6/30/2015

CiscoがOpenDNSを買収

CiscoがOpenDNSを6億3500万ドルのキャッシュで買収することを発表した。クラウド絡みなんだろうけど、先にOpenDNSが買収したBPGmonも手に入れたということか...。

Hacker News

6/27/2015

SSLv3の使用禁止宣言 (RFC 7568)

SSLv3を使用禁止(MUST NOT)にするRFC 7568が発行された。

disablessl3.com

Cisco、またデフォルトSSH鍵を残す

CiscoがIronPortのバーチャルアプライアンス製品WSAv、ESAv、SMAvに複数のデフォルトのSSH鍵が含まれており、同じ製品から秘密鍵を簡単に入手できてしまうため、リモートから認証なしでrootで接続できるようになるとのこと。この脆弱性に関するセキュリティアドバイザリを公表した。Ciscoは2年前にも、Unified CDMという製品でデフォルトSSH鍵を残すチョンボをしている。

SANS DiarythreatpostSlashdot

ルートKSKのロールオーバー

NANOG64の資料をながめていたら、そろそろルートKSK (Key Signing Key: 鍵署名鍵)のロールオーバーがあるようだ。KSKというのはDNSSECにおけるルートゾーンのDNSKEYレコード(ゾーンを署名する際に用いられる公開鍵)を署名している鍵で、KSKの公開鍵は公開され、トラストアンカーに設定される。秘密鍵はHSM内で安全に管理されている。「DNSSEC Practice Statement for the Root Zone KSK Operator」というドキュメントでは、KSKのロールオーバを運用5年後と定めている。2010年に運用が開始されたので、今年が5年後にあたる。既にデザインチームが編成され、6月にはICANNにドラフト報告書、7月には最終報告書を提出し、ルートゾーン管理パートナーと運用計画を策定・実施する。

考えてみると、KSKが変われば非常に影響が大きいし、ロールオーバはかなり面倒だ。SSLのルート証明書は20年、30年なんてザラなのに、DNSSECはなぜこんなに更新期間を短くしているのか(JPゾーンに至っては年次で行われている)。鍵が漏洩していたり、力づくで破られる前に更新してしまおうというのが理由だろうが、それを加味した強度で暗号化されているんだろうし、HSMも使っているわけだが...

6/25/2015

AndroidのDHCPv6の非サポートに不満

スマートフォンで、Androidのシェアは78パーセントに達しており、IPv6化を進める大学や企業のIT担当者はAndroidがDHCPv6をサポートせずSLAAC/RDNSSしかサポートしない点に不満を抱いているという話(Network WorldSlashdot)。Windows、OS X、LinuxなどはすべてDHCPv6をサポートしているが、GoogleのIPv6責任者のLorenzo Colliti氏はDHCPv6実装の欠陥や、IPv4に依存するレガシーが切れてしまい、開発者にIPv6 NATの導入を強制することを理由にAndroidへの実装に否定的だ。このあたりの議論は、Androidの開発者間やNANOGのメーリングリストで見ることができる。

DHCPv6には問題がある。DHCPv6はデフォルトルータを設定できないので、SLAACに頼ることになっている。また、M/O/Aフラグの挙動が実装によって異なっている(draft-liu-bonica-v6ops-dhcpv6-slaac-problem)。ただ、SLAAC/RDNSSがいいのかというと、WindowsがRDNSS(RFC 6106)をサポートしていなかったりする(Wikipedia)。また、IPv4アドレスの枯渇からモバイルキャリアがIPv4アドレスを払い出せなくなり、IPv6化が進むと予想される。その際の変換技術がAppleとGoogleでは対立しそうな雲行きだ(NAT64/DNS64 vs. 464XLAT)。

6/24/2015

redditが10周年

redditが10周年を迎えたそうだ。redditといえば、「AMA (何でも聞いて)」。

Hacker News

6/23/2015

ベルリン・フィルの次期主席指揮者にキルリ・ペトレンコ氏

ベルリン・フィルは、2018年8月以降の次期主席指揮者にロシア出身のキルリ・ペトレンコ氏を選出したと発表した。日本ではほとんど無名の人物だけど、イギリスのガーディアン紙の予想では9位に位置していた人だから、ヨーロッパでの評価は高かったんだな。

Tower Records朝日新聞

6/22/2015

BLT Lite

IGP (OSPF、IS-IS)のトポロジーデーターベースからトポロジーを描画するツール「BLT Lite」。Cisco OS (IOS、IOS-XR、NX-OS)のデータベース出力コマンドの結果を読み込むことで、トポロジーを描画してくれる。また、ルータの構成や設定ファイルを管理する「Netshot」も面白そうだ(サポートしているルータはCisco、Juniper、Alcatelなど)。

Bltlite savemap

6/21/2015

中国とロシアがスノーデン文書を手に入れたとする件

先週イギリスのサンデータイムズが、イギリス政府当局者の話として、中国とロシアがスノーデン文書を入手して解読に成功、MI6が慌てて中露に派遣したスパイを撤退させたと伝えた。この件について、シュナイアー氏はスノーデンから入手あるいは漏れたものではなく、NSAをハッキングすることで手に入れたのではないかと主張している。スノーデン文書は強固に暗号化されており、その暗号を解読するよりは、NSAや政府機関をハッキングする方が現実的。しかも、スノーデンは文書をロシアに持ち込んでいなかったし、むしろスノーデンが文書を持ち出す前に中国とロシアはそれらのファイルにアクセスできたと信じるとのこと。

Hacker NewsboingboingSchneier on Security

2.5G/5Gイーサネット (2.5G/5G BASE-T)

イーサネットは1Gbpsの規格「1000BASE-X」と10Gbpsの規格「10GBASE-X」の間には大きく開きがある(その上に40G、100Gがある)。1Gbpsを超える無線LAN規格(802.11ac)の登場で、有線部分がボトルネックになることから、その中間の速度のイーサネットが業界標準で登場してきているとのこと。Cisco、Intel、Broadcom、FreescaleなどがNBASE-Tアライアンスを設立して、2.5G/5G BASE-T規格策定。既存のカテゴリ5e/6のツイストペアケーブルをそのまま利用して2.5Gbps/5Gbpsに速度向上が可能になる。無線LANアクセスポイント(802.11ac)、小型セル、エンタープライズ向けPC、セキュリティカメラ、デジタルサイネージ、イーサネットスイッチなどで用いられることを想定している。Ciscoは既に対応製品を製品化しており、先のInterop Tokyo 2015で展示していたとのことだ。

