MuraTaka 速記メモ / 2005-04

Win 環境での OpenSSL [OpenSSL]

- Shinig Light Productions
- OpenSSL Memo

OpenSSL コマンド [OpenSSL]

- 署名をうつ

$ openssl ca -out user02.crt -infiles ./csr2.pem -policy anything

policy オプションの policy_anything は openssl.cnf のセクションに設定されている。

PKI 実装メモ [PKI]

- 暗号、SSL、SSH
  Java での実装例あり。

PKI メモ [PKI]

- OpenSSLを使ったCAの構築
- 【特集】S/MIMEでセキュアな電子メール環境をつくる

CA の構築(中間CAを使いたいなど) [PKI][OpenSSL]

- OpenSSLを使ったCAの構築

C/C++ の復習 [c/c++]

すっかり忘れている C。
書籍を購入して復習中。
- ゼロから学ぶC/C++―フリーのコンパイラで気軽に始めよう!

ゼロからと言いつつ、しっかり押えるべきところは押えていて、しばらく C に触れていない人にとってもよい復習となるのではないのでしょうか。

アップデートは慎重に・・・ [Mac]

- Mac OS Xのアップデートに不具合--Javaの動作に影響 2005/04/19

やはりアップデートは慎重にしないといけないですよね。。
私はいつても出てすぐは様子を見ることにしています。Mac に限らず、ソフトウェアのリリース直後は気をつけないと。。

ちなみに上記対応パッチもリリースされたようです。
- 「Java Update for Mac OS X 10.3.9」について 2005/04/21

Subversion メモ [Subversion]

- Subversionの基礎練習
  移動ができるようになったのが CVS との大きな違いなのかな？

クライアント認証の設定パターン [SSL/TLS]

- サーバ認証/クライアント認証を設定する
  port 80 -- SSL 無し
  port 443 -- サーバ証明/クライアント認証

- ポート単位での混在
  port 80 -- SSL 無し
  port 443 -- サーバ認証
  port 8443 -- サーバ認証/クライアント認証

- IP 単位での混在
  IP xxx.xxx.xxx.aaa:80 -- SSL 無し
  IP xxx.xxx.xxx.aaa:443 -- サーバ認証
  IP xxx.xxx.xxx.bbb:443 -- サーバ認証/クライアント認証

- ディレクトリ単位での混在
  port80 : http://www.exsample.com/ -- SSL 無し
  port443: https://www.exsample.com/ -- サーバ認証
           https://www.exsample.com/client/ -- サーバ認証/クライアント認証

Apache での SSL [Apache][SSL/TLS]

- Apache で SSL を有効にするには、
  - mod_ssl(モジュール)
  - Apache-SSL(パッチ)
  のどちらかをインストールする必要がある。
  上記は単体で動作するものでなく、SSL を実装したベースプログラムと Apache を連携させるものである。
- SSL のベースプログラム
  - OpenSSL
  - SSLeay
  OpenSSL は SSLeay をベースに開発された。

上記のものがあり、では SSL を有効にする組み合わせとしては、
- SSLeay + Apache-SSL
- OpenSSL + mod_ssl
- OpenSSL + Apache-SSL
の組み合わせがある。

【参考URL】
- @IT::第4回　ApacheのSSL対応化と環境設定
- Apache HTTPD - SSL

BIG-IP メモ [Network]

- セキュアサイト構築事例
  リバース・プロキシ方式でのシングル・サインオンにおける、負荷及び冗長性確保の問題をBIG-IPにより解決

  NTT SOFT
  - クライアント証明書を読み取り、その認証局や有効期限、CRL のチェックを行うことが可能
  - BIG-IP では認証を行わず、クライアント証明書の情報を HTTP リクエストヘッダに付加して、サーバ側に送信することも可能

- BIG-IP v9を利用したサイトのセキュア化

EFS (Encrypting File System) [Security]

- Windows XP でファイルを暗号化する方法
- Windows 2000 における EFS を使用したデータの暗号化方法
- Efsinfo.exe を使用して暗号化されたファイルの情報を調べる方法

電子証明書メモ [PKI]

- KeyUsage 拡張領域
  証明書をどのような用途で使用できるかを定義したもの。
  critical と定義される場合もあれば、そうでない場合もある。
  ()
  critical と定義し、証明書使用用途を明確にすることが推奨される。

  - KeyUsage 拡張領域の一般的なビット設定
    - CA の証明書 KeyCertSign or cRLSign
    - 証明書の署名 KeyCertSign
    - オブジェクトの署名 dititalSignature
    - S/MIME 暗号化 keyEncipherment
    - S/MIME の署名 digitalSignature
    - SSL クライアント digitalSignature
    - SSL サーバ keyEncipherment

- extKeyUsage 拡張領域

認証局メモ [PKI]

