「暗号技術」 − Hierocrypt
対称 (共通鍵) 暗号ってのはチューニングが大変そうだなぁ。 まぁ私達シロートでは考えることすらままならないけど。
前に紹介した Windows Privacy Tools だが, なかなかよい感じ。 日本語の GUI にできればインストールパッケージとしてはかなり無敵ではないだろうか。 GnuPG もオリジナル版と Nullify 版が選べるようになっている。 Nullify 版のスペックは以下のとおり。
Pubkey: RSA, RSA-E, RSA-S, ELG-E, DSA, ELG Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH Hash: MD5, SHA1, RIPEMD160, TIGER192, SHA256, SHA384, SHA512 Compress: Uncompressed, ZIP, ZLIB
IDEA を有効にするにはプラグイン DLL を導入する必要があるが, Windows Privacy Tools を使えば自動で設定してくれる。 ただしこれは真っ新の状態からインストールする場合の話で, 既に GnuPG や WinPT が稼働している状態でインストールしちゃうと最初から設定やり直しになっちゃうので注意が必要だ。
なお, あゆめみさんが公開されているフォント変更パッチは一時配布先のパッケージにしか適用できない。 従ってパッチを適用するには Windows Privacy Tool インストール後に Windows Privacy Tray の最新バイナリを上書きコピーする。 また GnuPG の mo ファイルは Nullify 版でも同じものが使えるのでご安心を。
「「ファイルローグ」裁判、日本MMOが著作権侵害の主体と認定 〜 RIAJ、JASRACの主張が全面的に認められる。損害賠償額は4億円以上の可能性」
「東京地裁、日本MMOの著作権侵害を認める中間判決──JASRACとRIAJ「高く評価できる」」
なんだかなぁ。 この裁判はビミョー。 私はどっちもあまり応援したくない。 しかもネットへの影響は大ときた。 しかし 「音楽もビールと同じように、楽しむにはお金を払う必要があることを理解してほしい」 ってのは完全に脅しにかかってますな。 あの最後通告メールとタメを張ってる。 音楽が 「消費」 によって無くなるってのなら分かるけど。
日本ではあのカラオケの料金徴収システムが全てのはじまりだったのかもね。 やはりそのうちシャワーを浴びながら鼻歌で 「雨に唄えば」 を唄う度に口座からお金が引き落とされるようになったり。 これが真のユビタキスか。
「バーチャルネットハッカーっ娘 沙耶16歳」 に CCCD 関連の記事がたくさん紹介されている。 1/29 に紹介した記事も併せて以下に列挙する。
「10年後のビジネスモデル」 など分かろう筈もない。 1990年代初頭に21世紀最初の数年が今のような有様になっていることを誰が予想していたというのだ。 逆に言えば分からないからこそビジネスチャンスなのに。 極端なことを言ってしまえば今の音楽産業なんて潰れてもかまわないと思う。 「産業」 が潰れたとしても音楽やクリエイターそのものは残る。 今の流れは音楽 「産業」 を守るために音楽とクリエイターを (そして「消費者」たる私達も) 食い潰そうとしているようにしか見えない。
あゆめみさんの日記 (2/2) から:
どひー, こいつは極悪だなぁ。 ユーザの心得として ActiveX とか プラグインソフトとか迂闊に入れるのは問題なのだが, こいつの場合殆ど不可抗力? ちなみに McAfee ではウイルスに認定されている。 アドオンソフトとはいえ単体のアプリケーションがウイルス扱いされるというのはよっぽどのこと。
久し振りに Ad-aware でディスクの中を浚ってみる。 でもなぜか http://www.lavasoft.nu/ にアクセスできないんだけど。 しょうがないので ZDNet の記事にあるリンクから直接 Ver.5.83 をダウンロードする。 最新の signature ファイルが欲しいなぁ。 浚った結果は, 広告サイトの Cookie がひとつ紛れ込んでただけで特に問題なし。
まぁ私みたいにディスクエリアの一部を間借りしてるだけの人にはあまり関係ない話だけど。 勝手にキャッシュしちゃいやん, て人もいるだろうし。
さて繋いじゃったことだし, がんがんダウンロードしまくるぞ。 apt-get が速くて嬉しい!
