サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
CES 2025
www.osstech.co.jp/~hamano
最近、身の回りのSSHサーバーや社内システムの多くがFIDO認証に対応し、タッチひとつでログインできるパスワードレスな環境が整ってきました。 しかし人の欲望というのは尽きることがありません。 認証器にタッチするのが面倒になってくるのです。 というのも自宅や会社のオフィスなど異なる環境でローミング認証器を利用する際、 認証を求められるとまずポケットから認証器を取り出し、よっこらせと立ち上がってUSBポートに差し込み、 User Presenceを示すためにタッチをするわけですが、 この動作を繰り返していると、これは従来のパスワード認証と比べて便利になっているのだろうかという疑念が浮かんできます。 ノートPCに組み込まれたプラットフォーム認証器は解決方法のひとつですが、Linuxから利用できないし徒歩通勤でノートPCを持ち運ぶのは大変です。 そんなわけでオープンソースのFIDO認証器Solo
前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroidアプリをつくったのでその仕組みを紹介します。 目次 電子パスポート仕様パスポートは世界で通用する身分証明書です。 それぞれの国が独自仕様のパスポートを発行すると大変なので、 国際民間航空機関(以下ICAO)がICチップの技術仕様を標準化し、各国のシステムで相互運用できるようになっています。 ICAOはDoc 9303 Machine Readable Travel Documents(機械可読な旅券)と
弊社オフィスのある西五反田付近は再開発で慌ただしく、高層ビル建設でいつも騒がしい。 ふと窓の外に目をやると鬱蒼とした木々に覆われた廃屋が異質な存在感を示しています。 積水ハウス55億円詐欺事件の舞台となった海喜館です。 目次なぜ騙されたのか事件のいきさつは繰り返し報道されている通りです。 この詐欺は地面師グループと呼ばれる複数の人物によって計画された犯行です。 大手不動産業者が騙されるほどの手口であり、犯行グループの巧妙さが大々的に報じられました。 しかしどうすればこの事件を防げたのかという対策を論じた報道はあまりありません。 もし、あなたが積水ハウスの担当者だったら、司法書士であったならどの様にしてこの詐欺を見抜けばよかったのでしょうか。 原因のひとつに、取引相手の本人確認(KYC)が甘かった事が指摘されています。 地面師グループは「道具屋」と呼ばれる偽造屋にパスポートや免許証、印鑑登録
Linux Advent Calendar 2017 の23日目です。 Linuxをサーバーとして利用している場合、SSHの公開鍵認証を使うのが一般的ですのでパスワード認証を使う機会はもう少ないだろうと思います。 しかしデスクトップPCへのログインはどうでしょうか。まだまだパスワードが使われていますし、オンプレで設置している物理サーバーのrootパスワードを複数人で共有するといった運用もまだ残っているのではないでしょうか。 こんな時、物理的な認証トークンがあればずっと安全な運用になるのですが、私達はそんなデバイスを既に持っているではありませんか。そう、マイナンバーカードです。 今回はマイナンバーカード内の鍵でLinuxにログインしたり、sudoしたり、多要素認証デバイスとしてカードを活用する方法を紹介します。 LinuxにはPAMという認証システムとアプリケーションを分離するための仕組みが
先日、OpenSC 0.17.0がリリースされました。 これはマイナンバーカード内の証明書を扱うためのJPKIドライバが付属した最初のリリースとなります。 まだいくつか既知の問題を残しているのですが、Windows,Mac,Linuxなど様々なプラットフォームでJPKIを利用できる環境が整いつつあります。 今回はマイナンバーカードで自分のMacOSにログインしたり、スクリーンロックを解除する方法を紹介します。 JPKIドライバの開発状況PKCS#11 APIはほとんどの機能が動作するようになりました。SSHやPAM、Firefoxからは問題なく利用できるでしょう。 しかし、MacOSで証明書を利用するにはCDSA/Tokendに対応する必要があります。 これはもはやレガシーなフレームワークで、マイナンバーカードの証明書を扱う際にやっかいな問題があったのですが、このたび認証用証明書だけは問題
マイナちゃんピオンシップ・かがわ 2022 参加レポ2022-12-23 先日、マイナちゃんピオンシップ・かがわというイベントが開催されました。 香川県がマイナンバーカード活用のアイディアを募集し、実現可能性があるものは実証実験や社会実装に向けて協議できるというコンテストです。 最終プレゼンテーション大会では香川県の各自治体に対して直接提案を行う機会もありました。 こちらの大会の参加レポートと当日の発表で伝えきれなかった部分を補足する記事となります。 認証器としてのキーボード2020-07-09 最近、身の回りのSSHサーバーや社内システムの多くがFIDO認証に対応し、タッチひとつでログインできるパスワードレスな環境が整ってきました。 しかし人の欲望というのは尽きることがありません。 認証器にタッチするのが面倒になってくるのです。 というのも自宅や会社のオフィスなど異なる環境でローミング認
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
