« 2004年7月 | メイン | 2004年9月 »

「クリエイティブ・コモンズ」は誰のもの?

written by Spiegel

(この記事は「もっと辺境から戯れ言」に投稿した記事からの転載です)

これは HotWired Japan の特集 「日本の「クリエイティブ・コモンズ」の可能性 ── 創造的な著作物の共有地を広げよう」 における私の担当記事 「クリエイティブ・コモンズは誰のもの?」 の草稿版で, 「完成図書」の形式に変換して公開するものです。 詳しくはサマリー(RSS 形式)を参照してください。

草稿版をそのまま公開するだけでは芸がないので, あとがきを付けました。 なんと本文とほぼ同じ長さのあとがきです。

2004年8月30日 [Creative Commons] | 固定リンク | コメント (0) | トラックバック (1)

ハッシュ値の衝突問題

written by Spiegel

(この記事は「もっと辺境から戯れ言」に投稿した記事からの転載です)

「やばいかも」の続き。 追加の情報と併せてもう一度関連記事を挙げておきます。

(以降、最新情報はこちらのページでフォローしてます)

e-Print 版は速報性が優先されているせいか間違いが結構あるようですね。 詳細な検証はこれからのようです。

MD4/5 とか SHA-0/1/2 などは「一方向ハッシュ関数」とか「メッセージ要約関数」などと呼ばれていて暗号技術、特に電子署名において重要な役割を果たします。 一方向ハッシュ関数では任意のデータを小さなデータ列(MD5 では 128bit、 SHA-1 や RIPEMD160 では 160bit など)に「要約」します。

「要約」されたデータ(「ハッシュ値」と呼ばれます)から元のデータを復元することはできません。 またデータを「要約」する際、 異なる元データから同じハッシュ値が生成されないことが要求されます。(異なる元データから同じハッシュ値が生成されてしまうことを「衝突(Collision)」と呼びます)

しかし数学的には「衝突」が起きる確率をゼロにすることはできません。 したがって「衝突」が起きる確率が「実用上ほぼ」ゼロとなるロジックを検討することになります。 こうしてできたのが MD4/5 や SHA-0/1/2 などのアルゴリズムです。

今回の論文で指摘されているのは、 同じハッシュ値を持つデータ群を簡単に生成できてしまう方法です。 頻繁に「衝突」を起こせるということは暗号技術の要件(「機密性」「完全性」「認証」「否認防止」)のうちのひとつ「完全性」を損なうことになります。 また「完全性」は「認証」「否認防止」の要件のひとつになっているため、 「認証」「否認防止」も損なわれることになります。

ハッシュ値の衝突問題がどの程度のインパクトを与えるのか、 また既存のアルゴリズムに対して回避策があるのかないのかといった点は今後の専門家による検証に委ねられることになります。 今後も注目して情報を追いかけていく必要がありそうです。

続きがあります...

2004年8月19日 [暗号・セキュリティ] | 固定リンク | コメント (0) | トラックバック (1)

セ〇ム、してますか?

written by Spiegel

(この記事は「もっと辺境から戯れ言」に投稿した記事からの転載です)

お盆料理は(食べ物が傷まないように)味が濃いものが多いのが悩みの種。 というわけで、 刺身の「つま」や大皿料理の底に敷かれたレタスを貪り食う今日この頃です。 皆様いかがお過ごしでしょうか。

「J-RCOM 最新情報」の今日付けの記事に面白い情報がありました。 紹介されている概要をそのまま引用してみましょう。

官民が07年度の実用化を目指し、 ヘリから被災地に散布する小型の情報センサーを開発する。 構想では小型センサーは1~2センチ角の大きさで、 ガス濃度や温度、 振動や音など複数を検知できる。 またセンサーに無線機も内蔵し、 周囲の小型センサーと情報をやりとりできる。 この小型センサーが期待される分野は大規模災害対策で、 センサーと自治体を結び被害の状況を確認し、 復旧や救援活動などに活用できる。 また遠隔地医療にも活用が期待され、 血圧などのデータを病院に送り、 早期の異常発見に役立てることもできる。 この構想を進めているのは、 総務省の外郭団体や家電メーカーで構成する「ユビキタネネットワーキングフォラム」。 9月に検討チームを発足させ、 小型センサーの小型化や性能向上、 またセンサー間の無線干渉防止などに取り組む。 将来は国連の国際電気通信連合(ITU)などに提案し、 世界標準規格にすることを狙う。

このシステムを軍事ジャーナリストの神浦元彰さんは「ベトナム戦場で生まれた監視センサーの民生版」と指摘します。 軍事関連の知識に疎い私などはベトナム戦争でこのようなシステムが導入されていることすら知りませんでした。 たしかにこの記事からは官・民・軍のきな臭いリレーションシップが感じられます。

この「感じ」は以前にもありました。 それは、 神浦元彰さんが指摘されておられるように、 昨年春に1号機が打ち上げられた自称「情報収集」衛星です。 (このスパイ衛星もどきのダメさ加減は当時の SAC ニュースなどを参照にしてください。 あと私の拙文もよろしかったらどうぞ) 要するに日本はリニューアルされつつある「軍事産業」の巨大な実験場になっているということです。

今日は終戦(敗戦)記念日です。 過去の大きな過ちや国外の悲惨な状況に目を向けることももちろん重要ですが、 足元で行われていることもしっかり見ていかないと足をすくわれてしまいそうですね。

ところで、 「ヘリから被災地に散布する小型の情報センサー」は「いつ」「どのように」回収するつもりなんでしょうね。 それとも(文字通り)日本中を「ホームセキュリティ」システムで監視するつもりなのでしょうか。 嫌だぞ、そんなの!

