Masanori Ogino 𓀁 omasanori@mstdn.maud.io

対策としてセキュリティが重要なコードは皆で協力して書くことでリソースを賢く使うというものがあります。ここで利用者の規模に対してフルタイムのメンテナーが少なすぎるので求人情報を出して最近話題になった有名ライブラリ、OpenSSLを見てみましょう。

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

これすきそう

mkrl/misbrands: The world's most hated IT stickers
https://github.com/mkrl/misbrands

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

DRMとか解析対策とかのやつはデバイスのオーナーが攻撃者だから物理的アクセスが可能なのが難しさ。

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

なんらかの処理をより速く終わらせる工夫がタイミングの差を生むので難しいが、まずはノイズを測定できる範囲への物理的アクセスを許すな。

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

n回失敗したらロックするとか、同一の存在からの失敗回数が増えると遅くなっていくとかもある。

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

様々な攻撃があり、様々な対策がある。ブラウザのタイマーAPIの精度を下げるというのは処理にランダムな遅延を乗せるのと似ていて、測定する側にノイズが乗っているバージョン。

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

このように、処理時間や消費電力が入力に依存しないようにできれば一番良い

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

ランダムな遅延をつけた場合でも試行回数を増やすことでふたつの山が見えるにゃんね

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

TPMチップの端子にデバイスをくっつけるとバスを覗き見できるぞという報告を見た私「物理的なアクセスを許すな」

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

物理的なアクセスを許さなければあまり気にしなくていい攻撃もある。物理的なアクセスを許すな。

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

様々な攻撃が存在します。備えよう。

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

手出しか自摸切りか一切見ていないので攪乱されることがない（情報量0）

Masanori Ogino 𓀁 omasanori@mstdn.maud.io

「DNSを使わなくなる未来」もあり得る？ HOSTS.TXTから続く「DNS」本来の役割と進化の歴史、明日のカタチ【Internet Week 2021】 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/event/1375743.html