これだけだと何のことやら分からんが, 山根信二さんの近況ページ (2/3) によればいよいよアレが世に出るらしい。 もうこれで電子メール環境については Windows プラットフォームは完全に置いてけぼりですな。 (いや,他の部分も色々置いてけぼりになりつつあるのだが)
Germany's agency for information technology security (ドイツ (内務省) 情報技術保安局) → 独政府のITセキュリティ機関 の誤訳はなかなか微笑ましくてよい。 知らない人は普通そう訳すよな。
私は GnuPG 2.0 が出るまで待ってます。
「マイクロソフト製ソフトのアップデート・モジュールを複数PCに自動展開するツール」
コンセプトはよろしいがコスト高過ぎ。 さすが 「いらない人に押しつける」 のが得意な成毛さんとこの関連企業。 その料金を払うくらいなら LAN 内の Windows マシンを全て W2K または WinXP にアップグレードして SUS 使った方がずっと安上がりだぞ。(ただし SUS はアプリケーションのアップデートには使えない)
ちょっと古いコンテンツで内容も所々怪しかったりするが, PKI (つか,厳密には X.509) の予備学習程度には使えるか。
例のナニについての解説。 多分日本語で書かれたテキストの中では (管理者の立場から見て) 一番分かり易いのではないだろうか。 入れてるつもりはないのだが, 念のため Retina Sapphire SQL Worm Scanner や SQL Scan ツールでチェックしてみる。 問題なし。 MSDE も検知できるといいんだけど。 Retina Sapphire SQL Worm Scanner は, ユーザ登録した後に来る確認メールの中にダウンロード URL が書かれている。 面倒な。
いつもの覚え書ページに Slammer の特集を組んでみた。 つっても, その辺からかき集めたリンク集だったりするのだが。
あっ YAMAHA による 「Microsoft SQL Slammer Wormに関する公開情報」 みっけ。
なんで戦国武将? そんな説あるの? つか, 戦国武将を引き合いに出す時点で発想がオッサンだよなぁ。
Linux が流行りはじめたのはここ数年くらいの話で, PC-UNIX って言えば普通 BSD 系を指すんじゃないの? まぁマニアやハッカーな方々の認識は違うでしょうけど。 でも例えば社内LANでUNIXサーバを立てる場合は, 昔は SPARC マシンを買って SunOS/Solaris にするか PC 互換機買って FreeBSD ぶち込むかという選択だったような。 近年は Linux も使えますよっていう程度。 しかも SunOS が曲がりなりにも使えるようになるのは 「Solaris」 になってだいぶ経ってから。 「計算機」 としてはやっぱり HP-UX だったかなぁ,当時。 正直, なんで SunOS/Solaris があんなに売れているのか分からなかった。 私くらいの世代は大抵 SunOS で苦労してるんだよねぇ。 そういやそんな昔話を客先でしてたような。
Linux が近年企業ユーザや一般ユーザに人気があるのは OS のスペックそのものではなくてディストリビューションが優秀だからだと思う。 どれだけ優れたプラットフォームでも導入および管理コストが高いものはユーザから嫌われる。
はっ! しまった。 このままじゃご隠居の縁側日記だ。
「Linux での teTeX-2.0,pTeX,pLaTeX2e のインストール」
本来は TeX のインストールってメチャメチャ面倒なんだよねぇ。 いつもながら角藤亮さんの素晴らしいディストリビューションに感謝です。
Web2C も Kpathsearch もリビジョンがどんどん上がっていくのでとても追いきれない。 でも,まぁ, teTeX 2.0 正式版が出たことで当分落ち着くかな? utf パッケージも登場したことだし, ここらでアップグレードしてみようかな。
ちょっとフライングしちゃったけど, 正式には今日から ADSL 開通。 思ったより遅いのは, まぁしゃあないか。 重要なのはこれでやっと常時接続環境が手に入ったこと。 今回導入・参照したものは以下のとおり。
