  |
はてなキーワード: NISTとは
https://b.hatena.ne.jp/entry/s/www.nikkei.com/article/DGXZQOUC205YN0Q5A021C2000000/
dollarss 「20年も前から言ってるのに…使える文字種を増やすより桁1つ増やす方が何万倍も固くなるのにと…。NISTももっと強く事業者に向けて強要してくれよ、ユーザ側はそれを利用するしかないんだからさ。」☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
ASCII印字可能文字94文字だけど、面倒だから128文字(2^7)とするじゃん?
パスワード9文字だと2^63だよね 差は9E+18パターンだから確かに固くなる。
とてもよいガイドラインが出ました。
NIST、新しいパスワードガイドライン公開 - これまでの常識を覆す新ルール
https://news.mynavi.jp/techplus/article/20251017-3548825/
早期にこのガイドラインに従うことはサービスのセキュリティを強化し、ユーザーの体験を向上させるはずです。
ですが、こんなガイドラインが出ても(特に日本の企業は)何年も無視することだと思います。
名指しされなきゃ気づかない面もありますしね。
そこで我々増田やブクマカたちが「貴社のことですよ」とお伝えしたく思います。
これに続くトラバやブクマを定期的にご覧になりご自身のパスワード仕様が指摘されてないか確認されることをお勧めします。
「パスワードは定期的に変えた方がいい。」
https://b.hatena.ne.jp/entry/s/internet.watch.impress.co.jp/docs/column/horisage_qa/2024983.html
やっと正しいことを言う記事が現れた。素晴らしい。
変えない派って、NISTの推奨事項を一面的に妄信しているのか、パスワードを変えることはセキュリティを下げる行為だと曲解してる。
そりゃITに疎いおじいちゃんなら、パスワードを変えるという手順の過程でリスクのある行動をとり、それがセキュリティを損なうことになるかもしれないが、
正しい手順でパスワードを変更すれば、変更しなかった場合よりもセキュリティのレベルは向上するんだよ。
この事実が、変えないのが正しいんだ派にはどうにも理解できないらしい。
知性の限界ってやつなのかな?
パスワードがどこかに漏れていて、それを感知できていない状態でも、定期的に変えることによってセキュアな状態に戻るのに、変えない派は変えないことを選ぶ。
CVE-2025-99999
TITLE: Presidential Authority Privilege Escalation Vulnerability
SEVERITY: Critical
DESCRIPTION:
A critical vulnerability has been identified in the United States Presidential Election System (USPES) allowing actors with anti-scientific rhetoric to gain administrative access to critical national science infrastructure. The successful exploitation allows complete termination of the CVE program itself and other scientific integrity mechanisms.
When exploited, this vulnerability allows the attacker to:
WORKAROUND:
Temporary mitigation includes:
NOTE:
This vulnerability exploits a feature, not a bug, in the democratic electoral system. No patch is available at this time. System administrators (voters) are advised to implement strong verification protocols during the next scheduled maintenance window (election).
根拠はNIST SP 800-63B "Digital Identity Guidelines: Authentication and Lifecycle Management" 。
数列における中間項の特定を暗号学的に実現する方法論は、現代の情報セキュリティ理論と離散数学の融合領域に位置する。
本報告では、数列n, x, n+kの構造分析から始め、暗号学的保証を伴うxの特定手法を体系的に解説する。
特に、一方向性関数の活用からゼロ知識証明に至るまで、多角的な視点で解法を探求する。
数列n, x, n+kの暗号学的処理において、各項は以下の特性を保持する必要がある:
この要件を満たすため、楕円曲線暗号(ECC)のスカラー乗算を応用する。素数体GF(p)上で定義された楕円曲線Eについて、生成元Gを用いて:
x = n・G + H(k)・G