ケーブル 1G 2.5G 5G 10G
Cat5e 100m 100m 70-100m NA
Cat6 100m 100m 100m 55m
Cat6a 100m 100m 100m 100m

追記

2.5G/5Gについては、2015年3月にIEEE P802.3bz 2.5/5GBASE-Tのタスクフォースが開始された。2016年以降に標準化される見通し。

その他、サーバ向けに25 GE、コアネットワーク用に400 GEも検討されている。25 GEが検討されている理由は、40 GE(4x10Gb/s)では効率が悪いし、QSFP+はSFP28と比較してサイズやコストが高いなど。25 GEの方もIEEE P802.3byとして2014年12月に開始されているし、業界内のコンソーシアムもできている。400 GEの方はIEEE P802.3bsとして2014年3月にタスクフォースが開始。2017年以降に標準化される見通し。第一世代は16 x 25 Gb/sあるいは8 x 50 Gb/sで登場するようだが、本命は第二世代の4 x 100Gb/s。

6/20/2015

Google抜きを推し進めるApple

AppleはGoogleをやっつけるために検索機能を強化しているという話。Appleは、"Spotlight"と呼ばれる検索エンジンの機能を徐々に強化させている。OS X El Capitanでは天気、MLBなども検索対象でGoogleは使われない。iOS 9ではアプリのディープリンク検索機能が追加される。例えば、「チョコレートケーキの作り方」と検索すると、Yummlyというアプリのレシピが検索される(アプリのインストールは必要)。この検索でも、Googleは使われないし、個人情報を保存したり使われたりもしない。Appleの戦略は、広告無し、データ収集無しの検索機能を提供することで、Googleから検索クエリを奪い、Google最大の収入源(検索広告)を減らすことにあるのだろう。ユーザにとってもGoogleにアクセスする手間や時間を短縮できる。クックはゆっくりとだがGoogleへのリベンジを果たそうとしているようだ。

また、DuckDuckGoは匿名性の高く、追跡を行わない検索エンジンとして知られるが、昨年iOS 8の検索エンジンに加わり、検索数が2年間で6倍に増えたそうだ。年間30億回の検索が行われるようになったが、Googleの1日程度の量で、如何にGoogleが圧倒的かが分かる。果たして、AppleがDuckDuckGoを買収するのだろうか。

もう一つ、Appleの新機能に、Safariのコンテンツブロック機能がある。クッキー、画像、リソース、ポップアップなど特定のコンテンツを拒否する拡張機能を開発できる。無駄な通信が減って、バッテリー消費も減る上、この機能を利用すれば、広告表示をブロックできるようになる。モバイル広告の収益を上げたいGoogleにとっては頭の痛い問題になるだろう。Chromeブラウザには絶対に搭載できない機能である。

更新(20150621)

WebKitの新しいコンテンツブロックAPIについて、JavaScriptのトラッキングスクリプトをブロックし、広告をブロックするわけではない

iOS 9のコンテンツブロック拡張は大規模にウェブパフォーマンスの改善につながる可能性がある。

FirefoxやAppleのようなブラウザベンダーはトラッキングスクリプトをブロックするとても切実な理由がある。それらはウェブでほとんどが不正を行うスクリプトだからで、Mozillaはこれらのスクリプトをブロックすることで約44パーセントのロード時間短縮が見込まれるという調査結果を明かしている。

過度でひどいデザインのトラッキングスクリプトはウェブを悩ます問題の半分である。もう半分は、パフォーマンスやアクセスのしやすさに興味を持たないウェブの開発文化である。

Darling Fireball

BGPとセキュリティの歴史

ワシントンポストに掲載されたBGPとそのセキュリティの歴史が書かれたCraig Timberg氏の記事「NET OF INSECURITY」が非常に面白かった。つい最近もBGP絡みのルーティング事故があったが、インターネットのもっとも基盤となる部分を変える試みが如何に大変かが分かる(DNSもそうだ)。RPKIプロジェクトはうまく行くだろうか?


オースチンで二人のエンジニアがランチに腰を下ろした頃には、インターネットの産みの苦しみが切迫していた。以前は目新しかったコンピュータ科学者は、ネットワークが爆発的に大きくなり、難しい数学の壁に直面して窮地にあり、それはインターネットのもっとも基本的なプロトコルの一つに組み込まれていた。

システム崩壊の可能性が迫っており、男達はナプキンの裏に解決策のアイデアを書き始めた。それから第二。そして第三。発明者は冗談めかしてそう呼ぶスリーナプキンプロトコルがまもなくインターネットに革命を起こすことになる。そして、引っ掛かる問題はあったが、エンジニア達はまもなくより良い代替手段に置き換えられる -短期間で修正するスラングで"ハック(hack)"あるいは"クラッジ(kludge)"できる- と見ていた。

それが1989年のことだ。

ベルリンの壁崩壊から四半世紀以上経ち、スマートフォンの台頭やハッキングの急増で、重大なセキュリティ問題に対する厳しい警告が年々増加しているのをよそに、相変わらずスリーナプキンプロトコルがグローバルネットワークの長距離トラフィック管理している。その場しのぎの解決策だったスリーナプキンプロトコルが今だに死んでいない。

「短期ソリューションが長期間持ちこたえてしまう傾向にある。そして、長期のソリューションはダメになりがちだ。それは私が経験から学んだことだ。」と、スリーナプキンプロトコルを発明したエンジニアの一人ヤコブ・レクターが語った。

インターネットは、視覚と聴覚で我々を熱中させるレーシングカーのようにエレガントに設計されているように思われている。しかし、その場しのぎの解決策を集めたものに過ぎず、フェラーリというよりフランケンシュタインに近い。それらがちゃんと動く、あるいは少なくとも十分に働いているため、持ちこたえてきた。

その結果は毎日刻々とサイバー空間全域にわたり展開され、ハッカーらが騙し、盗み、スパイするために、老朽化し貧弱な防御システムを以前なら不可能だった規模で攻撃しているのだ。彼らがたびたび攻撃する欠陥は技術的にはよく知られており、古くからあるものだ。腐った部分を置き換えるよりも問題にパッチをあてる業界全体の傾向があるため、生き残ってしまっている。

「あなたはインターネット上のここハッカーヴィルにいる。以上。この要素全てに形式陶冶が足りない...それがペンキと染みだ」、ルーティングセキュリティのコンピュータ科学者のランディ・ブッシュは語った。

