タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
E2EE を開発していて思うこと
ここ数ヶ月は自社製品向けの End to End (Media) Encryption の設計と実装をしています。年内での提供を目標として開発を進めてい見ていますが、色々感じることがあったので雑に書いていこうと思います。 前提自分は暗号やセキュリティの専門家ではない自社製品向けの E2EE は Signal や Google Duo が利用している実績のある仕組みを採用しているE2EE や暗号の専門家を招聘し、相談しながら開発している自分の E2EE に対する考え悪意あるサービス管理者からユーザを守るために存在する機能と考えています。 Signal プロトコルはよく考えられすぎているSignal が考えた Curve25519 (x25519/ed25519) を利用した X3DH / Double Ratchet の仕組みは安全すぎると感じるくらいです。 相手からメッセージを受信するたび
Google Authenticator、オプションのE2EE機能追加へ 「ユーザーがロックアウトされる可能性もある」
米GoogleのIDおよびセキュリティ担当プロダクトマネジャーのクリスティアーン・ブラッド氏は4月27日、2段階認証アプリ「Google Authenticator」(日本では「Google認証システム」)に将来オプションでE2EE(エンドツーエンド暗号化)する機能を追加するとツイートした。 同社は24日、このアプリのアップデートで、ワンタイムコードを端末ではなく、Googleアカウントに(つまりクラウドに)保存するようにした。 このアップデートは概ね歓迎されているが、Myskと名乗るセキュリティ研究者が26日、コードを同期する際のネットワークトラフィックがE2EEになっていないとツイートで指摘し、ユーザーにこのアプリを使わないよう警告した。 E2EEは、データが送信されて別の端末に保存される前に、ユーザーだけが知っているパスワードを使って端末上でデータを暗号化する仕組みだ。 Google
スイスに拠点を置くE2EE(エンドツーエンド暗号化)メールサービスProtonMailに対する批判が高まっている。同社が当局の要請に従ってフランスの活動家にリンクしたIP情報を提供し、それがこの活動家のフランスでの逮捕につながったと、活動家グループが9月1日(現地時間)、反資本主義メディア仏Paris-luttes.infoで主張したためだ。 ProtonMailのアンディ・イェンCEOは6日、この問題について公式ブログで説明した。 ProtonMailへの要請は、フランス当局から直接あったのではなく、欧州刑事警察機構(EUROPOL)経由の要請をスイスの裁判所が承認した。イェン氏は「スイス当局から法的拘束力のある命令を受け、ProtonMailにはこれを順守する義務がある」と説明した。 同社のプライバシーポリシーによると、当局からの要請に応じて提供する情報には、ユーザーのアカウント情報が
現行の一部のパスワードマネジャーは、パスワードフィールドしか暗号化していないものが多いが、Proton Passはユーザー名やWebアドレスなどを含むすべてのフィールドでE2EE化している。 また、複数端末間で同期でき、データの自動バックアップ機能があるため、たとえすべての端末を紛失してもパスワードを失うことはない。 PCのデスクトップでWebブラウザの機能拡張版を使うと、Proton Passがそれまで使っていたパスワードマネジャー(Googleの「パスワードマネージャー」など)のデータを引き継ぐ。何らかのサービスで新たなアカウントを作成すると、Proton Passが独自パスワードを生成する。 Proton Passは無料だが、ログインを整理するための追加のボールト、無制限の電子メールエイリアス(無料版は10件)、無制限の2FAログインなどの追加機能を利用できる有料サブスクリプション版
ロシアでは一時利用禁止にもなった テレグラムが犯罪者にも好んで使われるようになったのには理由がある。高機能で無料ということに加え、本当の意味でのE2EEの通信機能が実装されており、運営側でも通信内容を見ることができない秘密性が確保されているからだ。さらに、通信ログの保存時間を指定できるので、裁判所の命令があったとしても、通信履歴をたどることが難しい場合がある。 E2EEやログの自動消去は、多くの国において憲法レベルで保証されている「通信の秘密」「プライバシー」の観点からは、まったく問題ない。それ自体は合法的な機能だが、犯罪者にとって都合が良い機能であることも確かだ。 そのため、ロシアでは2018年から20年6月まで公式には利用が禁止されていた。テロ犯の通話記録の開示を運営が拒んだためというのがその理由だ。現在、運営元(Telegram FZ LLC)の拠点は現在、ロシアを離れUAEにある。
E2EE(エンドツーエンドの暗号化)メッセージングアプリ「Signal」を提供する米非営利団体Signal Messengerは8月15日(現地時間)、同社もその電話番号認証サービスを利用している米Twilioへのフィッシング攻撃で、約1900人のユーザーに影響があったと発表した。 Twilioが7日に発表した攻撃で、Signalの約1900人のユーザーの電話番号がSignalアカウントに登録されているという情報と、それらの電話暗号の登録に使われたSMS確認コードが攻撃者に奪われた。攻撃者は約1900件の電話番号中3つの番号でアカウントの再登録を試み、1つの番号で再登録した。 Signalのメッセージはクラウドではなくユーザーの端末に保存され、連絡先リストとプロフィールはセキュリティPINで保護されているため、それらが攻撃者の手に渡ることはない。 だが、アカウントを再登録されてしまうと、そ