モデムおよびスプリッタはリースした。 単純に値段だけなら買ったほうが安いのだが, 落雷等の事故があった際のことを考えると保険料だと思って払っといた方がお得かな, と思って。 ルータは必要十分な機能をもったもので一番安いのが YAMAHA なので。 仕事で同じような機種を扱ったことがあるので慣れてるということもある。 でもシリアルポートかせめてUSB端子は付けてほしかった。
syslog については Vine Linux 機に引き受けさせてもよかったのだが, 私のメインマシンはあくまで W2K 機なので。 また syslog を使いだすとやたらログファイルが溜まるので, 自動削除用のツールもダウンロードした。 これの古いバージョン (確かVB2製) を昔使っていたことがある。 NTP は是非入れたかった。 でもこいつ入れると123番のUDPパケットがやたら発生するので, 事実上常時接続じゃないと使えないのだ。 スクリーンセーバは完全に趣味。
「KDEに貢献する独政府の「Kroupware」プロジェクトとは?」
前に紹介した記事の詳細かな。 結局 「ITセキュリティ担当局」 に落ちついている模様。 でも BSI って (NSA みたいな) 諜報機関だべ? この呼称は誤解を生みそうだなぁ。
例えば 「中村正三郎のホットコーナー」 の 2/5 の記事を見ても全くその通りだと思うけど, 考えてみればまともな諜報機関を持ってない (実際のところはどうか知らないけど) 日本でアメリカやドイツのようなことをやれって言われてもできる筈ないよね。 「電子政府」 を本気でやりたいのなら, まずそこから始めないとだめなんじゃないかな。 いや,まぁ, 外交すらまともにできない日本政府に諜報機関などつくれるわけないと思うけど, 経済産業省だって 「定点観測システムの構築」 をやるとかいってるし, 住基ネット関連だって設計に対するもっとちゃんとした監査システムが必要だろう。 そゆのを民間任せにするんじゃなくて (役人だけで「内輪」でやられても困るが) 政府の機能として構築しないと。
正直なところ 「Kroupware」 が単なる MS Exchange/Outlook 代替ソフトならまるで興味がないんだけど, X.509 と OpenPGP が共存できる解が本当にそこにあるなら試してみたい気もする。 でもなぁ今の Linux 機は潰したくないしなぁ。 今運用してるマシンは GNOME すら嫌って単なる WindowMaker だったりするので。 こうなってくるとデスクトップ作業用の Linux マシンが欲しい。 ああああっ, これじゃ何台あっても足りない!
いや,まだ日本語版が出ないので, うちでは 6.05 のままなのだが。 どうも Opera の開発プロジェクトってセキュリティインシデントに関する認識が甘いような。 「うちは関係ない」 って思い込んでるんじゃないだろうか。 Opera 6.05 にも Javascript に関する解決されない問題があった筈。 Opera に関しては Javascript オフが原則である。 そうしないと危なっかしくて使えない。
「fsum - File Integrity Checker」
md5sum と完全互換で動くらしい。 サポートしているアルゴリズムは MD2, MD5, SHA-1, SHA-2 (256, 384, 512), RIPEMD-160, PANAMA, TIGER, ADLER32, CRC32 だそうな。
「JPCERT/CC Vendor Status Notes」
試しに Slammer に関するページ (JVNCA-2003-04)を見ると, 分かりやすくまとめられていてとてもいい感じ。 これから日本のベンダは JVN にガンガン報告していただけるとユーザとしては大助かり。
「PGP署名の検証方法」 というページがある。 そのページに公開されてる公開鍵だが GnuPG 1.0.7-hs 版を使ってエクスポートしたらしい。(現在 hs 版は公開されてない) まず 「ようやく PGP 2.6 系やめたのか」 という思い。(JCERT/CC なんか今だに 2.6 系の古い鍵を使っている) もうひとつは 「なんで 1.2.1 を使わん?」 という思い。 でもって操作説明が PGP 7.0.3 ベースだったりするのだから。 思わずあのギャグを言ってしまいそう。 「ちゅーとはんぱやなぁ」
ところでこの検証手順は大丈夫なのか? サーバサイドやプロキシサーバやブラウザ内部などで内容が書き換えられるということはないのかな? うちで試したら一応できたんだけど, 条件によっては検証できないパターンの方が多いような気がするんだけど本当に大丈夫?
