さよならCloudFogger、こんにちはBoxCryptor。

 さて、以前から「まだ死なずに済んでいましたか」という感じだったローカル暗号化ソフトCloudFogger、3月にいよいよ命運尽きていたんですな。
 とはいえローカルで使っている分には特に困っていなかったものの、いい加減メンテナンスもされていないソフトウェアを使うのも厳しい。

 ということで、乗り換え先を探した結果、結局BoxCryptorに乗り換えました、という話。
 以下いつものようにぐだぐたと。

 ◆

 ぶっちゃけこのテのソフトは今整理統合の真っ最中というか続々と力尽きているというかそんな感じなのだが、選んだ理由は以下の通り。

 ・まともに会社としてやっていく気がある
 ・ローカル専用暗号化が使える

 こういう言い方はアレだが、CloudFoggerの最大の失敗は「まともに会社としてやっていく気が無かった」ということではないかと。
 純粋にプロダクトがどうかと言われると、そんなに悪く無かったと思うのよね。

 一方で、そこらのサービスで暗号化は出来ていても、当方が大好きな「ZKE」ことZero Knowledge encryptionが本当に実装出来ているかと言われるとこれが実は非常にレアだという。
 理由は簡単で、本気でZKEを実装すると結構手間な上、ユーザーから見ると不便になるという。
 なので大概のこのテのサービスではこの辺りはゴニョゴニョと誤魔化しているんですな。
 この辺りを一番簡単に解決する方法は、そもそも暗号化キーを外に出さないこと。
 ローカル専用で(正しい強度を持つ)暗号化を使えれば、クラウドサービス側から見れば完全なZero Knowledgeになるので、突破は事実上不可能になる。

 ということで、上記要件を満たしたソフトの中でたまたま目についたのが、BoxCryptorだったという。

 このソフト、ZKEを標榜していて暗号化の仕組みも結構詳しくWebサイトに載せており、この通りの実装がなされていればオンラインアカウントを使ってもそれなりの強度は持つものと思われる。
 とはいえ折角ローカル専用暗号化が使えるので、ソレを使います、と。

 UIは仮想ドライブを作成するという、古典的で分かり易い方式。
 キーファイルを予めローカルでコピーすれば使いまわせるので、自分専用の特定デバイスでのみファイル共有が出来ればいいのであればこれで十分。

 一方で、フリーで使える機能は意外と限られており、Dropbox・Box・OnDrive・Google Drive等の中から、特定のクラウドサービス1つだけ。
 複数のサービスを使いたければ年39$払いなさいな、というビジネスモデル。
 CloudFoggerは基本的に個人使用は無制限でタダだったので、複数のクラウドサービスで使いまわしている人では直接的な代替ソフトウェアにはならないのかも知れないが、自分的にはこれで十分だったので問題無し、と。

 ♯この値付けがまた高過ぎないが安くもないという、実に微妙な感じだったりするのだけど。

 ◆

 とまぁ、こんなところで。

 ♯ZKEといえば、Wualaは撃沈したけどTresoritはフリーミアムモデルで生き残ってるよね、そいえば。SpiderOakは微妙に看板架け替えて完全有料サービス化したけれど。

Share

クラウドストレージを安心して使う為のローカル暗号化、という選択。

 オンラインストレージネタが最近多いが、今回もそのネタで。

 さて、当方の個人的な発想として、信用に足るクラウドストレージなんて代物は存在しない。
 いくら法律があろうが契約で縛ろうが、物理的にデータがそこに保存されている限り必ず自分以外の誰かにもアクセスが出来るし、そのことに自分が気づく手段は無い。

 ということで、当方はクラウドストレージには他人に覗かれてもあんまり困らないファイル以外、原則置いていない。

 ♯スマホの写真には時々個人情報が入っちゃっているのが何だかなぁだが、なるべく早く削除してます、はい。

 とはいえ、自動で複数端末で同期するという便利さは捨ておくには勿体ない。
 ということで、当方はCloudFoggerというソフトウェアを使っております。簡単に言うと、ローカルで暗号化してしまうことでクラウドストレージ上でのセキュリティを確保するという代物。
 登場当時は結構あちこちで取り上げられていたので、セキュリティとか気にする人種の間ではそこまでマイナーでは無いとは思うのだけど。