E2EE で守れないもの 悪意ある参加者 認証を握っているであろうサービスの管理者が悪意がある場合は拒否できない 悪意ある参加者を拒否するには本人確認がサービスとは別の仕組みでできる必要があり、それは E2EE とは関係ない ローカルへの保存 受信したデータをローカルで復号する以上は防げない、これはもうどうしようもない E2EE で求められるもの パケットへの署名 公開鍵ペアを生成し秘密鍵を利用してパケットに署名を行う事で途中でパケットが改ざんされていないことを確認する 公開鍵がサービス外の第三者によって共有されていることも重要となる これで悪意ある管理者がパケットを改ざんしていないことを確認できる 例えば接続完了時に公開鍵のフィンガープリントを口頭などで共有することで確認することができる Zoom や Cisco はフィンガープリントを数値のみにしたりして、共有しやすくしている メンバー
米Microsoftは12月14日(現地時間)、Web会議サービス「Microsoft Teams」での1対1での通話をエンドツーエンド暗号化(E2EE)できるようにしたと発表した。Teamsの管理者は、同日から設定で機能を有効にできる。 この機能はMicrosoftが3月に発表し、10月からプレビューとして提供してきたものだ。すべての会話を暗号化できるわけではなく、管理者が有効にした場合にオプションとして選択できる。 E2EEを有効にすると、以下の機能は使えなくなる。 通話の録音 ライブキャプションと文字起こし 通話転送 コールパーク機能(通話を保留して別の通話に出ること) 呼び出しのマージ CalCompanionと別のデバイスへの転送 参加者を追加して、1対1の通話をグループ通話に拡大すること Microsoftは、チームコール用のE2EEも、欧米の航空宇宙、製造、電気通信、専門サー
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Appleは本日、データ漏えいがまん延し、世界中で機密性の高い個人的な消費者データが脅威にさらされていることの明確かつ説得力のある証拠を明らかにした、マサチューセッツ工科大学教授Stuart Madnick博士による独自の調査を公表しました。データ漏えいの総数は2013年から2022年の間に3倍以上となり、過去2年間だけでも26億件の個人記録が脅威にさらされ、2023年も悪化の一途をたどっています。この調査結果は、昨年の報告およびiCloudの「高度なデータ保護」の提供開始以降、エンドツーエンドの暗号化など、クラウドにおけるデータ漏えいに対する強力な保護がさらに重要になっていることを示すものにほかなりません。 「The Continued Threat to Personal Data: Key Factors Behind the 2023 Increase」(個人データへの脅威が継続:
米Metaは12月6日(現地時間)、「Messenger」のメッセージと通話をデフォルト(初期設定)でエンドツーエンド暗号化(E2EE)すると発表した。2016年に発表した計画が、ようやく実現した。 これにより、悪意ある攻撃者だけでなく、Meta自身もユーザーのメッセージにアクセスできなくなる。政府機関からの要請があっても提供できない。 Metaは別のメッセージングアプリWhatsAppでは既にE2EEを実施している。MessengerでのE2EEに時間がかかったのは、スタンプライブラリなどの機能をE2EE向けに再構築するのが困難だったためと説明している。この暗号化には、米Signal MessengerのSignalプロトコルとMetaの独自プロトコルを使った。 マーク・ザッカーバーグCEOは2019年に全面的なE2EE計画を発表し、2022年には展開を開始したが、問題発生の懸念から延期
米Meta(旧Facebook)は1月27日(現地時間)、「Messenger」(旧「Facebook Messenger」)のE2EE(エンドツーエンド暗号化)機能のアップデートを発表した。グループチャットとグループ通話を全ユーザーが利用可能になる他、相手がスクリーンショットを撮ると通知する機能などが追加される。 Metaは2016年にモバイル公式アプリで「秘密のスレッド」としてE2EE機能を発表した。その段階では、メッセージと画像は送受信できたが、動画、音声、スタンプ、GIF画像、リアクション(いいねやハートなど)はやり取りできタイピングず、グループチャットもサポートしていなかった。 今回のアップデートで、動画、音声、スタンプ、GIF画像、リアクションの送受信と、グループチャットもサポートした。 また、普通のメッセージングと同じように相手の「入力中」インジケーターを表示できるようになる
