スクリーニングくらいやってください。。。IOTPなんて、公開鍵暗号を使ったCHAPと違うのは、チャレンジをクライアント側が持っていることくらい。チャレンジを毎回投げるよりも、同期ずれして認証できなくなる方が問題じゃないのでしょうか。もう少しSecurID…
CRYPTRECにはビジネスを考える人は、本当にいないんだなーと絶望しました。10年ごとにアルゴリズムを見直すのはいいけど、そうポンポン変えてどうするんですか。官公庁のシステム換装は4、5年に1回なのに、次回換装時には違うアルゴリズムになってしまいます…
今日はJ0006:PDFについて書きたいと思います。本暗号モジュールは、私がJCMVPのレベルの低さに呆れた製品です。ベンダーは、暗号モジュールがどのようにISO/IEC 19790に適合しているのかを、セキュリティポリシーを用いて表明する必要があります。それでは…
FIPS 140-3は何時まで経っても決まりませんねぇ。。。前にドラフトがでましたけど、気づけば改訂版のドラフトが発表されていました。 1st draftではLevel 5が新しくできていましたが、また、Level 4までになっていますね。SPA/DPA系は相変わらず関係ないレベ…
JQAのサイトが相変わらず酷い。 暗号モジュール試験とは、暗号モジュールが、その内部に格納するセキュリティ機能 内部に格納するセキュリティ機能って何よ。。。どこかの怪しい海外サイトの機械翻訳にしかみえない表現のオンパレードです。。。平文→暗号モ…
2009年だけでCMVPが認証したモジュールは150件超ありますが、対するJCMVPは4件です(2009/12/9時点)。CMVPがスタートしてから3年間は12件しか認証がなかったので、それに比べると3年間で10件は悪くない線ですが、寂しいですね。 JCMVPが悲しい現状を打破す…
だいぶ久しぶりにQ&Aを読んでみましたが相変わらずですね。とても読者を考えて作られたとは思えないレベルです。表記の揺れも目立ちます。 なぜ、暗号モジュールをJCMVP で認証することは重要なのでしょうか 、と聞いているのに、 暗号モジュール認証取得の…
11/16追記:11/10に運用ガイダンスが更新され、本問題は解消されました。基本的にJCMVPのサイトが更新されないと書くことがありません。ということで久しぶりにニュースがありました。 IPA (独立行政法人情報処理推進機構、理事長: 西垣 浩司) は、「暗号モ…
初めて「暗号モジュール試験及び認証制度に関するQ&A」を読みましたが酷いできですね。 酷いところは、 そもそも日本語としておかしい 質問に対する答えになっていない 一番最初の「JCMVPとは何ですか」からおかしい。JCMVPってなに?教えてIPA! 暗号モジュ…
JCMVPで認証された製品は一覧になっていて、そこからセキュリティポリシー(SP)と認証書が確認できるのですが、SPを読んでいると、とっても違和感を覚えるのです。それは、無理矢理な日本語訳とどうしても日本語にできなかったため、残る英語表記です。たと…
ずっと放置していましたが、昔の上司と飲んだので、昔のことを思い出しながらカキカキ。JCMVPの運用ガイダンスが先日更新されました。 質問 既にFIPS140-2認証を取得している暗号モジュールについて、JCMVP制度の要求事項を満足していることを示すためにJCMV…
暗号アルゴリズム確認制度なるものが発表されました。 米国ではCAVPと呼ばれていますね。 流れとしては、 試験機関がテストベクトルを生成し、 ベンダーはそれを自社の暗号モジュールで処理し、 その結果を試験機関に返送し、 問題がなければ認証機関に伝え …
CMVP/JCMVPでは、試験機関が暗号モジュールを評価し、 その報告書を認証機関が認証します。 そのため、試験機関が暗号モジュールを評価するための 知識を有していることが大変重要です。 先日新しい試験機関がJCMVPで認定されました。 この試験機関のwebsite…
FIPS 140-2のArea 1では、暗号モジュールの仕様を定めることが要求されています。 まずはモジュールの形状を以下の三種類から決めます single chip multi-chip embedded multi-chip standalone Single chipはそのままです。スマートカードとかですね。 multi…
暗号モジュールが守る必要があるのは、鍵とCSPです。 、といってもCSPは鍵を含むので、CSPだけ、とも言えるのですが。。。 CSPはCritical Security Parameterの略称です。 鍵はEncryption Keyですので、共通鍵、秘密鍵が対象になります。 公開鍵は改ざんから…
暗号モジュール ソフトウェア ハードウェア) ファームウェア 上記3つの組み合わせ 暗号モジュールはApproved Algorithmsを少なくとも1つは実装していなければならない Approved Algorithms 使用することが許可されている暗号アルゴリズム FIPS 140-2だとAES…
あけましておめでとうございます。 今後はこんな話題を取り上げたいと思います。 FIPS 140-2の解説 JCMVPで認証を取得したセキュリティポリシーの解説から見る、JCMVPの有様 FIPS 140-3は未だ進展しませんねぇ。1st Draftが公開されているので、WSを一度やっ…
適当に押していたら消すのが果てしなく面倒でしたので、 そのまま放置することにしました。。。一括設定のUIくらい用意しろよ。。。
ECSECのサイトに 「なぜ暗号モジュールの試験と認証が必要なのか」 、というページがあります。 まず、このサイトを作った人は日本語を勉強した 方が良いと思いますが、その内容を見てみます。 暗号モジュール認証を取得することにより、暗号製品のベンダは…
JCMVPは絶賛失敗中ですね。失敗の原因は山ほどありますが、認証を受けた製品の セキュリティポリシーを読んでいると何これ?という記述が ちらほら見受けられます。失敗の原因は大きく分けて 試験機関・認証機関のFIPS 140-2, ISO 19790への知識不足 認証機…
に関して知りたいことがありましたらそれなりにお答えすることが可能です!(><)どしどし質問してください!(><)自己紹介: SW/HWの暗号製品を昔設計したりしました! FIPS 140-2大好きっ子でした! JCMVPがとても転けそうだと思っています... と…
JSOXコンサルに限ったことではないけど,コンサル会社に 全部やらせるって会社として駄目だと思う.コンサル会社が抜けた後の制度の維持は誰がするの? コンサル会社が抜けました,はい出来ません,もう上場無理です, ってそんな簡単にできないんじゃないの…
ということで凄い久しぶりに更新.どうせ誰も見ていないけどそれがいい!
およそ実現的でないと思った.梅野さんはこんなことに税金を無駄遣いするより 素晴らしき安全性を実現しているVSCをどうにか した方が良いんじゃないのかなぁ.
SecureDocの売り上げが好調らしい.何でも 米国の政府施設で使われているFIPS201カード、証明書に準拠した唯一のディスク暗号化製品としても知られている だそうで,FIPS 201のPIVカードってもう認定された製品あるのかよ? と思ってNPIVPのページを見てみた…
ニーモニックセキュリティ、クリプトニーモWindows版を全世界で販売だそうです.何でも ・暗号鍵盗用を根絶した原理的な安全性で機密データを防衛 ・全世界でセキュリティ向上に貢献する日本発のソフトウェア だとか.これが何処まで本気だか分からない馬鹿…