OpenLDAP と仲間たち Advent Calendar 2015 21日目。 Webアプリケーションを作る際、単純なログインページを作りたいことがよくあると思います。 しかし、認証ページというものはパスワード格納形式や、セッション管理、CSRF対策などいろいろな注意を払わなければなりません。 Python Flaskの認証ライブラリFlask-Loginを利用すると簡単に安全なログインページを作れます。 今回はこのFlask-LoginでLDAP認証する実装例を紹介します。 Flask-Loginの使い方Flask-Login使うためには、 LoginManagerの初期化ユーザークラスの定義フォームの定義を行う必要があります。 今回はLDAPの認証サンプルを紹介しますが、他のデーターベースでも基本的にやることは変わりません。 ただしRDBMSやその他DBだとパスワードの格納方法など
OpenLDAP と仲間たち Advent Calendar 2015 19日目。 OpenLDAPにはsyncreplという同期機能がありますが、この仕組みを応用して(Persistent Search)持続検索を行うことができます。 Persistent SearchはLDAPサーバーに対する変更をリアルタイムに検知するので、これを応用するとLDAPのデータをRDBMSやNoSQL、クラウドストレージなどの異種DBと同期するエキセントリックな環境を構築できます。 今回はPython LDAPを使ってPersistent Searchをやってみます。 slapd.confに以下を設定 overlay syncprov python-ldapとpyasn1をインストール #!/usr/bin/env python2 # -*- coding: utf-8 -*- import sys im
OpenLDAP と仲間たち Advent Calendar 2015 17日目。 Datadogは手軽にサービスのメトリクスを監視できるサービスです。 このDatadogでOpenLDAPのメトリクスを収集するagentプラグインを作りましたので使い方を紹介します。 DatadogでOpenLDAPの利用状況を可視化するとこんなグラフができます。 OpenLDAPの負荷分析で重要なのはコネクション数と、スレッド数(起動数・最大数)あたりでしょう。 今後必要があればその他の情報も取れるようにしますので要望があればgithubのissueでお知らせください。 Monitor DBの有効化RHEL7/CentOS7では規定でmonitorデータベースが有効になっています。古いOpenLDAPでもslapd.confに database monitor と設定されていればMonitor DBは有
OpenLDAP と仲間たち Advent Calendar 2015 16日目。 OpenLDAPは通常syslogを経由してファイルに出力しますが、分散構成で運用することが多いLDAPではログを一箇所に集めたいことがあります。 こんな時fluentdを利用するとログを別のサーバーで集中管理したり、RDMBSやNoSQLなどに投入して分析することが簡単になります。 rsyslogの設定DebianやCentOS付属のopenldapはデフォルトでsyslogのlocal4 facilityにログを出力します。 したがって、rsyslogを以下のように設定してrsyslogを再起動すると /var/log/ldap.log にログを出力するようになります。 /etc/rsyslog.conf: local4.* -/var/log/ldap.log fluentdのインストールこちらから各
OpenLDAP と仲間たち Advent Calendar 2015 14日目。 OpenLDAPはパスワードを格納する際、既定ではSSHA1(Salt付きSHA1)を利用します。 OpenLDAP付属のslappasswdを実行すると、このSSHA1ハッシュ値が出力されます。 このSSHA1は現在も安全なのでしょうか? SSHA1の安全性について考えてみましょう。 従来、暗号化アルゴリズムやハッシュアルゴリズムの安全性について検討する際、 このアルゴリズムは解読するのに〇〇年かかるから安全だ。という説明をよく耳にしました。 しかし近年、クラウドコンピューティングやGPUの登場により状況が変わってきました。 計算リソースの省コスト化と並列化により、お金さえあれば膨大な計算を短縮することが出来るようになってしまったのです。 つまり安全性とは、ハッシュを破る(コリジョンを見つける)にはいくら
OpenLDAP と仲間たち Advent Calendar 2015 5日目。 OpenSSHの公開鍵は通常、ホームディレクトリの下($HOME/.ssh/authorized_keys)に配置してると思いますが、サーバーがー多くなってくると集中管理したいですよね。 OpenSSHはファイルだけでなくLDAPに格納された公開鍵を利用して認証を行うこともできます。 CentOS6の古いOpenLDAPはopenssh-ldapパッケージをインストールし、スキーマをincludeするだけで良かったのですが、CentOS/RHEL7系のOpenLDAPはcn=configデータベースを利用するようになったため、少々面倒になりました。 ここではCentOS7/RHEL7で、SSH公開鍵をOpenLDAPに投入して認証する方法を解説します。 OpenLDAPのインストールまず、openldapとo
このページを最初にブックマークしてみませんか?
『www.osstech.co.jp』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