米Signal Messengerのモクシー・マーリンスパイクCEOは1月10日(現地時間)、2月にCEOを退任すると発表した。現在後任を探しており、WhatsAppの共同創業者でSignalの会長、ブライアン・アクトン氏が暫定CEOを務める。 2014年創設のSignal Messengerは、E2EE(エンドツーエンドの暗号化)メッセージングアプリ「Signal」を提供する非営利団体。ユーザーの個人情報を集めず、広告も有料サービスもなく、運営は寄付で成り立っている。MAU(月間アクティブユーザー数)は4000万人以上だ。 マーリンスパイク氏は公式ブログで、かつては1人で「すべてのAndroidとサーバのプログラムを書き、すべての開発を促進していた。深夜に雨の中、歩道に1人座り込んでノートPCでサービス低下の原因を解析していたこともある」が、現在は30人のチームに育ち、「優れたリーダーシ
米Metaは8月11日(現地時間)、メッセージングサービス「Messenger」(旧「Facebook Messenger」)のデフォルト(初期設定)でのE2EE(エンドツーエンド暗号化)のテストを一部のユーザーを対象に開始したと発表した。テストに参加するユーザーのメッセージは自動的に暗号化される。 Metaは2016年からMessengerの一部のチャットをオプトインで暗号化する機能を提供しているが、2023年には個人間のメッセージと通話をグローバルにE2EEにする計画だ。この計画に対しては、規制当局が懸念を表明している。 Metaは前日、裁判所命令を受けてユーザーのMessengerのデータを当局に提供し、それを証拠として17歳の女性が中絶の罪で起訴されたことで批判されていた。 デフォルトでメッセージがE2EEになれば、Metaも規制当局もその内容を見ることはできない。 関連記事 Me
E2EE暗号化の仕組み
はじめに E2EE暗号化が普及した背景には、疑似乱数生成アルゴリズムDual_EC_DRBGにバックドアが存在する可能性がある疑惑や、エドワード・スノーデン氏が内部告発したPRISMによる監視・盗聴行為などが明らかになり、高度な暗号化や安全性の高い暗号化技術が求められるようになりました。 E2EEとは E2EE(End-to-end encryption)とは、利用者のみが鍵を持ち、端末間で暗号化されているためMITM攻撃などによる盗聴の対策になります。 前方秘匿性(FS)や楕円曲線上の離散対数問題の困難さから、安全性の高いことが特徴です。 第三者による解読を困難にするため事実上、利用者のみデータを復号出来ます。 一方で、犯罪捜査や違法コンテンツなどの対策が困難になることが問題視されてる。(サービス提供者も復号出来ないため) E2EEが利用されてるサービス ProtonMail Wire
WebRTC SFU で E2EE はじめました
最近 WebRTC SFU において E2EE を実現する技術が揃い始めてきました。そこで時雨堂でも E2EE への対応をすすめることにしました。 WebRTC SFU とは?WebRTC は P2P をイメージすること人が多いですが、SFU はクラサバモデルの WebRTC です。 サーバが配信を代理で行うことにより、配信側の負担を減らすという仕組みです。現在、商用で WebRTC を利用する場合はほぼ WebRTC SFU を利用しています。例えば Discord や Slack 、Google Meet 、Pornhub (のライブチャット) は全て WebRTC SFU を利用しています。 ただ WebRTC SFU はサーバ側でクライアントから送られてきた暗号化された音声や映像を全て復号しています。そのためプライバシーを懸念するサービスに利用しにくいという課題があります。 E2E
端末のデータ保護を担う暗号化技術として筆者が最近注目しているのが「E2EE」(End to End Encryption)です。意外に普及していないこの技術のメリットや、LINEやiCloudでこれを設定する方法を紹介します。 Appleは先日、「データ漏えいにより26億件の記録が侵害」というレポートを公開しました。Appleが委託した調査によると、2022年12月以降にクラウドに保存された利用者のデータが脅威にさらされており、過去2年間で26億件の個人記録が侵害を受けているそうです。 企業が調査を委託するからには、それなりに意図したい結論があるわけですが、今回のレポートでは、Appleが「iOS」や「macOS」などで提供しているクラウドサービスの利用というよりは、「iCloud」の機能の一つである「高度なデータ保護」の利用を推奨するというものでした。これについては筆者も確かに同意します
米Googleは6月15日(現地時間)、今夏Android端末で提供する予定の7つの新機能を紹介した。既に一部地域で提供しているものや、日本ではすぐには提供されないものも含むが、ここで紹介しておく。 「メッセージ」のE2EEが可能に(1対1のみ) Androidアプリ「メッセージ」でのエンドツーエンド暗号化(E2EE)を、「Rich Communication Services(RCS)」プロトコル採用のチャット機能を有効にしている1対1のユーザー同士のチャットで有効にできるようにする。 チャットするユーザーの双方が「メッセージ」アプリをインストールし、チャット機能を有効にしている必要がある。E2EEが可能な場合、送信ボタンの横に小さな錠前のアイコンが表示される。 この機能は昨年11月にテストを開始したもの。現在ロールアウト中のようだ。 「メッセージ」で大事なメッセージに★ Android
Signal adds quantum-resistant encryption to its E2EE messaging protocol