この前書いた駄文を話題にしていただいている。 恐縮です。 ついでに 「「クリエイティブ・コモンズ」について」 のマスタ文書をいくつか修正してPDF版を作ってみた。 いや,まぁ, PDFにするほどの内容じゃないんだけど, これで SmartDoc から XHTML, LaTeX2e/PDF へのタイプセットする際に埋めこんだライセンスの記述部分がどのように処理されるかを示すサンプルソースとして使えるのではと多少期待している。 今回ライセンス部分を外部ファイルに出したのでドキュメント間で再利用しやすくなった筈。 もうちょっと最適化できたら某MLに報告してみよ。
GreyMagic のニュース (2/4) によると 英語版 Opera 7 のセキュリティバグは 7.01 で FIX しているそうである。 英語版ユーザは是非アップデートを。
ちなみに今回指摘されたセキュリティインシデントの一部は IE でも見つかっていたようで, 対策を施した MS03-004 が発行されている。 しかしこの話にはオチがあって, NT版の未完成モジュールをフライング公開してしまいNTユーザを混乱に陥れていたのだ。(現在は修正された MS03-004 が公開されているのでご安心を) MS は 「2003 年 1 月 20 日に修正プログラム候補が Windows Update に誤って公開」 などといっているが, 実際には少なくとも 1/9 には出まわっていたようである。 なんでそんなつまらんウソをつくかなぁ。 また信用を落とすぞ。
活用されてるか, と言われれば 「活用されていない」 んだろうな。 CPSR/Japan の山根信二さんが 「住民基本台帳カードをベースとした連携IC カード導入の技術的問題点」(草稿, PDF) で指摘しておられるようにそもそも電子政府からして活用どころか評価システムの基盤すらない状態なんだもの。
この記事がどのような人達を対象にしているのかイマイチよく分からないのだが, 一般のユーザやせいぜい職業プログラマ・SEレベルの人で 「情報セキュリティに関心を示す人」 は少ないのが当たり前じゃないだろうか。 私だって興味本位 (あるいはひょっとしたら飯の種になるかも) で情報を追っているに過ぎない。 それに一般ユーザと企業ユーザでは取り得る戦略が異なる筈である。 例えば, 一般のユーザが電子メールを暗号化するのに X.509 および S/MIME を使っていたのでは全く割に合わない。 そうなると OpenPGP および PGP/MIME を選択することになるだろう。 企業ユーザは両者を選択する余地があるが, どちらを選ぶかでセキュリティ戦略がまるで変わってくる。 「国内で入手可能な暗号関連製品リスト」 を見てみたけど, あのラインナップは明らかにお役所や企業ユーザをターゲットにしてるよね。 たとえ最新版に更新されたとしても (少なくとも一般ユーザたる私には) あまり用がない。
CRYPTREC の情報は有用だけど一般の人向けではない。 一般の人にはもっとアプリケーション寄りに噛み砕いた説明が必要。 またセキュリティ技術への盲信を変える (どれだけ優れた製品でもリスクゼロということはあり得ない。 リスクは変動するのでリスク管理はプロセスで考える必要がある。 など) ような啓蒙活動も必要だろう。
そういえば 「ウイルス・不正アクセス届出状況」(1月分) で 「今月の呼びかけ」 が 「ファイアウォールを導入しよう!!」 になってたな。 個人的な意見として一般ユーザにはあまりお薦めじゃないんだけどねぇ > パーソナルファイアウォール
