TL;DR Fakenet-NG を改造して、証明書のエラーなく任意の通信先に対して HTTPS の通信を行わせるための備忘録です 実質 MitM をさせる Proxy を作るための話になります TL;DR はじめに 環境構築 0. 事前準備 1. 通信先情報の取得 ドメイン(ホスト名) IPアドレス 2. 自己署名証明書の作成 3. Proxy Listener への組み込み 4. テスト おわりに はじめに マルウェア解析の動的解析環境(Sandbox 環境)を構築する際、TLS/SSL を用いた HTTPS 通信をどのようにして取得して分析可能とするかというのは一つの至上命題です。マルウェアがC2サーバと通信する際に TLS/SSL を使う場合はもちろんそのやりとりの中身を記録したいですし、解析環境検知のためにメジャーなWebサービスに対して HTTPS でダミー通信を発する場合もあ
2024年3月1日 各位 一般社団法人日本ネットワークインフォメーションセンター 特別勉強会: 国際的な動きと私たちのセキュリティ技術/PKIのこれまでとこれから - 松本泰氏をお招きして - 開催のお知らせ 本イベントは既に終了しました。 公開鍵基盤の技術であるPKIをはじめとする国内で展開されるセキュリティ技術に関し、 IETFといった標準化団体やPKIに関わる業界団体等で、 相互運用性、国際化、認証業務における透明性、近年ではIoT等のセキュリティに関する活動など、 組織を超えた幅広い議論と取り組みが行われてきました。 この度、JNSA PKI相互運用技術WGをはじめとしてInternet Week等でも活躍され、 長年にわたりPKI技術について貢献されている松本泰氏を中心に、 さまざまな分野で活躍されている方々をお招きし、 「PKIのこれまでとこれから」の講演とそれを受けた議論を行
目的 さまざまなサービスがデジタル化し、ネットワークを介して提供され、デジタルデータが国境を越えて飛び交う中で、何をどうやって信用するかは重要な課題です。中でもデータについては、流通するデータ量が膨大になるにつれ、1つ1つを確認することは容易ではなく信頼できる根拠が必要となり、それは「電子署名」の役割と言えます。 さまざまな電子署名方式について紹介し、標準化の進んでいるデジタル署名について、単なる検証処理だけでは確認できないトラストの要素について解説します。デジタル署名技術の専門家ではない利用者向けの導入から、最新の技術動向まで幅広く記載していますので、トラストを確保したい場合の参考としていただければと思います。 なお、合わせて2021年4月に公開した「デジタル署名検証ガイドライン」についても若干の誤記修正や情報の更新を行いましたので、v1.1として更新しています。 「デジタル署名検証ガイ
2023年3月31に情報処理推進機構(IPA)のウェブサイトの大幅変更があり、過去に使えていたコンテンツが参照できなくなったり騒ぎになりました。かくいうPKIエンジニアをしている私も結構困ったので、PKIエンジニアがよく参照しそうなコンテンツがそのままなのか、移動したのか、廃止になってアーカイブされたのかなど調べて自分向けの「リンク集」を作っておきました。 よかったら使ってください。 [移動] TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編)(最終更新 2021.12月) https://www.ipa.go.jp/security/crypto/guideline/ssl_crypt_config.html (移動先) https://www.ipa.go.jp/security/crypto/ssl_crypt_config.html (旧リンク切れ) [移動]
恐ろしく長い上に割と複雑なので最後まで読む人はほとんどいないと思うのですが、将来確実に忘れてしまう自分のために書いたので別に悲しくありません。 まえがき 背景 sigstoreの概要 sigstoreを構成するツール群 Cosign Rekor Fulcio 署名方法 コンテナイメージ 鍵ペアの生成 署名 検証 Blobs 鍵ペアの生成 署名 検証 署名の仕組み コンテナイメージ OCI Registryについて 署名の保存先 署名フォーマット 署名検証 検証が不十分な例 Blobs 参考 まとめ まえがき 鍵の管理不要でソフトウェア署名を可能にするKeyless Signingについて解説を書こうと思い、まず前提知識を書いていたら信じられないぐらい長くなったので前提知識だけで1つの記事になりました。 後述するsigstoreは急速に開発が進んでいるプロジェクトであり、ここで書いている記述
私は丸投げしただけですが、詳しい方に以下のTweetのリプライで教えていただいたのでスクラップとして残しておきます。 みんなでPKIに詳しくなろう!