 ところがこのソフト、ベンチャーの製品ということもあるが、公式サイトのblogが2012年で更新が止まっていたり、そもそもベンチャーでは大事なマネタイズの手段が見えない等、継続使用にはかな~り不安感があるのも事実。

 とはいっても、正直このコンセプトは捨て難い。ということで、Alternativeは・・・というと、PKZIPのPKWareが出しているViivoというソフトがあるんですな。
 正直言って着想はCloudFoggerとそっくり、というかほぼパクリ(にしか思えない、こちらの方がだいぶ新しいし)。但しこちらはPKWareという現在進行形で商売しているソフトウェアベンダの製品だし、更にビジネス用途を最初から想定して有料版やFIPS準拠等のオプションがある辺り、CloudFoggerより長持ちしそうに見える。

 ということで、実際に試してみたが・・・結論は。

 「世間的にはOK、でも自分的にはビミョー」

 ・・・ということで、もっと具体的な不便や不具合が出る迄はCloudFoggerの使用継続ということで。
 以下、つらつらとどの辺りが「自分的にはビミョー」なのか書いていこうかと。

 ◇

 まず、当方はこのテの話をする時は「ゼロナレッジセキュリティ」という考え方をしている。

 SpiderOakやMozy(の高セキュリティオプション)等ではこれがベースになっている、というと偉そうだが、実際には別に難しいことは何もない、当たり前のことをカッコつけて言ってみただけ。

 1. データは脆弱性の無い手法によって暗号化されている
 2. 復号化鍵は手元以外には存在しない(=他人が知りようがない)
 3. よってデータは安全(=自分以外には復号不能)である

 たったこれだけ。ある意味暗号化の本質とも言う。

 これをWindows上で簡単に実現するのがCloudFoggerで、選択制でローカルアカウントを作成した時に暗号化鍵は手元にしか無く、正にこの状態になる。ローカルアカウント作成時は必要なのはパスワードのみ。

 さてそうなると次はこのCloudFoggerというソフト自体がどこまで信用出来るかという話になるが、以下が当方の解釈。やや面倒なので読み飛ばし可。

 1. 起動していると1時間に1回程度KeyServerに接続している。従ってKeyServerにローカルアカウントの情報をアップロードすることはいつでも可能。
 2. KeyServerでユーザ特定に使えるのはメアドのみ。他の情報はアカウント作成時に入力してないため。
 3. メアド情報が入っていない鍵情報が仮にアップロードされても、ユーザの特定は出来ない。
 4. 仮に鍵が流出し悪意ある第三者に渡ったところで、この鍵で復号出来る暗号化ファイルを特定不能(或いは特定の暗号化ファイルを復号出来る鍵が判別不能)の為役に立たない。
 5. 以上より、CloudFoggerというソフト自体がSpywareであるというオチでもない限り、セキュリティモデルは崩壊しない。

 まぁ要するに、自分的にはOKということで、当方はCloudFoggerを使い続けていたワケですわ。

 ◇

 さてここに来てViivoをビミョーと思った理由。結論から言うと、

 暗号化鍵・復号化鍵・ファイル履歴がしっかりとPKWARE社のサーバに保存されている

 ので。
 対するCloudFoggerは、鍵も情報も一切外に出さない(ことになっている)ので、どちらが安全かと言われると圧倒的後者。

 #というか、セキュリティ的な発想で言うと一切サーバに接続しない使い方「も」サポートするのが当然だと思うのだが、何故にそうなってないのさコレは。

 復号化キーは別名「秘密鍵」なので、コレがサーバ上にアップロードされてるってのはさすがにどうかと。
 勿論何らかの方法で、というか恐らくメアドとパスワードをキーにして暗号化されているのだろうが、それでもアップロードされていること自体どうなのさ、と。

 勿論、この方法にもメリットはある。
 複数のクライアント間で同一アカウントを使う場合(モバイルとデスクトップ等)、CloudFoggerではローカルの復号化鍵を何らかの手段でコピーする必要があるが、Viivoではアカウントさえ間違えなければシームレスに運用は可能。
 恐らく昨今ではセキュリティ的な完璧を求めた故の不便さより、ある程度脆弱になるのを覚悟してでも利便性を取った方がウケるだろうから、こういう仕様にしたのでしょうな、というのが当方の解釈。

 まぁ、登録するメアド・パスワード・ユーザIDは他では一切使用していない、連想も出来ないものにしておけば、仮にPKWARE社のサーバからアカウントや鍵情報が流出してもその鍵で復号化する暗号化ファイルを特定出来ない(逆方向も可)ので事実上役に立たず、セキュリティは保てる。