まぁアナログモデム等でダイアルアップで繋いでいる人は他に方法がないけど, 常時接続環境が使えるのならパケットフィルタリングができるルータを導入することでかなり防げる筈である。 勿論サーバ公開してる人やメッセンジャーソフトを常用してる人, あるいはファイル交換等のP2Pソフトでリソースを公開している人はアプリケーションレベルでフィルタリングしてくれるファイアウォールは必要かもしれない。 でも 「ウイルス・不正アクセス届出状況」 で書かれてる程度のスペックでいいのならケチらずルータを買えといいたい。(安物のルータの中にはパケットフィルタリング機能すらないのもあるので注意) パーソナルファイアウォールは最終防衛ラインとして使うべきだし, それにふさわしい製品を選択する必要がある。(パーソナルファイアウォールソフトがセキュリティホールになるようでは話にならない) 逆にパケットフィルタリング機能しかないソフトを 「ファイアウォール」 と称して売るのは詐欺じゃないかと思うのだが実際はどうなんだろう。
あゆめみさんの日記 (2/8) より: Windows Privacy Tools 1.0rc1 に入ってる WinPT は 0.7.94 なんだそうな。 だから 0.7.94 用のパッチをあてればフォントを切り替えれるらしい。 なるほど。
そうなんですか。 なんでかなぁ。 折りを見て調べておきますね。 gpg.exe の場所だけど, GnuPGのレジストリ設定を見て判断した方がいいかなぁ, と思っている。 INIファイルに書くのは (私の中では) ちょっと裏技的な使い方だし。
はっきり言ってしまおう。 「だめだこりゃ」
そもそも 「コピーOK」 があるのに 「障害者OK」 や 「学校教育OK」 なんてマークがあるのが妙だったのだが, 「コピーOK」 で認められているのは 「「プリントアウト」「コピー」「無料配布」のみ」 であり 「変更、改変、加工、切除、部分利用、要約、翻訳、変形、脚色、翻案など」 は許可されないのだ。 しかも著作者側が禁止事項に対し裁量を発揮することもできないので, (利用料をいただくなどの) 一定条件下で派生作品を許可することもできない。 「障害者OK」 や 「学校教育OK」 では派生作品も許可されるが, 用途が限定される (ここでも著作者側の裁量を発揮することができない)。 「自由利用」 が聞いて呆れる。
Creative Commons ではライセンスオプションごとに URL などを示すことによって権利のフルセットを参照することができるが, 「自由利用マーク」 にはそういったものは用意されていないようである。 つまり 「自由利用マーク」 の付いた作品を利用する場合には著作権法や 「自由利用マーク」 について 「あらかじめ知っていること」 が求められているのだ。 従って 「自由利用マーク」 を付けても著作者および利用者のコストは軽減されない。 まぁいかにも日本のお役所らしい発想だけど。
このマークを制定するのにどれだけの時間とコスト (つまり私達の税金) をかけたのか知らないけど, その揚げ句がこんな Creative Commons の足下にも及ばないような代物ってのが泣けてくる。 これじゃ日本という国は著作権について何も考えていないと宣言しているのと同じだ。
ところで, 未成年者が自分の著作物に 「自由利用マーク」 を付ける際に親 (親権者) の同意が必要ってのは何か法律でそういうのが決まってるのかな。 日本では未成年者は自分の権利の範囲設定さえ自分で決められないのか?