- NPO法人　電子認証局市民ネットワーク福岡

PKI メモ [PKI]

- IPA::PKI 関連技術解説
  これを一読すればほとんどの情報が網羅されている。

S/MIME メモ [S/MIME]

- S/MIME は、暗号化や署名に CMS(Cryptographic Message Syntax)と
  呼ばれるフォーマットを利用する。
- CMS は暗号と署名を扱うデータフォーマットで、PKCS#7 を拡張したもの。
- S/MIME において暗号化、もしくは署名がされるのは「メール本文」。
  MIME 形式で添付ファイルとして送信される。
- S/MIME で使用されているデータ型
  - Data: アスキー文字列などの基本的なデータ型
  - Signed-data: 署名つきのデータ
  - Enveloped-data: 暗号化されたデータを格納するデジタル封筒を表す。

- 参考
  - IPA::7.2 S/MIME
    なかなかよくまとまっています。

Treminal Server [TerminalServer]

- より実用的なサーバ・コンピューティングに向けて強化されたターミナル・サービス（前編）

WebSphere Application Server メモ [WebServer]

- WebSphere Application Server Forum

iPlanet の CA 証明書のトラストポイントについて [iPlanet]

IIS では Root 証明書のみがトラストポイントとなりえる仕様だが、
iPlanet では中間 CA をトラストポイントとすることも可能。

Security メモ [Security]

- IPA::調査・研究報告書

VB メモ [VB]

- MSDN Japan Home > MSDN Library Japan > Windows スクリプト テクノロジ > VBScript

Win メモ [Windows]

- Windows.FAQ (winfaq) - ウィンドウズ トラブルシュート

IIS の設定の確認 [WebServer]

$ cscript C:\Inetpub\AdminScripts\adsutil.vbs enum W3SVC/1
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

KeyType : (STRING) "IIsWebServer"
ServerState : (INTEGER) 2
ServerComment : (STRING) "LH-AATest"
ServerAutoStart : (BOOLEAN) True
ServerSize : (INTEGER) 1
ServerBindings : (LIST) (1 Items)
 ":9001:"

SecureBindings : (LIST) (1 Items)
  ":443:"

FrontPageWeb : (BOOLEAN) True
DefaultDoc : (STRING) "Default.htm,Default.asp,iisstart.asp"
CertCheckMode : (INTEGER) 1
NotDeletable : (BOOLEAN) True
SSLCertHash : (EXPANDSZ) ""

CRL-DP の設定の変更には、

$ cscript C:\Inetpub\AdminScripts\adsutil.vbs SET W3SVC/1/CertCheckMode 0

0: 有効
1: 無効

CScript って何だ？ [Windows]

- 運用 Windows管理者のためのWindows Script Host入門

本日の作業 [Perl][Network]

- ネットワークプログラミングの基礎知識
を参考にして Perl によるネットワークプログラミングのトレーニング。
http まで。次は pop から。

Network Security Programming に関してやっておくおと [ToDo]

- ネットワークプログラミングの基礎知識
  Perl, c でのネットワークプログラミングをサンプルソースと方式を説明しながら解説してくれている。
- 電子証明書とCryptoAPI 入門
  Windows における電子証明書の取り扱い。VC++ による実装。
- ネットワークセキュリティに関する研究
  ネットワークセキュリティに関する情報が網羅されている。
  一通り読んで、実装についても概要把握をしておくといい。
  - OpenSSLを使った証明書取り扱いプログラミング
  は押えておくこと。

OpenSSL を使ったプログラミングメモ [OpenSSL]

- OpenSSLを使った証明書取り扱いプログラミング

ネットワークセキュリティメモ [Security]

- ネットワークセキュリティに関する研究
   名古屋工業大学大学院おもひ領域 電気情報工学専攻 岩田研究室 の資料など。
   情報が網羅されており、かなり重宝している。

- ブロック暗号化モード
  ブロック暗号化モードに付いての解説。
  - CBC(暗号文ブロック連鎖モード:Cipher Block Chaining)
  - OFB(出力フィードバックモード:Output Feed Back)
  - CFB(暗号フィードバックモード:Cipher Feed Back)
  - ECB(暗号ブックモード:Electric Code Book)

- PRNG って？
  疑似乱数発生装置のこと。
  - 乱数

PKI 製品メモ [PKI]

- EasyCert
  これをベース(?)にした製品
  - CertWorker

LDAP クライアントツール [LDAP]

- ldapsearch
  openldap パッケージ付属のツール。最もベーシックなツール。
- Outlook Express, Mozilla(Thunderbired含む) のアドレス帳
  あまり使ったことはなかったが、アドレス帳から LDAP サーバからの検索を行う機能がある。
- LDAP Browser/Editor
  Java で書かれたツール。
  - FreeBSD 5.1 + OpenLDAP(LDAP Browser/Editor)
- GQ
  現状メンテナンスはされていない模様。
- Coral Directory
  ツールだけでなく、LDAP に関する情報も豊富。