ここでHは暗号学的ハッシュ関数、+は楕円曲線上の点加算を表す。これにより、kを知らない第三者によるxの逆算が離散対数問題の困難性に基づき阻止される。
ポスト量子暗号時代を見据え、Learning With Errors(LWE)問題に基づく方式を導入する。mod q環上で:
x ≡ A・s + e (mod q)
ここでAは公開行列、sは秘密ベクトル、eは小さな誤差ベクトル。nを初期状態、n+kを最終状態とする線形関係を構築し、xの算出にLWEの困難性を利用する。
Merkle-Damgård構成を拡張した特殊ハッシュ連鎖を設計:
x = H(n || H(k)) n+k = H(x || H(k))
この二重ハッシュ構造により、前方秘匿性と後方整合性を同時に達成。SHA-3のスポンジ構造を適用し、256ビットセキュリティを保証する。
Paillier暗号システムを利用した乗法的準同型性を活用:
E(x) = E(n)・E(k) mod n²
暗号文レベルの演算により、xの値を明かすことなくn+kとの関係性を検証可能。ゼロ知識証明と組み合わせることで、完全な秘匿性下での検証プロトコルを構築。
1. コミットメント段階:nとkのペダーセンコミットメントC=G^nH^rを生成
4. 検証:C・G^{n+k} = G^xH^s
このプロトコルにより、x = n + kの関係を明かすことなくその正当性を証明可能。
これらのパラメータ設定により、NIST SP800-57推奨のセキュリティレベル3(192ビット対称強度)を満たす。
3. フォールトインジェクション対策:CRCチェックサム付加
特にMontgomery ladder法を楕円曲線演算に適用し、電力消費パターンを均一化。
これにより、xの生成速度を従来比3倍向上させつつ安全性を維持。
現行のLWEベース方式では、量子コンピュータによるGroverアルゴリズムの影響を試算:
1. 同態暗号による動的数列生成
2. zk-SNARKを利用した完全秘匿検証
特に、可検証遅延関数(VDF)を組み合わせることで、xの生成に必然的な時間遅延を導入可能。
暗号学的数列中間項特定法は、現代暗号理論の粋を集めた高度な技術体系である。
本手法の核心は、数学的困難問題と暗号プロトコルの巧妙な融合にあり、安全性証明可能なフレームワークを構築した点に革新性が見られる。
今後の発展方向として、量子耐性の強化と効率化の両立が重要な研究課題となる。実用面では、ブロックチェーン技術や秘密計算分野への応用が期待される。
グローバル企業は取引先候補として「IT脆弱国に本社があってサイバーセキュリティ軽視する企業」は選びたくないので、グローバル競争の中で負けるようになる→国力が落ちる
ドワンゴのランサムウェア攻撃で、こういう話がようやく一般人の間でも議論されるレベルになってきた? まだこれからかな?
世界中の政府、企業がランサムウェアの被害を受けててどこもIT脆弱だから、実際に競争の中で負けて国力がすぐ落ちるということにはならないけど、
5年、10年後は↑のような価値観も浸透しているかもしれない。
政府は調達条件でNIST SP800-171準拠を義務付ける形で政府と関係のある企業のサイバーセキュリティを底上げしようとしはじめてるのが
去年少し話題になったけど、IT脆弱国っていう評価は何としても避けなきゃいけない。サイバーセキュリティの理解があらためて広まることは良いことかな。
政府、サイバー対策で米基準義務付け 委託先1000社超に 23年度中に指針変更 アクセス制限や通信管理など
https://www.nikkei.com/article/DGXZQOUA2899V0Y3A420C2000000/
例えば半導体だと、
@ogawa_tter
Linleygroup
CEA-Leti
科学よりだと、
NSF、
とか?
もう皆興味ないのか、話題にならないんだよね。
Googleで女性蔑視発言して追い出されたヤツが結構有名な話だと思うけど
これに対して Google や外資は差別主義者を排除できる仕組みがある!すごい!とか思うのだとしたら
ちょっとどうかしていると思う
『父親・母親になってこそ社会人としてまともになる』と公言している経営者が運営している日本の会社だって
おかしな思想で社内で政治活動してたら追い出すよ、単に法務・労務リスクなので
そもそも グーグル合同会社 が feminist の意味を近々までなんて書いていたか知っているか?
1.女権拡張論者。
2.女に甘い男。
Dictionary
relating to or supporting feminism.
Dictionary
fem·i·nism
/ˈfeməˌnizəm/
the advocacy of women's rights on the basis of the equality of the sexes.
https://www.merriam-webster.com/dictionary/feminism
1 : the theory of the political, economic, and social equality of the sexes
より良い社会にすべく理想を下げないことと、ありもしない会社の夢を見ることは違うと思うので、とりあえず指摘はさせて頂きます
いつもの男女増田:はてなでフェミニストってよく見るからなんだろうってググったらこんなのが出てきた
1.女権拡張論者。
2.女に甘い男。
↓
日本の自称フェミニストと出羽守は Google と 広辞苑に 特別に甘いと言われても仕方ないのでは?