これがスリーナプキンプロトコル、正式にはBorder Gateway ProtocolあるいはBGP の物語だ。

もっとも基本的なレベルにおいて、BGPは、ルータがインターネットを構成する非常に広大な網の目の接続を横断するデータの巨大な流れを送り出す方法を決定するのを助けるものだ。無限ともいえる可能なパスは、ある場所では低速で曲がくねっていて、他の場所では高速でまっすぐである。BGPはインターネットの全体のマップがなくても、そしてそのトラフィックを案内するための確実な情報源がなくても、ルータに一つのパスを選択するための情報を与える。

BGPの構想は、利用可能なデータリンクに関する情報を継続的に共有するため、個々のネットワークを信用し、インターネットが世界中のネットワークに成長し続けることを手助けすることだった。しかし、誰でもスキルやアクセスさえできれば、BGPはハイジャックを目的とした巨大なデータでも許してしまう。

その主な理由は、インターネット上の多くのキーシステムと同じように、BGPがユーザを自動的に信頼することで構築されているためだ。それは、小さなネットワークに働きかけ、攻撃の頃にはグローバルネットワークを離れてしまうものだ。

自主管理システム

今では当たり前になったハイジャックはエキスパートでも説明に四苦八苦する: デンバーにある二つのコンピュータ間のトラフィックをアイスランドを通って7000マイル迂回させるものは何だろうか? 一つのパキスタンの会社がYouTubeをどのように破壊させたのか? なぜ、慎重に扱うべきペンタゴンのデータが北京を経由して流れていた可能性があるのか?

これらの疑問には、技術的な答えがある。しかし、それら全てがこの事実に集約される: BGPが自主管理システムで動いており、ミステリアスなマスターの命令を受け、不思議な方法で地球を横断し、データがやり取りされている。

BGPに内在しているリスクについての警告は、ほとんどプロトコル自身と同じくらい古い。「私はルーティングセキュリティが問題であることを知っていた。これは概念的には実に簡単で分かりやすい。しかし、エンジニアリング観点の分類でいえばすごく難しい。」コロンビア大学のコンピュータサイエンティストのスティーヴンM.ベロヴィン氏は語った。

1989年1月にエンジニアリング会議の間でのランチで、穏やかな話し方をする共同発明者のカーク・ロウヒードと話し合ったとき、ソ連で反体制ロックバンドとして演奏していたことがある米国移民のレクターはセキュリティについて「議題にもならなかった」と語った。

これはハッキングがまだ珍しい時代で、損害が過小評価されていたのだ。ロウヒードは回想した:「インターネット初期では、うまく動くことが主要目的だった。人々が悪意のあることにこれを利用するという考えはなかった...セキュリティは大きな問題ではなかったのだ」。

その時の大きな問題はインターネットが崩壊するかもしれない可能性だった。猛烈な拡大が止まってしまうことが、ネットワークユーザや装置やサービスを提供していた会社の利益に害を与えることだった。その時、レクターはコンピュータの大企業IBMで働いていて、ロウヒードはネットワークのハードウェアメーカーCiscoの創業従業員だった。

ロウヒードは語る。「我々はルータを売る必要があった。そして、この盛り上がりを続けさせる強い経済的な動機があった。ヤコフと私が解決策がはっきり見え、動きそうだとなった時、皆は進んで受け入れてくれた。なぜなら他に選択が無かったからだ。」

ルーティングプロトコルを作っている他の進行中の取り組みもあった。BGPが勝利を収めた。なぜなら、シンプルだったし、手近に問題を解決し、インターネットが2倍、3倍、4倍となってもデータの流れを維持するのに十分に使えることを証明したためだ。世界を横断するネットワークはそのプロトコルを採用し、強みを与え、決して離さなかった。

テクノロジーが広くデプロイされると、ほとんど置き換えが不可能になる。なぜなら、テクノロジー会社の顧客を含む多くのユーザがそれらに依存し、新しいハードウェアやソフトウェアにコストを掛けるのを嫌がるからだ。結果、時代遅れの技術がいつもの強化され、レイヤを重ねることになる。世界有数の銀行の金庫が、わらと泥の基盤の上に置かれているようなものだ。

パキスタンがYouTubeを破壊

不安定さいっぱいのオンラインの世界で、BGPが持つ問題は悪化が進んでいる。なぜかを探るため、ハノーバーのはずれの殺風景なオフィス街の3階を訪れた。ダグ・マドリーはインターネットで起こったクレージーな出来事で、人知を超える人間の創造物に出会ったような驚く体験をした。

オンラインの性能を調査する会社Dynで、マドリーと同僚はインターネットのトラフィックがどのように流れているかを追跡するために毎日4億5000万のトレースルートを行うい、その疑問を解明しようと試みていた。ほんの少しデータをオンラインに飛ばし、そのトレースルートを比較すると、ゴミの塊と思っていた活動が大きな力を明らかにした。

最近、マドリーは、なぜ中国のインターネットトラフィックがベラルーシを通過して流れるのかを探っていた。またあるときは、それがイギリスのインターネットトラフィックでもあった。核武器研究所のAWE(Atomic Weapons Establishment)向きを含み、ウクライナを経由して流れていた。両方とも、マドリーは調査し、おそらく間違えの結果だと考えたが、それを確かめる方法がなかった。

「これが一日中発生していた。何かが起きている。そしてそれがいつものなのだ。」と四角メガネ、短髪でスタイリッシュで社交的な元空軍将校のマドリーは語った。

意図的ではないものでも、インターネットトラフィックの迂回はネットワークのあらゆる場所で大きな問題を引き起こす。おそらく、もっとも有名な障害は2008年2月に起こったもので、パキスタン政府が預言者ムハンマドのビデオを侮辱的と判断したため、パキスタンのインターネットプロバイダがYouTubeを遮断しようとした。

パキスタンのプロバイダは政府の命令を実行しようと、他のインターネットにBGPメッセージを設定する際に誤りを犯した。結果、世界中に流れるYouTubeのトラフィックがパキスタンに送られてしまった。大挙した届いたデータがそこにあったサーバを圧倒し、2時間ほどYouTubeが中断した。

しかし、大きな問題は意図的なハイジャックの可能性である。

2014年の2月から5月の一連のハイジャックの状況では、未知のハッカーがアマゾンやアリババを含む1ダース以上のインターネット企業に向かうトラフィックをコントロールするために利用した。目的はオンライン通貨ビットコインを盗むことだった。ハッキングが発見されるまで、83,000ドルの価値があるビットコインが消えていたが、デルのSecureWorksによる報告によれば、それは不可解にもハイジャックされていたインターネットトラフィックから手に入れたものとのことだ。

