今年も一年が終わりそうですが、JCMVPにとってはまったくニュースがない一年でしたね。唯一、新しく暗号モジュール認証製品リストに名前を連ねたのは、PGPのSDKだけ。 民間企業だったらとっくにビジネスをやめよう、と話がでるはずなのですが、このまま続く…

というクソみたいな記事を昨日読んだのですが、書いた執筆者の会社でドライブの丸ごと暗号化の製品を提供しているじゃないの。自社の製品くらいしっかり把握しなさいよ。 HP Drive Encryptionだそうですよ。VistaではCドライブしか暗号化できないとか書いて…

6月30日以来何も更新がなく、CCよりもさらに立ち上げに失敗したJCMVPの話がないので、ITPROに載っていた記事について書こうと思います。ほら、記事中に出てくるbitlockerも一応FIPS 140-2の認証を取得しているしね！ ［Windows 7編］ドライブを丸ごと暗号化…

JCMVPのトップページからリンクされている情報セキュリティモジュールの認証製品利用に関するガイドライン（PDF）ですが、この内容を理解できる人は世の中に何人いるのでしょうか。。。 そもそも、レベル3からは製品の実装によって同じレベルであってもセキ…

永遠とFIPS 140-3は制定されませんが、個人的にはSP 800-131が今は熱いです。未だドラフトですが、SP 800-57よりも具体的にどのアルゴリズムのどの鍵長を何年まで使って良いか明記されていて、影響を受ける暗号モジュールが山ほどあるなー、と思いながら眺め…

乱数生成器に関する説明会の資料、14ページ目によると、鍵のライフサイクルは、 乱数生成->鍵生成->｛鍵の格納|鍵共有|鍵入出力|鍵配送｝->鍵のゼロ化 、となっていますが、乱数生成と鍵生成の違いって何でしょうか。ISO19790の「7.7.2鍵生成」では、 暗号モ…

新しく、JCMVPの試験機関として認定されたITSCのサイトですが、とても綺麗にまとまっています。それぞれのセキュリティレベルごとに満たす必要のある要件、「JCMVP」で使用が認められている暗号アルゴリズム、暗号アルゴリズム試験と暗号モジュール試験の違…

そんな英語だらけでどうするんですか。。。優しい試験機関と認証機関はそんな状況では、とても調達では勝ち残れないと何故、教えてあげないのでしょうか。より良い電子政府のためにやっているはずなのに、悲しいですね。

業界として、新陳代謝がなさすぎます。6年前とほぼ同じ面子なのはどうなのでしょうか。 ビジネスについて、無頓着すぎます。（面子が同じだから仕方ないですが） とても新参者が意見できる雰囲気ではありません。（質問者に対して、〜さん、と名指しで進行役…

スクリーニングくらいやってください。。。IOTPなんて、公開鍵暗号を使ったCHAPと違うのは、チャレンジをクライアント側が持っていることくらい。チャレンジを毎回投げるよりも、同期ずれして認証できなくなる方が問題じゃないのでしょうか。もう少しSecurID…

CRYPTRECにはビジネスを考える人は、本当にいないんだなーと絶望しました。10年ごとにアルゴリズムを見直すのはいいけど、そうポンポン変えてどうするんですか。官公庁のシステム換装は4、5年に1回なのに、次回換装時には違うアルゴリズムになってしまいます…

今日はJ0006：PDFについて書きたいと思います。本暗号モジュールは、私がJCMVPのレベルの低さに呆れた製品です。ベンダーは、暗号モジュールがどのようにISO/IEC 19790に適合しているのかを、セキュリティポリシーを用いて表明する必要があります。それでは…

FIPS 140-3は何時まで経っても決まりませんねぇ。。。前にドラフトがでましたけど、気づけば改訂版のドラフトが発表されていました。 1st draftではLevel 5が新しくできていましたが、また、Level 4までになっていますね。SPA/DPA系は相変わらず関係ないレベ…