2004年8月15日 [暗号・セキュリティ] | 固定リンク | コメント (0) | トラックバック (0)

S/MIME のすすめ

written by Spiegel

(この記事は「もっと辺境から戯れ言」に投稿した記事からの転載です)

残暑お見舞い申し上げます。 皆さんいかがお過ごしでしょうか。 実家の松江では昨日・今日が「水郷祭」です。 「水郷祭」の花火を見るなんて何年振りだろう。

今回は 「高木浩光@茨城県つくば市の日記」 に優れた記事がありますので是非紹介したいと思います。

この記事は事業者によるフィッシング(Phishing)対策について書かれていますが、 その内容は S/MIME に関するものです。 S/MIME というのは暗号化または電子署名付きメールを扱うためのフォーマットのひとつで、 X.509 をベースにした(VeriSign などの) PKI (公開鍵基盤)のもとで使えます。

現在 PKI には大きく2つの流れがあります。 ひとつは X.509 をベースにした PKI (ふつう PKI という場合にはこちらを指すことが多いようです)。 もうひとつは OpenPGP をベースにした PKI です。 両者は競合するものではなく相補的に機能します。 X.509 は第3者 CA を介した信頼関係を構築しますが、 OpenPGP の場合は CA を介さずユーザ同士のフラットな信頼関係で成り立っています。 X.509 は「縦割り」で OpenPGP は「横割り」と言ってもいいかもしれません。

X.509 ベースの PKI を使った S/MIME は「企業-消費者」といった関係の中でセキュアなやり取りをするのに向いています。 つまり 「事業者が今すぐできるフィッシング詐欺対策」 で紹介されているような使い方です。

S/MIME がいまひとつ普及しない理由は、 S/MIME に対応している MUA アプリケーションが少ないことと、 (「事業者が今すぐできるフィッシング詐欺対策」 でも書かれているように)電子証明書のランニングコストにあると言われています。 しかしアプリケーションに関しては Backy! など S/MIME に対応した MUA も増えてますし、 「S/Goma サーバー」(高くて一般ユーザには手が出ないですが)のような S/MIME に対応したメールゲートウェイも登場しています。 (ただしユーザインタフェースについて改善の余地があるというのはその通りだと思います。 Becky! ではアイコンを変える程度のことなら今でも方法はないこともないのですが S/MIME にも対応してるのかな)

また電子証明書のコストについては、 少なくとも企業が一定の信頼関係(この場合は PKI 上の信頼関係)のもとに取引を行うのであればこの程度のコストは必要経費なのではないかと思います。 特に電子メールシステムへの信頼が低くなっている昨今の状況ではなおさらです。

ところで 「事業者が今すぐできるフィッシング詐欺対策」 では PGP について 「使いこなしはそう簡単ではなく、IT強者向けのものだと言わざるをえない」 と書かれていますが(書かれていることは確かにそうなのですが)、 S/MIME との比較という点に関しては疑問があります。 少なくともメール利用については PGP/MIME も S/MIME も難易度・普及度ともに「どんぐりの背比べ」だと思います。 OpenPGP が商取引等に向かないのは「見知らぬ誰か」と信頼関係を築くのが難しいからです。 X.509 であれば「見知らぬ誰か」であっても CA を介して相手の信頼度を計ることができます。 (逆にいえば、 信頼された CA による署名のない証明書は「紙くず」同然ですし、 何を以ってその CA を信頼するかという問題もあります)

例えばドイツでは「Project Aegypten」において OpenPGP と X.509 の2つの PKI を組み合わせたシステムを構築しようとしています。 日本も e-Japan を標榜するのであればこれくらいやってくれてもいいと思うのですが...

もうひとつ。 取引は対等なものです。 一方的な告知や広告ならともかく何らかの取引を行うのであれば「消費者」側も電子証明書が必要になります。 電子証明書の取得方法は色々ありますが、 @nifty 会員であれば「電子証明書発行サービス」(月額210円(税込))を利用する手もあります。 (もっとも、 その210円を払う気になれるかどうかが普及の鍵なんでしょうけど)

余談ですが、 昨今 SSL/TLS を使った VPN が流行りですが、 使われている証明書の信頼性には疑問があります。 Jabber のような不特定多数のユーザが参加するサービスでも杜撰な証明書の運用がされているところがあります。 公開鍵暗号方式の限界と鍵の信頼モデルについて正しく理解した上で厳密な運用をお願いしたいものです。

2004年8月 8日 [暗号・セキュリティ] | 固定リンク | コメント (0) | トラックバック (0)

「暦」日本史

written by Spiegel

(この記事は「もっと辺境から戯れ言」に投稿した記事からの転載です)

実家の私の本棚を整理していたら懐かしい冊子が出てきました。 『歴史読本』 '73年12月 臨時増刊号と書かれています。 タイトルは『万有こよみ百科』。

ただ冊子には見覚えがあるものの、 どうやって手に入れたのか覚えてなかったりします。 古本屋で買ったのか。 もしかしたら天文研の BOX から借りたまま忘れているのかもしれません。(だとしたらヤバイなぁ)

1973年は明治の改暦から100周年にあたる年で、 この冊子はその記念として作られたもののようです。 せっかくなので、 この冊子の中から面白そうな内容をいくつか紹介してみましょう。 なお現在はこの冊子が発行されてから30年経っています。 よって最近の知見とは異なる可能性もありますがご容赦を。

続きがあります...

2004年8月 5日 [天文・宇宙開発] | 固定リンク | コメント (0) | トラックバック (1)