(2/11 追記) 「バーチャルネット法律娘 真紀奈17歳」 の 2/10 の記事でこの件に関して言及されているので, そちらの方を是非ご覧あれ。 視覚障害者や学校教育での利用は現行法でかなり認められている (「真紀奈の著作権法講座 −第8回−」 参照) らしい。 「自由利用マーク」 を付けることにより本来認められている筈の利用者の権利範囲を逆に狭める印象を与えてしまうのが問題, とのこと。
HotWired で 「レッシグ教授の「コモンズ」を読む --- 日本社会に投げかける問題」 を書かれた白田秀彰博士が行っておられる個人キャンペーンのひとつ。 プロメーテウスは 「知性」 であり, 彼を引き立てカウカソス山に磔たクラトスとビアーはそれぞれ 「権力」 と 「暴力」 である。 またプロメーテウスには 「前に予め慮る者」 という意味もある。(対する弟エピメーテウスには 「あとで,そのうえに慮る者」 という意味がある) 何とも意味深。 (呉茂一 著 『ギリシア神話』 より)
「Operaにおける長いユーザー名で起こるバッファオーバーフローによる脆弱性」
なんだかなぁ。 日本語版は 6.05 が最新なのだが, 回避方法があるらしいので上記ページを参照して対処すべし。 Opera 側はこの手のインシデントの告知がまるでダメ (つまり Opera は 「安全なブラウザ」 なんかじゃない) なので :: Operash :: のような存在はありがたいところ。
「MOLIPS」 で公開されている Dynamic Draw。 SVG 形式の Import/Export ができる他, EPS の Export もできるらしい。 こりゃあ試す価値ありか?
2/11 の記事で私の戯言に対してコメントをいただいてます。 あうっ, 恐縮です。 やっぱそうなのか。 まぁ 「知らないお前が悪い!」 と言われればその通りなのだけど, 書かれている制限が法律により制限されているのかライセンスにより制限されているものなのか素人にはパッと見で分からないってのが悲しい。
というわけで, 今回の件に関しワケが分かるようになるのは3月以降ということで。
やはり 「官僚と同等の法律文書リテラシー」 ってのは必要なんだねぇ。 今回の 「自由利用マーク」 にしたって, もし 「バーチャルネット法律娘 真紀奈17歳」 というコンテンツを知らなかったら恐らく 「あんだこら,使えね」 で終わってしまう。 でも本当はこれが一番ヤバい。 そう思ってしまうことで 「利用者」 から 「消費者」 に堕ちてしまう。 今の私のレベルではレッシグ教授や白田博士などが書かれたテキストは 「何となく分かる」 ところまでしか理解できなくて, 本当はもう一段こなれた 「翻訳」 がないと細かいところまで考えられない。 これがとてももどかしい。
色々考えるところがあって, アンテナを作ってみた。 GnuPG 関連ツールもいくつか追ってるので参考になる人もいるだろう。 まだ網羅しきってないのでこれから徐々に追加していく予定。
ここの日記も近いうちにたたむつもり。 もともと BkGnuPG などのツールを開発するためのメモ代わりに使うつもりだったのに風呂敷を広げ過ぎてしまった。 しかも肝心のツール開発は完全に忙殺されてるし。 というわけで, 別の場所で仕切り直す予定なので, 奇特にもここを読んでくださっている方々はそゆことでよろしく!
こゆのって結構あちこちでやってるとは思うけど。
試してみたいが, 今はヒマがない。
なるほど, 未成年者の 「法律行為は取り消しうる」 のか。 だから取り消しの難しい権利範囲の 「主張」 に対してあのような制限をあらかじめかけようってことかな。 ポンッ! 納得。 いつもながら的確なアドバイスありがとうございます。
というワケで, この 「開発日記」 は今夜を以って終了します。 テキストは当分ここに放置しておきますが, はっきり言って容量 (5MB しかないのだ!) が残り少なくなっているので, ある日突然無くなっているかもしれません。
「開発日記」 のログは ALLESNET 側に置いておきますので, 過去ログを引用される方 (私以外にそんな人はいないと思うけど) は今後そちらの方を参照してください。 ドキュメント倉庫も移動しました。 Tripod のサイトは何か実験的に使うこともあるかもしれないけど, 取り敢えずこちらも放置プレイ。
奇特にもこの日記を読んでくださった方々, どうもありがとうございました。 続きをご希望の方は 「今日の戯れ言」 でお会いしましょう。
では。