そのようなリダイクレションは、ネットワークの中で証拠を残し、例えばDyn(元Renesysと呼ばれていた)の解析サービスによって追跡できる。しかし、多くの洗練された攻撃者らは、BGPを操作することで、身元を隠すことができると専門家は語る。たとえハイジャック元が明らかな場合でも、その動機を理解することは難しい。

2010年4月に18分間米軍トラフィックが中国を迂回、BGPの不安定さの長い歴史の中で、もっとも入念に考えられた事件の一つである。しかし専門家は意図的なものだったのかどうか、今も議論している。政府所有の巨大通信企業チャイナテレコムが、米国の16000箇所を含む世界中の数万ネットワークの最適経路を提供するBGPメッセージを送った。

チャイナテレコムからのBGPメッセージの正確さをチェックするシステムが適所に無かったため、世界中のルータが地球の裏側の北京にデータを送り始めた。影響があった中には、米軍、海軍、空軍や海兵隊の米政府サイトがあった。

BGPメッセージは正しかったため、Dynや他の研究グループはほぼ事故だったと結論付けた。しかし、明白なハイジャックの姿勢、そして再発に対する効果的な保護の不足は、米当局を警戒させた。

中国政府は、パスワードのかかった軍のデータや暗号化された通信などの解析作戦を行っている。もしくは中国はあとで解析できるようデータをすべてコピーした。専門家が警告するBGPのハイジャックは、大規模な従来型のハッキングのように非常に大きなスケールでデータを盗むことが可能である。

BGPには別の危険性が潜んでいる可能性がある。マドリーは「ディストピアの可能性」と呼び、おそらくたちどころに国際的な対立がサイバー空間の中に入り込み、一部のネットワークが意図的にインターネットの制御を奪おうとするだろう。

このような動きは世界のルータを混乱させ、インターネットアドレスの同じブロックにある競争相手の中から選ぶ必要がある。ネットワーク全体が、競合相手に囲まれ本当のことを見定めることができずに、競争相手の領域を破壊してしまう。

これはインターネットの「最後の手段」に相当し、対立の激化は理論的にはあり得るが、少なくとも比較的平和な時代では想像するのが難しい。シームレスなグローバルネットワークとしてのインターネットの働きの影響は引き返すことはもうできない。

「まさにやや悪化している。何が悪化を防ぐことができるのか? 何もない。」マドリーは語る。

切羽詰まる (Knee-deep in alligators)

BGPの考案者らは、ざっくりと書かれた初期のアイデアを描いた最初の発明者たちだったが、後で実テストを通じて改善してきた。スピード、迅速さ、実用性が最初の十数年インターネットの開発の特徴で、開発が型通りでおそらく必然的に動きが遅い競争相手の技術を打ち負かすには、急速な成長と能力の両方を兼ね備えることだった。

長年インターネットプロトコルの開発を見てきて、広く引用されている1992年のプレゼンテーションの中でアイデアを勝ち取ったMITの科学者デービッド・ダナ・クラークが言うのは、「我々は王や大統領や投票することより、大まかな合意と動くコードを信じる。」* INET92

このアプローチは、成長するユーザ領域を引きつけているインターネットへの起こりうるセキュリティ脅威に対し、長期計画を勧められるわけではない。1970年代や80年代の最初に採用された最新コンピュータネットワーク技術である学術系のそれらとは全く異なる目的を多く含んでいる。

レクターとロウヒードがBGPを作るまで、いくつかの深刻な障害があった。しかし、定常的ではなく、今日のオンラインの世界を悩ませる大金のかかったハッキングは始まっていなかった。サイバー戦争のアイデアは依然としてSFの世界にとどまったままだった。

一方、ネットワークエンジニアらが対峙する問題はリアルで差し迫っていた。ペンタゴンの研究機関が作ったインターネットのもっとも重要な前進であるARPANETが、まさに20年後に停止されるところだった。他の主なネットワークは、データが回ってしまって、完全に消える前にコンピュータのリソースが崩れてしまう「ループ」と呼ばれる問題で苦労していた。

EGP (Exterior Gateway Protocol) と呼ばれていたBGPの前身となるプロトコルが作られた時、一番の問題はインターネットの大きさの制限だった。固定長のネットワークアドレスしか処理できなかったためだった。さらにもう一つの問題はシステム停止に突き当たった。

「誰もがとても切羽詰まっていて、素早く協力して何かをやる必要があった。先を見る時間は無かった。」と引退したネットワーク研究者のノエル・キアッパが語った。

BGPは、間もなくワールドワイドウェブがやってくる場を整えながら、爆発的に成長し続けるインターネットへの緊急の改良だった。レクターとロウヒード、その他は、彼らの発明品がどんなに長持ちしたかが証明されて驚いている。彼らはインターネットの数千の経路を処理する程度とBGPを考えていた。今ではその100倍あるのだ。

レクターは「未来は私たちの想像をはるかに超えていた」と語る。

地図のないネットワーク

インターネットはネットワークの中のネットワークで、バージニア州のアッシュバーンやカリフォルニア州のサンタクララの場所のようなデータセンターの中に入っているサーバのラックには、それぞれ物理的でリアルな世界の出現がある。ネットワークは、制御し、サイバー空間の区画を意味するIPアドレスのブロックからなるオンラインのリアルな所有でもある。

ベライゾンやAT&Tのような大手通信企業が運用する巨大なネットワークは、通常大量のデータを運んでいる。彼らはサイバー空間の航空会社で、小さなネットワークに手渡す前に、光ファイバーで長距離トラフィックを素早く運ぶことができる。その機能は地域の道路のようなものだ。大学のコンピュータシステムあるいはローカルなインターネットプロバイダのような小さなネットワークは、通常個々のコンピュータあるいはスマートフォンのようなデバイスへの最終行程のトラフィックを運んでいる。

変化する多数のネットワークで、その上直接トラフィックを管理する一つのエンティティではないというアーキテクチャは、二つの地点の間でデータを送信する道は仮想的には無限にある巨大な網の目の接続となっている。ネットワークは絶え間なく変化し、中継ルータはトラフィックの影響で時々詰まってしまうことはあるが、BGPはルータが一つの経路をを選択するのを助けている。

問題は地図がないことだ。BGPを使うルータはサイバー空間の隣接ルータから提供される情報を元にルーティングの決定を行っており、次々とサイバー空間の隣接ルータからの情報を収集している。BGPの広告と呼ばれるメッセージを含んだ情報ががある限りは機能する。そして、正確である。

