ。Viceはこう書いている:

警察や市から、TORは犯罪者が悪用することもある、という説明を受けた図書館は、LFPプロジェクトを脱会した。“しばらく休止しますが、こういう問題が早くなくなることを期待します”、と館長は語った。彼によると、9月15日に行われる評議員会議にサービスの復旧を諮る、という。

DHSのスポークスパーソンShawn Neudauerはこう述べる: “Torの利用そのものは不法ではなく、その利用には妥当な目的もある。しかしながらTorが提供する保護は、犯罪を行う企業や個人を魅(ひ)きつけることもあり、われわれはそういう、匿名化技術を悪用する人たちを追い続けることになる”。

この論理で言えば当然、車も銃もレンガも、その悪用の危険性ゆえに、非合法化されなければならない。次は、何が槍玉に上がるだろうか。

出典: Digital Reader

[原文へ]
(翻訳:iwatani(a.k.a. hiwa