C/C++ メモ [c/c++]

- gcc で依存関係を出力する

gcc -MM *.c

C/C++ でのデバッグ [c/c++]

デバッガ gdb の使い方のメモ。
- 事前準備としてコンパイル時にデバッグオプションをつけておく
  デバッグオプション (-g) をセット。
  make を使っている場合は、Makefile の先頭で、

CFLAGS=-g

  をセット。
- デバッガでプログラムを起動

$gdb prog1

- ソースの表示

(gdb) list

- ブレークポイントの設定

(gdb) break 7

- プログラムの実行

(gdb) run

- ステップ実行

(gdb) next

- 変数値の表示

(gdb) print var1

- 変数値の変更

(gdb) print var1=8

- 次のブレークポイントまで飛ばす

(gdb) continue

- help

(gdb) help

PKI メモ [PKI]

- Secom::PKI 資料
- 5.鍵使用目的（Key Usage）拡張

programming メモ [Programming]

- 猫でもわかるプログラミング
  初心者向けに。

EAP-TLS メモ [Security]

- EAP-TLS方式
- RADIUSの仕組みと構築のポイント――第2部：RADIUSを使ったシステム構築のポイント

ブログで首にならないためにガイドライン？ [Blog]

- EFF、ブログでクビにならないためのガイドラインを発表

フィッシング詐欺に新手口 [Phishing]

- フィッシング詐欺に新手口--ブログを使い不正プログラムを配布

タッチパッド/トラックボールを無効にしたい [Config]

- 外付けマウスを使用するのでタッチパッド/トラックボールを無効にしたい

c/c++ メモ [c/c++]

- 計算物理のためのC/C++言語入門

オレンジソフト [Security]

- オレンジソフト

CryptoAPI の使い方メモ [PKI][c/c++]

- IV．電子署名（暗号化）の実装方法について

はてな→楽天のポイント移行が可能に [Hatena]

- はてなポイント、楽天スーパーポイントへの移行が可能

Web Server の設定 [WebServer]

- ホームサーバー設置ドキュメント

Phishing メモ [Phishing]

- 「電子メール認証技術『DomainKeys』はスパム対策として有望」，米Sendmailがテスト結果を発表
- 偽装スパム・詐欺メールを防ぐ「メール身元確認」システム

Windows Server 2003 Install と AD の設定 [ActiveDirectory][Windows]

- クライアント PC を作成したドメインに参加させる
  - 3.3.ドメインへの参加
    ドメインにクライアント PC を参加させるには、DC に認証されている必要がある。
    認証を受けるには DC に「コンピュータアカウント」が必要。
    コンピュータアカウントの作成には、
    - DC で作成する場合
    - クライアント PC から行う場合
      → この場合、コンピュータアカウントの追加とドメインの参加を同時に行える。
         この操作を行うには、参加先のドメインの管理者アカウント名とパスワードが必要。

    の2通りがある。

【参考URL】
- Windows Server 2003 による社内ネットワークの構築

SHA1 コリジョンに対する見解 [PKI][Security]

- VeriSign Response to New Cryptanalytic Results on SHA-1
- Atacks on SHA1(PDF)

windows 運用 [Windows]

- ＠IT > Windows Server Insider > 運用

Active Directory メモ [ActiveDirectory]

- 管理者のためのActive Directory入門

- 第1回　Active Directoryとは何か？
  - ドメイン毎にユーザやコンピュータを管理
  - 同じドメインツリーに属しているドメインは親のドメイン名を継承。
  - ドメインツリーを分けた場合でも同じ組織に所属している構成にするには、
    ドメインツリー同士で信頼関係を結ぶことができる。
  - 上記のような状態を「フォレスト」と呼ぶ。
  - フォレストに参加するドメインは「推移する」信頼関係が結ばれる。
  - Active Directory におけるグループ化の最大の単位はフォレスト。
  - Active Directory を利用することで、論理的なネットワークの範囲を定義できる。
  - この基本単位を「ドメイン」と呼び、ドメインを管理するサーバを DC
    (ドメイン・コントローラー)と呼ぶ。
  - DC の主な役割は、
    - 情報が登録されたデータベースの保持
    - ユーザ認証