送られた広告のうち、公正さや身元をチェックする方法がないため、間違った情報はインターネットを横断してあっという間に広がる。繰り返し誤った情報を配送するネットワークに気付かれるかもしれない。他のネットワークの運用者がフィルタリングと呼ばれる技術でそのようなトラブルメーカーをブロックしようとする。しかし、そのような防御がしばしば圧倒されてしまう。

そのような明らかな問題は、今日のセキュリティ意識が高い世界では決して許容されることはない。ロウヒードは語る。「もし誰かが、こういった手口を未然に防げないデザインを思いついたら、彼らは叩きのめし、設計段階に戻してしまうだろう」。

原因が故意の手口か事故かどうかでも、結果は同じである。インターネットトラフィックは何千マイルも迂回される。ときには、最終的には適切な宛先への道を見つかり、送信の遅延のみ引き起こす。ときには、データがハッカーによって盗まれる。ときには、バミューダトライアングルと同じようにサイバー空間の中に完全に消えてしまう。

止められないモメンタム

レクターとロウヒードはBGPを作った時にこの危険性に注目していなかったが、少なくとももう一人のネットワークエンジニアはそれを心配していた。もう一人の重要なネットワークプロトコルの発明者で「インターネットの母」と呼ばれるラディア・パールマンは、レクターとロウヒードがBGPを作る前の1988年にMITに予言的な博士論文を書いた。彼女はサイバー空間の公正さ、隣接の正確さに依存するプロトコルは不安定になることが運命付けられていると予言した。

彼女や何人かの批評家は、もっとも重要な接続の地図(エアリンクのグローバルチャートと同じようなもの)をルータに与える代替案を支持した。パールマンは、詐称の可能性を抑え、ミスからの被害を抑えるためにもネットワークの身元を検証するために暗号技術を使うことも支持した。

しかし、BGPは止められないモメンタムだった。「人々がそれに慣れているので、置き換えることは非常に抵抗がありました。残念ながら、他のグループは本気で切迫感を感じていませんでした。BGPピープルがデプロイを優先させたということです。」とパールマンは語り、エンジニアがより良い代替案に素早く動かなかったことを残念がった。

レクターらはBGPを改良し続けた、1994年にプロトコルの最終版を実装した。データのハイジャックはすでに始まっており、よりセキュアな代替案が必要なのは明白だったが、数年にわたる作業でBGPを置き換えるプロトコルを作り出すことは失敗した。

「これらの提案全ては実を結ばなかった。」レクターと一緒にBGPを改良したエンジニア、トニー・リーは語った。

BGPに固有のセキュリティリスクに関する問題は、2001年9月11日のテロリストの攻撃の影響下でも成長していた。インターネットを創設した設計者の一人であるコンピュータ科学者のヴィント・G・サーフはもう一人のネットワークのパイオニア、ステファン・ケントとともに連邦政府の対策に参加した。彼らは、ジョージ・W・ブッシュ大統領のサイバーセキュリティ特別アドバイザであるリチャード・A・クラークとアイゼンハワー行政府ビルで、次にホワイトハウスで会った。

クラークは行動を推進することを狙って、すぐに業界幹部のトップが参加する会議を開催した。しかし、業界幹部らはサーフやケントあるいはクラークの緊急性を共有しなかった。年数が進展なく過ぎ去った。

「彼らはおおむね『大きな問題はない』と語った」と、ケントは振り返る。「そして、我々は努力したが、皆が我々を無視した。」

クラークは最新のインタビューでテック業界の生ぬるい反応に驚かなかったと語った。彼は、L0phtと呼ばれるボストンをベースとするハッカーグループによって、数年前にBGPのリスクについてひそかに知らされていた。インターネットは恐ろしく不安定だと、米司法省へ辛辣に警告した。

そのためクラークはBGPに対する懸念を他のホワイトハウスの当局者や業界のキープレーヤーに伝えた。2008年の彼の著作「Your Government Failed You」で、クラークがBGPのリスクについて説得した業界幹部トップの訪問を記載した件で、その名前を彼に尋ねた。

「その事について過去に聞いてないと思う」クラークは本で語った幹部について語った。「しかし、あなたが我々のルータに影響する脆弱性があると言うなら、私はそれを詳しく調べましょう。」

クラークは本の中で、BGPの製品で大儲けてしている企業の社長がそれを知らないということに驚きを示したが、クラークは幹部を名指しなかった。

しかし、ワシントンポストとの最新のインタビューで、クラークはミーティングの相手が、 BGPを使って通信を行うルータ市場の世界でもっとも重要な企業であり支配的なプレーヤーであったCisco社のCEOジョン・チェンバースであることを語った。

Ciscoはコメントを拒否した。

誰も買わなかった

業界の疑念はセキュリティがビジネスにとって悪いことだという考えが潜在的にあった点だ。誰もハックされることは嫌うが、会社は法的に被害に対して責任を負わなかった。保護対策にコストをかけると同時にパフォーマンスの低下を伴う制限機能のようなもの、高額な装置やソフトウェア支払いたい人はほとんどいない。

暗号内蔵のような特別なセキュリティ機能を持った製品を企画した会社は、顧客がより安価で簡単な代替法に関心があることが分かった。3Comの創設者であるロバート・メトカーフは語った。

「誰も安全なバージョンを買わない。我々はそれを作ったし、売ろうとしたが、誰も買わなかった」とメトカーフは語った。

修正BGPへの対処ペースは、北京に流れた米軍のトラフィックに伴うインシデントが発覚した2010年4月以後は勢いを増した。主な圧力は国土安全保障省からあり、安全なBGP技術を開発・デプロイする取り組みに過去4年間で800万ドルが費やされた。「これは誰もが利用するコアなインターネットサービス全体のセキュリティを強化するための一連の取り組みの一環である」とDHSのスポークスマンS S・Y・リーは語った。

望ましいBGPセキュリティに向けての最初のステップは、ネットワークに安全な暗号鍵を持たせる新しいシステムで、サイバー空間の中で身元を認証でき、それらが普通にトラフィックを処理するネットワークであることをはっきりさせることだ。

そのようなシステムが整えば、パキスタンのインターネットプロバイダが例えばYouTubeのトラフィックを要求するようなことが難しくなる。ルータは単純に誤ったBGPメッセージを無視し、それが間違っていたと決定する。

しかし、ネットワークオペレータに参加してもらうことは難しいと判明する。多くがすでに誤ったBGPメッセージが出ることを制限するフィルタを使用している。そのアプローチは部分的な保護しか提供しないが、暗号鍵を使うよりも簡単である。多くのネットワークオペレータは、BGPを置き換えるBGPSECと呼ばれる安全で新しいルーティングプロトコルを採用するさらなる取り組むには冷ややかでもある。