なお、グーグル合同会社(Googleの日本法人) のレベルについてはノーコメント
Dictionary
relating to or supporting feminism.
Dictionary
fem·i·nism
/ˈfeməˌnizəm/
the advocacy of women's rights on the basis of the equality of the sexes.
https://www.merriam-webster.com/dictionary/feminism
1 : the theory of the political, economic, and social equality of the sexes
いつもの増田:はてなでフェミニストってよく見るからなんだろうってググったらこんなのが出てきた
1.女権拡張論者。
2.女に甘い男。
↓
その結果は日本の辞書を参考にしてるからだ (たしか広辞苑。そして広辞苑も多少マシな表現に直したはず)
日本の自称フェミニストと出羽守は Google と 日本の辞書に 甘いと言われても仕方ないのでは?
なお、グーグル合同会社(Googleの日本法人) のレベルについてはノーコメント
Dictionary
relating to or supporting feminism.
Dictionary
fem·i·nism
/ˈfeməˌnizəm/
the advocacy of women's rights on the basis of the equality of the sexes.
Windowsでどん。
w32tm /monitor /computers:ntp.jst.mfeed.ad.jp,time.cloudflare.com,ntp.nict.jp,time.google.com,ntp.ring.gr.jp,time.windows.com,time.nist.gov /ipprotocol:4 /nowarn
※調査したPCはntp.jst.mfeed.ad.jpを参照しています。
ICMP: 11ms 遅延
NTP: +0.0014266s ローカル コンピューターの時刻からのオフセット
階層: 2
NICTをソースとするStratum 2のパブリックNTP。
ICMP: 11ms 遅延
NTP: -0.0073322s ローカル コンピューターの時刻からのオフセット
階層: 3
CDNのCloudflareが提供しているNTP。
遅延が少ないのは、東京と大阪にそれぞれサーバがあるかららしい。
ICMP: 10ms 遅延
NTP: +0.0011621s ローカル コンピューターの時刻からのオフセット
階層: 1
日本標準時をソースとするStratum 1のパブリックNTP。
ただし、一時間辺り20回までにしときと注意書きがFAQにある。
ICMP: 38ms 遅延
NTP: -0.0013263s ローカル コンピューターの時刻からのオフセット
階層: 1
Googleが公開しているNTP。ソースは原子時計とのこと。Stratum 1。
ICMP: エラー IP_REQ_TIMED_OUT - 次の時間内に応答がない 1000ms
NTP: エラー ERROR_TIMEOUT - 1000 ミリ秒内にサーバーからの応答がない
福岡大学のNTPを救うために立ち上がった人々によって立ち上げられたNTP。
生きてる?
ICMP: エラー IP_REQ_TIMED_OUT - 次の時間内に応答がない 1000ms
NTP: +0.0003482s ローカル コンピューターの時刻からのオフセット
階層: 3
エラーが出るけど、値は悪くない?
ICMP: エラー IP_REQ_TIMED_OUT - 次の時間内に応答がない 1000ms
NTP: +0.0037770s ローカル コンピューターの時刻からのオフセット
階層: 1
UTC(NIST)をソースとするStratum 1のNTP。
アメリカは遠いよね。うん。
考えてみたが馬鹿なので、どれもこれも筋が悪いようにしか感じられない。
少なくともYouTuberではない。広告で稼ぐでも、金融でもない。ニュースを追いかけ続け風見鶏のコメントをして広告費を稼ぐでもない。
以下、憶測だよ!
「ゼロライト方式」「ランダムライト方式」「NIST 800-88方式」「ランダム&ゼロライト方式」「NIST 800-88 Advanced方式」「現NSA方式(ランダムランダムゼロ)」「米国国防総省準拠方式 DoD5200.28-M」「米国空軍方式 AFSSI5020」「米国国防総省準拠方式 DoD5220.22-M」「米国海軍方式 NAVSO P-5239-26-MFM」「米国海軍方式 NAVSO P-5239-26-RLL」「旧NSA方式 Bit Toggle」「ドイツ標準方式 VSITR」「グートマン推奨方式」「Secure Erase方式」「拡張Secure Erase方式」