- 第2回　Active Directoryによるディレクトリ管理
  - NT ドメインと Active Directory の違い
    - 管理できるオブジェクトの種類と量
      NT ドメインでは、ユーザ、グループ、コンピュータの3種類で、
      格納できるデータ量は約40Mbytesという上限があった。
      Active Directory では、NT ドメインに加えて共有フォルダやネットワークプリンタなど
      さまざまな資源をオブジェクトとして扱える。データ量の上限は、最大16Tbytes。
    - データベースの複製方法
      NT ドメインでは、PDC, BDC という形で、編集可能な PDC の複製である BDC を
      backup データベースとして用意していた。ただ、BDC は読み取り専用であり、かつ
      PDC からの一方向性のデータベース。
      Active Directory では、マルチマスター複製を採用しており、編集可能なマスタデータベースが
      複数ある。データベースはそれぞれの DC が保持し、全ての DC のデータベースの変更が可能。

- 第3回　Active Directory関連用語集（前編）

  - フォレスト
    1つ以上のツリーで構成された Active directory における最も大きい単位。
    同じフォレストに参加するようにドメインツリーをインストールすれば、
    双方向に推移する信頼関係が結ばれ、ユーザはフォレストに参加する全ての資源へ
    アクセスできるようになる。

  - フォレスト・ルート・ドメイン
    一番最初にインストールしたドメイン・ツリーがフォレスト・ルート・ドメインとなる。
    2番目以降のドメイン・ツリーは、フォレスト・ルート・ドメインを指定してインストールする。
    そうすることで、ドメイン・ツリー間で双方向に推移する信頼関係が結ばれる。

net, web programming 参考サイトメモ [Web][Programming][Network]

- 68user's page
- Hawk's W3 laboratory

これからのメールの仕組み [Mail]

Phishing, spam に対抗し、安全なメール環境を取り戻すために。

- ドメイン認証

"From:" に書かれているメールアドレスを信用できるよう、保証する技術。

ドメンイン認証は、
- IP アドレス型 (SenderID)
- 電子署名型 (DomainKeys)
に大別できる。

- SenderID
  IETF で標準化が進んでいるプロトコル
  認証情報は IP アドレス。
  【方式】
  - SPF という RR(Resource Record) を使って送信MTAを宣言する。
  - メールを受け取った MTA はドメインに対する送信 IP アドレスを
    入手し、SMTP コネクションの IP アドレスと比較することでドメインを検証する。
  【問題点】
  - メールの転送

- DomainKeys
  Yahoo! が提唱するドメインレベルの電子証明。
  【方式】
  - DNS で公開するのは、あるドメインに対する公開鍵
  - そのドメインの送信 MTA は対となる秘密鍵を持っていて、送信するメールに
    電子署名を行う。
  - このメールを受信した MTA では、そのドメインに対する公開鍵を DNS から入手し、
    電子署名を検証する。
  【問題点】
  - メーリングリスト

【参考 URL】
- http://www.sendmail.net/tools/Sendmail_Auth_Reco_wp_jp.pdf
- antispamの日記::誰もメールを使わなくなる
- http://d.hatena.ne.jp/ripjyr/20050318#1111098128

メールサーバの仕組みメモ [Mail]

- 「メールサーバ」とは？
  用語の整理などよくまとめられている。

MSA(Message Submission Agent) についてはこれまで意識できていなかった。

- MTAとMSAの分離
  配送と投稿の分離。
  配送とは、MTA 間でのメールのやりとり。
  投稿とは、MUA から MSA にメールを送ること。

Phishing メモ [Security]

- 迷惑メール追放のための官民連携プロジェクトの推進について〜「迷惑メール追放支援プロジェクト」〜
  経済産業省及び、総務省による迷惑メール追放のためのプロジェクト概要

ネットワーク監視ツールメモ [Network]

- Etherreal
  - Ethereal for Windows2000
  - Ethereal Manual

CSR 形式での証明書の申請 [OpenSSL]

キーペアと CSR の作成

$ openssl req -new -newkey rsa:1024 -keyout ./keys/test_key.key -out ./csrs/test_csr.csr

署名付き証明書と秘密鍵で、PKCS#12 形式で出力してみる。
このフォーマットで秘密鍵込みで出せれば、ブラウザへのインポートが可能。
インポートしている署名付き証明書は base64 形式。

$ openssl pkcs12 -export -in ../certs/export_Pilot-Nishi-11.cer -inkey ../keys/test_key.key -out clcert.p12

OpenSSL メモ [OpenSSL]

- Miscellaneous OpenSSLDocuments

- ■クライアント証明書を作成する
- OpenSSLで証明書つくってOutlookでデジタル署名

Ajax メモ [Ajax]

- Dynamic HTML and XML: The XMLHttpRequest Object
- XMLHttpRequestについて
  なかなか。

perldoc.perl.org| renewal [Perl]

- perldoc.perl.org

SHA-1を利用した素因数分解の高速なアルゴリズム [Security]

- SHA-1を利用した素因数分解の高速なアルゴリズム
  → "4/1" の記事・・・

Perl クイズ [Perl]

- 素因数分解