多くのネットワークエンジニアは、1/4世紀ほど経ち、無数のハイジャックを受けるBGPは、その失敗よりも成功に注目すべきであると語る。BGPは、利用ややり方を指示する権限がないことがインターネットを真にグローバルで、シームレスにし、通信技術で世界を変え、その助けになった。

たった一つのプロトコルより、インターネットに不可欠である分散決定法は、セキュリティの改良がネットワークやサイトオペレータあるいはユーザによる多くの個別の行動を必要とすることを意味する。お互いが変化の価値をよく考えなければならない。そして開始する。あるいはやらないかだ。

「セキュリティの実行に関連するコストはある。そして、疑問は誰がそのお金を払うのか?だ。ネットワークオペレータがコストを上回る恩恵があると広く理解されない限り、全く広まらないだろう。」と今は引退したレクターは語る。

ロウヒードも懐疑的だ。「もしセキュリティの欠如がビジネスを行う上で重大なコストになるなら、多くの人が問題を修正することに関心が向かうだろう。現在のところ、人々はそれを通じてそれらの方法で継ぎはぎしているだけだで、悪い輩の一歩先を先んじている。」

新しいBGPセキュリティを実装するための熱意の度合いは世界中で様々である。ヨーロッパや中東合計で、ほぼネットワークの9パーセントがサイバー空間で自分の身元を特定するための暗号鍵を取得する最初のステップを行っている。ラテンアメリカは暗号鍵を取得しているネットワークが24パーセントとほかよりも高い。北米やアフリカは1パーセント未満と非常に悪い。アジアを含むグローバル全体では5パーセントとなっている。

目標はもちろん100パーセントである。どのくらい掛かるか誰にも分からない。

「5パーセントと知って笑うでしょうが、ここまでどれだけの労力が関わったのか知っていますか?」ルーティングセキュリティの問題を研究するボストン大学のコンピュータサイエンスの准教授シャロン・ゴールドバーグは語った。

完全なデプロイにどのくらい長く掛かるかに関して、彼女ははっきりと加えた「それが5年なのか、10年なのか、それとも20年なのか、私には分かりません」。

パールマン、ベロヴィン、ケント、クラークらが警告して数十年後、今のところ、もっとも物語る統計情報は実際に暗号ネットワーク鍵を使った新しいシステムで安全になったインターネットトラフィックのパーセンテージである。それはまだゼロだ。

6/18/2015

iOSとOS Xに重要データが盗まれる脆弱性が見付かる

インディア大学、ジョージア工科大学、北京大学のセキュリティ研究者が、iOSとOS Xに3つの深刻な脆弱性を見付けたそうだ。昨年10月にAppleに報告し、Appeは6ヶ月間公表を控えるよう要望したが、半年過ぎても何にも連絡が無いため、公開に踏み切ったとのこと(論文とPoCビデオが公開されている)。

その内容は、アプリケーション・コンテナに問題がありサンドボックスを破ることができたり、App Storeのセキュリティチェックをバイパスしたり、キーチェーンをクラックできるとのこと。具体的には、キーチェーン、WebSocket(OS X)、URLスキーム(OS X, iOS)を使ったアプリ間で相互やり取りを行うサービスの問題では、マルウェアがこれらを使って、iCloudのパスワード、銀行のメールアドレス、Evernoteの秘密トークンのような秘匿情報を盗み出すことが可能になる。また、サンドボックスの設計に問題があるため、Apple Bundle IDをハイジャックしたマルウェアがサンドボックスを破って、他のアプリの重要データにアクセスしてしまう。なんと、これらの脆弱性を利用したマルウェアは、App Storeの審査を通過できたとのこと。我々ができる対策は信頼できないアプリをインストールしないこと。

The RegisterSlashdotHacker Newsars technicaAgileBits blogSANS Diary

更新(20150619)

ほかのアプリのリソースに対する承認されていないアクセス(unauthorized cross-app resource access)から「XARA」と名付けられている。対処法を書いたiMoreの記事

6/17/2015

Apple、IPv6のみのネットワークに備え、年内にIPv6対応を要求

Appleは開発者会議WWDC15で、年内にAppStoreの審査条件にIPv6対応が必要になると公表した(ars technica)。これは、IPv6のみの接続しか提供されないサービスに備えてとのこと。Prabhakar Lakhera氏の"Your App and Next Generation Networks"というセッションで、より詳細な情報を明かしている。すでにIPv4アドレスの残りは非常に少なくなっており、携帯通信キャリアはIPv6のみの携帯通信サービスをまもなく開始するようだとしている。まだまだIPv4のみのサービスが多く、IPv6からIPv4への到達性を確保しなければならないため、携帯通信会社側はDNS64(RFC 6147)+NAT64(RFC 6146)を提供し、IPv6アプリケーションがIPv4サーバにアクセスできるようにするそうだ。

AppleはIPv6のみのネットワークに備えるため、OS X 10.11でDNS64+NAT64を実装しているとのこと。システム環境設定の共有で、インタネット共有と「Create NAT64 Network」をチェックすることで、Mac/Wi-Fiを介して、iOSアプリがIPv6のみのネットワークからIPv4サービスに接続できるかを試すことが可能になる。このテストを標準開発プロセスの中に入れて欲しいとのことだ(あなたのアプリがIPv6で動くことを確認しろという事)。

ちなみにAndroidは、464XLAT(RFC 6877)と呼ばれる技術をサポートしている(Android 4.3以降でCLATサポート、キャリア側にPLATが必要)。これはIPv4のアプリがIPv6ネットワークを超えて、IPv4のサーバに接続するための技術で、IPv4しか対応していないアプリでも動作するメリットがある。

携帯通信キャリアは双方の方式をサポートするのだろうか...?