以前から気になっていた「次世代 Web カンファレンス 2019」を、ようやく聴きに行くことができました。 たくさんのトークがありましたが、ここではHTTPS (hashtag: #nwc_https)をメモしておきます。なお、このセッションが間違いなく一番アツく、一番面白かったです! 当日の動画 https://www.youtube.com/watch?v=_8dCa8wj8QY togetter https://togetter.com/li/1268794 以下、当日参加した、もしくは動画を見たという前提でのメモなので、見てない人はぜひ見ましょう。 PKI 「低レイヤから行きましょう」ということで、はじめはPKI絡み。Symantecのdistrustと、日本のGPKIの話でした。 トーク中に何度か出てきましたが、認証局(厳密にはCAとRAを分けて書くべきですが、どうせみんな一緒な
Are you new to CAcert? CAcert.org is a community-driven Certificate Authority that issues certificates to the public at large for free. CAcert's goal is to promote awareness and education on computer security through the use of encryption, specifically by providing cryptographic certificates. These certificates can be used to digitally sign and encrypt email, authenticate and authorize users conne
1. © 2015 Kenji Urushima All rights reserved. いろんなSSL/TLS設定ガイド JNSA臨時スキルアップTF 実世界の暗号・認証技術に関する勉強会 於:NTTソフトウェア(品川) 日時:2015年6月22日(月) 19:00-19:30 漆嶌賢二 JNSA 電子署名WG(ゾンビ?)メンバ 2. © 2015 Kenji Urushima All rights reserved. 1 ・経歴 ・富士ゼロックス(2010~) ・エントラストジャパン(2005~2010) ・セコム(1988~2005) ・興味: PKI, TLS, 電子署名, SSO, 認証, 暗号, CSIRT, 脆弱性検査, フォレンジック, スマホ, プログラミング, ビットコイン ・別名 ・証明書ハンター ・(TLS)暗号スイートウォッチャー ・委員、標準
前編では、CRL(Certificated Revocation List)とOCSP(Online Certificated Status Protocol)の違いと、証明書の有効/失効をブラウザで確認する方法について解説しました。後編ではまず、現時点で利用できる3種類の証明書「Domain Validation(DV)」と「Organization Validation(OV)」「Extended Validation(EV)」について説明します。 DV(ドメイン認証)証明書 DV証明書は、最も安価で最も良く利用されている証明書です。証明機関は企業や組織に求める情報を独自に設定しており、シンプルな認証内容と簡潔な手続きが特徴です。 一例を挙げると、企業側はWebサーバー上の対象となるドメインに、ドメインの認証証明機関から送信されたファイルを設置します。これだけで証明機関は正しい所有者で
社内で使われるWebアプリケーションを作成する場合、そのWebアプリケーション用のユーザー情報を新規に作成します。一方で企業は既にActive Directoryのようなディレクトリサービスを使いユーザー情報を管理しています。新しく作成したWebアプリケーションでもActive Directoryで管理しているユーザー情報を使い、シングルサインオンができればアカウント管理が非常に簡単になります。 今回はAWS Directory ServiceのSimple ADとAWS上にActive Directory Federation Service(ADFS)を構築してユーザー情報の管理、認証を行い、認証成功後はWebアプリケーションに連携させてみます。 認証情報の連携にはSAML認証を使います。 SAML(Security Assertion Markup Language) SAMLはイン
こんにちは、Slashチームの渡辺です。 Slashチームでは、ユーザー管理や認証周りなどの、cybozu.comの各サービスに共通する機能を開発しています。今回は、3月にリリースされた、SAML認証を用いたシングルサインオン機能1についてお話させて頂きます。cybozu.comでのSAML認証の概要にくわえて、それらの機能をどのように設計・実装していったか、という誰も興味ないニッチな話題を扱います。 SAML2 って? 「SAMLなんて聞いたこと無いけどなんとなく興味があるぞ!!」という物好きな方のために、SAMLの概要とcybozu.comでの利用について、簡単に説明します。そんなものは既に知っているというSAML猛者な方は読み飛ばして頂いて構いません。 SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、異なるセキュリ
Security Assertion Markup Language(SAML)とは、異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。 SAML認証を設定すると、社内のIdentity Provider(IdP)に登録されたユーザーアカウントで、cybozu.comにシングルサインオン(SSO)できます。 cybozu.comはSAML 2.0に対応し、Service Provider(SP)として動作します。 ここではSAML認証を使用したSSOの流れ、およびcybozu.comの設定手順を説明します。 SAML認証を使用したSSOの流れ SAML認証を有効にすると、cybozu.comはSP InitiatedなSSOを行います。SAMLリクエストとSAMLレスポンスには、次のバインディングを使用します。 SAMLリクエスト:HTTP Redirec
「第1回 Webサービスのセキュリティ概要」ではWebサービス・セキュリティのフレームワークについて、「第2回 XMLデジタル署名とXML暗号」ではXML署名とXML暗号について述べた。「第3回 XML鍵管理サービスとXMLプロトコル」は鍵情報の登録と検証を外部のサービスに依頼する仕組みであるXKMSと、これらの情報を伝達するためのXMLプロトコルSOAPについて述べた。 今回はシングルサインオン(SSO)や、それに続いて属性情報やアクセス制御情報を伝達するプロトコルSAML(Security Assertion Markup Language)について述べる。SAMLは連携した企業間のWebサービスのSSOを目指して最近策定されたLiberty Allianceの仕様や、マイクロソフトの.NET Passportに用いられる基本的な技術として注目されているものである。さらにSAMLの上で
オレオレ認証局が忌避されるべきものとされてきた理由は、X.509 PKIが保証する安全性は、最も信頼性が低い認証局(trusted root)のそれに等しいからです。 しかし、X.509 v3以降ではName Constraintsが導入され、「特定のドメインに対してのみ証明書を発行可能な認証局」を定義できるようになっており、同constraintをcritical key usage extension*1として宣言したルート証明書を安全な経路で配布、インストールすることができれば、上記のようなX.509 PKIの系全体に対する影響は発生しないことになります*2。 ここで問題になるのは、どの程度のウェブブラウザがName Constraintsに対応しているのか、という点になりますがhttps://news.ycombinator.com/item?id=5194103によると、Chro
ウェブブラウザが新機能をHTTPSでしか有効にしないことが多くなってきたので、開発環境でもHTTPSを使いたい。でも、開発環境用にサーバ証明書を買うのは手間。Let's Encryptも運用がめんどくさいとか、社内からしかアクセスできないサーバへの証明書発行が難しいとかいろいろあるし…ってそこでName Constraintsを使った独自CAですよ奥さん。 Name Constraints が何であるかについては、以前オレオレ認証局の適切な運用とName Constraintsに書いたとおり。 本稿では、Name Constraintsを使うCAの運用手順を説明する。 1. CA鍵と証明書の作成 1.1. CAの秘密鍵を作成 % openssl genrsa -out ca.key 2048 1.2. openssl.cnfにCA証明書に設定する属性を指定するセクションを追記 [priva
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
