アカウント名:
パスワード:
何で無くならないんだろう。どういう落とし穴があるのか。
TLSでもBEAST攻撃があるまではCBCモードの初期ベクトル再利用の問題は軽視されてたしね。さらにGCMでの初期化ベクトル再利用が、CBCモードのそれよりリスクが大きいことを知らんのだろう。#次はインクリメントが単純なケースを攻められそうな気も…。
とは言っても、使う側は、結局は計算量次第と早々に理解を諦めてしまって、裏で何やっているか知られないことに重きを置き、本当に攻撃されるかどうか分からないものは、問題になってから対策すればいいや、的な意識もありそう。暗号関係の研究者も研究者気質で、使うときのポイントを明快に説明出来ない人が多い。サルでも分かるように説明することを毛嫌うというか…。
そんで、結局はどっかから買ってきたIPを使うんだろうけど、その時点で脆弱だったりもするよ
そんな複雑な話ではなく、プロセッサを作る側も買う側もそこまで完全なセキュリティを求めてないだけなんじゃないの。建前では何と言おうともすべてはコストとの兼ね合いなので。問題が残ってるのも、検証のコストをかけてないからとも言える。
研究者がどれだけの潜在的な危険があると言ったって、プロセッサを作る側や買う側から見たコストとして響かなきゃ対策する意味がない。これはプロセッサを作る側が理解できてないという意味ではなく、理解したうえでそこまでのコストをかけないと判断したという意味。今回のように後から対策するコストの方が、設計時の検証コストを
そういう一般論は別のツリーでやってもらって。完全なセキュリティを求めないと、なぜIVが再利用されるの?
買ってきたIPをそのまま使うのが、コスト意識からだという指摘では?分かってないわけではなく、その程度の重要性しか見出してない。
ひり出してきたIVをそのまま使うのが、コスト意識からだ、ってやつねインクリメントでいいからやれっていうのは、実務知識感ある
記事と上の #4206992 と #4207037 で答えになっていると思うけど。
>完全なセキュリティを求めないと、なぜIVが再利用されるの?
その質問を繰り返されても、どういう答えを欲しているのか分かりかねます。質問を練り直した方がいいかと思います。
IV再利用がセキュリティーホールになるなら、IV再利用を無くせばいいじゃん!! 何で無くならないんだろう。ってことですか?笑
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
IV再利用 (スコア:0)
何で無くならないんだろう。どういう落とし穴があるのか。
Re: (スコア:0)
TLSでもBEAST攻撃があるまではCBCモードの初期ベクトル再利用の問題は軽視されてたしね。
さらにGCMでの初期化ベクトル再利用が、CBCモードのそれよりリスクが大きいことを知らんのだろう。
#次はインクリメントが単純なケースを攻められそうな気も…。
とは言っても、使う側は、結局は計算量次第と早々に理解を諦めてしまって、
裏で何やっているか知られないことに重きを置き、本当に攻撃されるかどうか分からないものは、
問題になってから対策すればいいや、的な意識もありそう。
暗号関係の研究者も研究者気質で、使うときのポイントを明快に説明出来ない人が多い。
サルでも分かるように説明することを毛嫌うというか…。
そんで、結局はどっかから買ってきたIPを使うんだろうけど、その時点で脆弱だったりもするよ
Re: (スコア:0)
そんな複雑な話ではなく、プロセッサを作る側も買う側もそこまで完全なセキュリティを求めてないだけなんじゃないの。
建前では何と言おうともすべてはコストとの兼ね合いなので。
問題が残ってるのも、検証のコストをかけてないからとも言える。
研究者がどれだけの潜在的な危険があると言ったって、プロセッサを作る側や買う側から見たコストとして響かなきゃ対策する意味がない。
これはプロセッサを作る側が理解できてないという意味ではなく、理解したうえでそこまでのコストをかけないと判断したという意味。
今回のように後から対策するコストの方が、設計時の検証コストを
Re: (スコア:0)
そういう一般論は別のツリーでやってもらって。
完全なセキュリティを求めないと、なぜIVが再利用されるの?
Re: (スコア:0)
買ってきたIPをそのまま使うのが、コスト意識からだという指摘では?
分かってないわけではなく、その程度の重要性しか見出してない。
Re: (スコア:0)
ひり出してきたIVをそのまま使うのが、コスト意識からだ、ってやつね
インクリメントでいいからやれっていうのは、実務知識感ある
Re: (スコア:0)
記事と上の #4206992 と #4207037 で答えになっていると思うけど。
>完全なセキュリティを求めないと、なぜIVが再利用されるの?
その質問を繰り返されても、どういう答えを欲しているのか分かりかねます。質問を練り直した方がいいかと思います。
Re: (スコア:0)
IV再利用がセキュリティーホールになるなら、IV再利用を無くせばいいじゃん!! 何で無くならないんだろう。ってことですか?笑