カージナルスがアストロズをハッキング

FBIと米司法省は、米大リーグの球団セントルイス・カージナルスのフロント職員がヒューストン・アストロズをハッキングしたとして調査に入ったそうだ(NYTimes)。カージナルスはアストロズのネットワークに侵入、データベース内にある統計情報、トレードに関する内部情報、スカウティングレポートを盗み出した証拠ががあるらしい。ハッキングに使われたパスワードは現アストロズGMのジェフ・ルノー氏のものらしく、彼は2011年までカージナルスのスカウティング部門に在籍していた。

Hacker News

更新(20150619)

東京新聞によると、捜査対象者や球団の関与は不明。ジェフ・ルノー氏に恨みを持つ人物の犯行との見方が出ている、とある。

6/16/2015

LastPassがセキュリティ侵害を受ける

LastPassはサーバがセキュリティ侵害を受けたと公式ブログで発表し、ユーザにマスターパスワードを変更するよう通達している(用心のために、登録されているサイトのパスワードも変更しておいた方がいいだろう)。ハッシュ化されたユーザのパスワード、暗号ソルト、パスワードのヒント、電子メールアドレスをアクセスされた可能性があるようだ。LastPassは2011年にもセキュリティ侵害を受けている。クラウド型のパスワード管理の怖いところ。

Hacker NewsCNET

FacebookのOpen Compute Project

Facebookが2011年に始めたハードウェアのオープンソース化「Open Compute Project」は、既存のハードウェア会社にとって脅威となっているようだ(Business Insider)。Facebookは20億ドル節約、データセンターの電気代を20パーセントカット、MicrosoftやAppleからの貢献、ハードウェアデザイナーにとってのキャリアアップ、エコシステムが回ってスタートアップが立ち上がる、中国の製造業に10億ドル以上のビジネス、Ciscoに影響、HPは争いをやめて参加。

6/13/2015

テレコム・マレーシアが経路リークを起こし、インターネット混乱

昨日、テレコム・マレーシア(AS 4788)が、Level 3 (Global Crossing)に大量の経路を広報し、そのままインターネットに伝搬してしまったためにインターネットが混乱を来した模様(nanog, CloudFlare)。日本での影響は分からない。GBLXが経路のサニティチェックを怠っていたために起きたことで、面倒であっても、as-path/prefixフィルタか、少なくともprefix-limitの設定は必要なのだろう。

Hacker News

6/12/2015

JunosとFreeSBD

今月リリースされたJunos OS 15.1のリリースノートはMX240, MX480, MX960, MX2010, MX2020などでベースOSがFreeBSD 10になっている。JuniperはルーティングエンジンのCPUがマルチコアになっていてもJunos的にはシングルCPUとして動いていると言われていたが、これでマルチコアCPU対応になったのだろうか?

6/11/2015

iOSのMailアプリにiCloudパスワードを盗まれる脆弱性

iOSのMailアプリに、iCloudパスワードが盗まれる危険性のあるバグが見つかった(Register)。このバグはメール中の <meta http-equiv=refresh> が無視される結果、リモートのHTMLコンテンツの読み込みを許し、オリジナルのメッセージを置き換えられるというもの。UIWebViewではJavaScriptは無効になるのだが、簡単なHTMLとCSSで偽のiCloudのログインポップアップを表示させてパスワードが盗むことができるそうだ。このバグを発見したJan Soucek氏は、1月にAppleに報告しているが、音沙汰なしということで、PoC (Mail.app inject kit)をGitHubに公開した。PoCといっても、十分に使える危険なものだ。

6/10/2015

DoS/DDoS検知アナライザFastNetMon

これもNANOGネタだが、FastNetMonという高パフォーマンスのDoS/DDoSアナライザが紹介されていた。トラフィックのソースは、NetFlow v5/9、IPFIX、sFlow v5、netmap、PF_RING、PCAPと多彩(精度を高めるならパケットキャプチャー系になる)。DoS/DDoSの検知は1-2秒で、ExaBGPでDDoSトラフィックを止めることもできる(ドキュメントはBlackholeだが、FlowSpecに対応させることも可能だろう)。

PeeringDB 2.0

PeeringDBは、インターネットのピアリング、プロバイダ、インターネットエクスチェンジ、データセンターの情報を参照できる無料のWebベースのデータベース。そのPeeringDBが新しくなるとNANOGでアナウンスされた(2015/8/1開始)。すでにベータサイトを試すことができる。合わせてメーリングリストが作成された。

ちなみに、PeeringDBに登録するには、ASを持っているネットワーク運用者である必要がある。まず、Read Onlyのアカウントを申請、許可された後、自分が持つASと紐付ける登録あるいは新規登録の申請、メンテナーの審査が通れば許可される。単に参照するだけならguestでログインできる(参照するASNが分かっていれば、"http://asNNNNN.peeringdb.com"で直接アクセスも可能)。

6/09/2015

Amazon PKI

Amazonがルート認証局(CA)を運用するということかな。

Hacker NewsGeekWire

2014年のストリーミングデバイス市場

残念ながらWWDC 2015で新型Apple TVは発表されなかったが、ストリーミングデバイス関連で面白い情報があった。StreamingMediaによると、Frost & Sullivanが調査した2014年のストリーミングデバイス市場は(3100万台)、Appleは引き続き市場をリードしているが、Google Chromecastが1000万台と大きく伸び、Amazonが初登場。市場は2020年までに25%伸びて4000万台を超えるだろうとのこと。2014年のシェアは以下のとおり。

  1. Apple 40.6%
  2. Google 34.1%
  3. Roku 13.0%
  4. Amazon 8.0%
  5. Others 4.3%

6/08/2015

うるう秒の調整について

3年ぶりにうるう秒が挿入されるが、Red Hatが開発者ブログにうるう秒に対応させる5つの方法を書いている。うるう秒が厄介なのは、コンピュータ社会ではうるう秒が邪魔な存在で無いものとして扱いたいが、時間を正確に合わせるにはどうしたらいいかという難題から来ている。

  • デフォルトのまま(step調整): うるう秒挿入時に1秒戻す
  • TAI (CLOCK_TAI)を使う (アプリのコード修正が必要)
  • ntpd -x: デフォルトのmaxpollingだとミリ秒レベルでの精度になるには2日ほど掛かる
  • chronydでleapsecmodeをslew: 訂正は12秒と迅速だがその間の時間誤差は大きい (maxslewrateを調整)
  • leap smear: chronyd 2.0から利用できる (smoothtime)

結局、どの方法を選択するかは、使っているアプリケーションによる。時間調整が不要ならデフォルトで良い。逆進はあるが、時間は正確だ。時間の逆進が困るなら、スリューモード(ntpd -x、chronyd leapsecmod slew)で動作させる。複数のシステム上で時計を合わせるなら、スリューレートを小さくするあるいはleap smearで動かす必要がある(但し、leap smearなサーバと、そうではないサーバをミックスさせないようにする)。