HomeNewsSecuritySignal adds quantum-resistant encryption to its E2EE messaging protocol Signal has announced that it upgraded its end-to-end communication protocol to use quantum-resistant encryption keys to protect users from future attacks. Quantum computers that use qubits (superpositions of 0 and 1) have the potential to be much more powerful and faster than current systems, allowing them to p
関連キーワード Apple | セキュリティ | 暗号化 Appleの「iCloudの高度なデータ保護」(Advanced Data Protection for iCloud)は、同社のオンラインストレージサービス「iCloud」のセキュリティを強化する機能だ。iCloudの高度なデータ保護は、データの送信元から送信先までの通信を暗号化する「エンドツーエンドの暗号化」(E2EE)を中核にする。このE2EEの導入について、さまざまな意見が専門家の間で飛び交っている。 「E2EE」の何がいけないのか? 併せて読みたいお薦め記事 連載:AppleのE2EEに対する賛否 第1回:Apple“賛否両論”セキュリティ機能「iCloudの高度なデータ保護」とは何なのか 第2回:Apple「iCloudの高度なデータ保護」にセキュリティ専門家が太鼓判を押す理由 第3回:Appleが「iCloudの高度な
Anonifyで使用されている技術要素を洗い出し重要な技術について簡単なサンプルプログラムを交えて解説する。 その3では「E2EEを実現するための暗号技術」と題して、Enclaveの中でcrypto_boxを使った鍵交換プログラムを書く方法について解説する。
米Signal Messengerは2月20日(現地時間)、E2EE(エンドツーエンドの暗号化)のメッセージングアプリ「Signal」で「username」を導入すると発表した。Signalではこれまで、チャットするにはサインアップで使った電話番号を表示する必要があったが、電話番号の代わりに一意のusernameを使えるようになる。この機能はまだβ段階で、向こう数週間をかけて全ユーザーにロールアウトする予定。 usernameを設定すると、最新版のSignalを使っていて、スマートフォンの連絡先にまだ電話番号が保存されていない相手には、電話番号が表示されなくなる。 Signalにはもともとプロフィール名があり、こちらがXやInstagramのユーザー名に当たる。usernameは電話番号を共有しないためのツールという位置づけだ。usernameはプロフィールにも表示されず、検索しても表示さ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
E2EEメールサービス「ProtonMail」、当局に活動家情報を提供したことについて説明
E2EEメッセージ拡大で揺れる、データ秘匿と悪用の微妙なバランス
Proton、無料のE2EEパスワードマネジャー「Proton Pass」リリース
「Microsoft Teams」通話のエンドツーエンド暗号化(E2EE)がプレビュー公開開始/「Teams」を提供するMicrosoftでさえデータの復号は不可能
ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ
E2EEメッセージのSignal、Twilioへのフィッシング攻撃でユーザー約1900人に影響
リアルタイムコミュニケーションにおける End to End Encryption (E2EE) について
Microsoft、Teamsの1対1通話のE2EE機能提供開始
WebRTC SFU + E2EE コトハジメ
報告書:データ漏えいにより26億件の記録が侵害 — E2EEの必要性が明確に
Meta、「Messenger」のE2EEをデフォルトに 投稿後15分以内の修正も可能に
Meta(旧Facebook)、「Messenger」のE2EEを全ユーザーに提供開始
「Microsoft Teams」通話のエンドツーエンド暗号化(E2EE)が一般提供開始/10月からプレビューテスト
E2EEメッセージングアプリSignalのCEOが退任 暫定CEOにブライアン・アクトン氏
Meta、「Messenger」のデフォルトE2EEテスト開始
E2EEとは何か? 今すぐ使える暗号化技術のメリットと設定方法を解説
Google、Androidの7つの新機能予告 「メッセージ」のE2EEや★追加など
セキュリティを高める「E2EE」はなぜ一部から“毛嫌い”されるのか?
E2EEを実現するための暗号技術 | Anonify解体新書3 - LayerX Research
E2EEのSignal、電話番号非公開が可能に 「username」導入で
www.sbu25.com
www.jstage.jst.go.jp
approach.yahoo.co.jp
mond.how
www4.bestjavporn.com
fabcross.jp