参考

6/07/2015

ハリウッドはヒーローの時代

5年間で41本のヒーロー物(マーベル、DC、バアリアントなど)の映画が公開される予定とのこと(heroichollywood)。

  • 2015年
    • Avengers: Age of Ultron - May 1
    • Ant-Man - Jul 17
    • Fantastic Four - Aug 7
  • 2016年
    • Deadpool - Feb 12
    • Batman v Superman - Mar 25
    • Captain America: Civil War - May 6
    • X-MEN: Apocalypse - May 27
    • Ninja Turtles 2 - Jun 6
    • Suicide Squad - Aug 5
    • Gambit - Oct 7
    • Doctor Strange - Nov 4
  • 2017年
    • Wolverine - Mar 3
    • Guardians of the Galaxy 2 - May 5
    • Fatastic Four 2 - Jun 2
    • Wonder Woman - Jun 23
    • Spider Man - Jul 28
    • Thor: Ragnarok - Nov 3
    • Justice League - Nov 17
  • 2018年
    • Flash - Mar 23
    • Avengers: Infinity War 1 - May 4
    • Black Panther - Jul 6
    • Untitled X-MEN - Jul 13
    • Spider Man (Animated) - Jul 20
    • Aquaman - Jul 27
    • Captain Marvel - Nov 2
  • 2019年
    • Shazam! - Apr 5
    • Avengers: Infinity War 2 - May 3
    • Justice League 2 - Jun 14
    • Inhumans - Jul 12

ThunderboltとUSB

インテルがThunderbolt 3を発表(AnandTech)。Thunderbolt 3はインタフェースがUSB-Cとなり、結局USBと統合(USBのスーパーセット)されたわけね。

Thunderbolt 1 Thunderbolt 2 Thunderbolt 3
Max Channel Bandwidth 10Gbps (Full Duplex) 20Gbps (Full Duplex) 40Gbps (Full Duplex)
Channels 2 1 1
Max Cable Bandwidth 40Gbps 40Gbps 80Gbps
DisplayPort 1.1 1.2 1.2 x 2
USB At Devices Optional, Attached Controller Optional, Attached Controller Yes, Built Into Alpine Ridge Controller
Power 10W 10W 15W + Up To 100W USB PD (Optional)
Passive Cable Option No No Yes (20Gbps)
Interface Port Mini DisplayPort Mini DisplayPort USB Type-C

6/05/2015

新しい生体認証: ブレインプリント (脳紋)

ニューヨークのビンガムトン大学で、単語の解釈や認識の反応を脳波で読み取り、それを認証に使う「ブレインプリント (脳紋)」を研究しているそうだ。45人のボランティアに75の単語を読み上げその反応を脳波で読み取ったところ、94%の精度で個人を識別できたそうだ。シュナイアー氏は、誤った判定があるか、どの程度安定性があるかなど分からないが、他の生体認証と違って更新が可能という点が重要と指摘。指紋は盗まれたら、置き換えできないが、このブレインプリントは取り消すことが可能。

Schneier on SecurityTechCrunch

6/04/2015

Cisco IOS-XR 5.3.0以前のSW証明書が期限切れ

Cisco IOS-XRで使われているコード署名サーバの証明書が今年の10月17日に期限切れとなるそうだ(FN63979)。対象は、ASR9000、CRS、XR12000のIOS-XR 5.3.0以前バージョンで、各バージョンのMandatory SMUをインストールしておかないと、インストール前に行われる検証に失敗するそうだ(CSCut30136)。

音質を聞き分けられるか?

世の中、音楽はハイレゾだ。私はMP3とハイレゾの違いを聞き分けられない。本当に聞き分けられるだろうか?

先日、ラッパーのジェイ・Zがサブスクリプション型のストリーミング・ミュージック・サービス「TIDAL」を再開し、月額19.99ドルの高音質オーディオのオプションを加えました。TIDALのHiFiは非圧縮オーディオファイルで、市場の他のストリーミングサービスよりも優れたリスニング体験を約束しています。

多くのリスナーは非圧縮オーディオファイルとMP3の違いを聞き分けられません。オーディオ品質はファイルサイズが全てではありません。検討には多くの材料、ヘッドフォンの品質から、部屋の大きさ、もちろんあなたの耳などがあります。

違いは聞き分けられますか? クイズを出すのでやって下さい: まず、ボリュームを上げて下さい。

1楽曲に対し、3つ全てのサンプルを聴き、あなたが高音質オーディオだと思う一つを選択して下さい。

Hacker News

LHCの再稼働後、データ収集開始

CERNの大型ハドロン衝突型加速器(LHC)、2年間の改良工事を終えて運転を再開した。6月3日に13TeVのRun2がスタートし、衝突データの収集を開始したとのこと(Symmetry)。2015年までに、2011〜2012年のヒッグス粒子発見時に収集したのと同じデータ量になるそうだ。いよいよ新粒子の探索が始まる。まずは、ヒッグス粒子のデータを収集して、ヒッグスの性質解明を行うようだ。

LHCアトラス実験オフィシャルブログ

6/02/2015

米国は北朝鮮にスタクスネット方式のサイバー攻撃を試みるも失敗

米軍が5年ほど前に、イランに対して行ったスタクスネット方式のサイバー攻撃を北朝鮮の核施設に対して試みたが、エージェントがピョンヤンの核兵器プログラムが動く中心的なコンピュータにアクセスできず、最終的に作戦は失敗したそうだ(ロイター)。NSA主導の作戦は、北朝鮮の徹底した秘密厳守、通信システムの隔離に阻まれたとのこと。

Schneier on Securityre/code

FacebookのプロフィールにPGP鍵を登録できる

FacebookがプロフィールにOpenPGPの公開鍵を登録できるようにした。試験的な機能で、Facebookからの通知メールが暗号化されて送られるようだ。PGPの問題の一つに「鍵配布 (Key Distribution)」がある。「Keybase.io」のようなサービス、キーサーバー(SKS KeyserversPGP Global Directorypgp.mit.edu)、Googleも研究をしているようだが決定版はない。Facebookのユーザベースの大きさを考えると、強力な鍵配布元になる可能性はある。

iOS用のPGP「iPGMail」(240円) なんてアプリがあったんだ...

6/01/2015

Chromixium

Chromixiumは、Ubuntu 14.04 LTSをベースにChromebookの簡素さを持ち合わせたディストロ。ChromeOSはハードウェアがChromebookに限定されているが、これなら古いノートPCで動かしたり、USBで持ち歩くこともできる。ブラウザはChromium、ウィンドウマネージャはOpenbox、ドックはPlank、ファイルマネージャはNautilusとのこと。ネイティブアプリを動かすには、ChromebookだとNaCl対応しないといけないが、これならそのまま動かせる。

Chromium app launcher