 そういう意味で、ユーザが正しく使えばViivoもかなり強い防壁となり得るのだが、それでも「ゼロナレッジセキュリティ」信奉者としては「何だかなぁ」という感覚が捨てきれない。

 ちなみに上記の鍵情報がアップロードされていることは、以下の作業で確認済。

 1. 検証用仮想マシンAの上でインストール、アカウント作成、暗号化ファイルα作成。
 2. 検証用仮想マシンBの上でインストール、アカウントログイン。
 3. この時点でBのViivoマネージャ画面には(Aで作業した)暗号化ファイルα作成履歴が表示される。
 3. AからBへ暗号化済ファイルαをコピー。
 4. Bマシン上で暗号化済ファイルαを復号、正常完了。
 5. Bマシン上で別のファイルβを暗号化。
 6. BからAへ暗号化済ファイルβをコピー。
 7. Aマシン上で暗号化済ファイルβを復号、正常完了。

 Step3で履歴情報がアップロードされていること、Step4で秘密鍵である筈の復号化鍵がアップロードされていることが確認出来る。

 ◇

 まぁここまでつらつら書いてきておいて、カッコ悪いオチを一つ。

 当方、個人メールはApps for Domains(旧称)に集約しているし、Google Calenderはフル活用しているし、ということで、今更ファイルだけ暗号化したところで既に個人情報ダダ漏れ状態ではあるんですよ、実はね。

 とはいえ、過去にはデータ流出に近いポカを実際やらかしたクラウドストレージも存在するし、個人情報というのは密度が大事なので、その密度を増強する強力な要素たり得るファイルを暗号化をしない理由にならない、というのが当方の考え方。

 何より、初期セットアップさえ済んでしまえばその後はそんなに面倒なモノでもないし。
 そりゃまぁこれが毎日イライラする程不便だったら、また別の結論になったかも知れないけど。

Share

実家のルータが攻撃されまくっていた件。

 さて、当方の実家では、YAMAHAのRT57iが今日も元気に稼働しています。
 んで、こいつにはPPTPサーバが付いています。
 いざという時に外部から接続出来るということで重宝していたのは実家に自宅サーバを置いていた頃のお話で、今では特に用途も無いのですっかり休眠状態。

 そんな実家のPPTPサーバですが・・・巷では何か最近PPTPサーバを狙った攻撃が流行っている模様。年末年始で実家に寄った際にふとsyslogを見てびっくり、攻撃されていたログが大量に残ってましたがな。
 ちなみに攻撃元は以下の通り。

 10月頭辺りまで:93.120.84.31(ルーマニア)
 10月辺りから現在進行形:183.60.48.25(中国)

 幸いにして?一度も攻撃は成功していないが、まぁ何というか、さすがねぇ。

 ♯攻撃パターンを見ると・・・ルーマニアは不正パケットによるサーバ脆弱性狙い、中国はアカウントとパスワードの辞書攻撃っぽいですな。

 取り敢えずルーマニアは過ぎ去ったものと仮定し、中国はFWの設定を追記してPPTPサーバに辿り着く前に蹴飛ばすようにしておいたので、暫くは時間稼ぎになる筈。これで諦めてくれれば良いのだけど。

 ♯当たり前だけど、本当に使うアテが金輪際無いなら、いっそPPTPサーバを無効にしてしまえば良いのだけど。
  金輪際絶対無いかと言われてしまうと言葉に詰まるので、取り敢えず切っていません、はい。

 しかし・・・灯台下暗しというか何といいますか、なぁ、と。

Share

.inで強制停止があったので、今更「WHOISキャップ」を再考してみる。

 さて、既にだいぶ過去の話となってしまったのだけど、取り上げてみる。

 .in ドメインで一騒動があったのは5月の頭。
 「WHOISキャップ」を使っていたドメインが一斉に停止されてしまったのであり。

 理由は「規約違反」。
 .inでは「WHOISキャップ」は規約違反だったんですよ、しかも2005年から。
 違反している以上何をされても文句は言えないので、見ているとぼちぼちWHOISのアップデートがなされている模様。

 ◇

 とまぁこんなことがあったのだけど。
 何か思ったより話題になっていないなぁ、というのが個人的な感想。

 というのも。
 殆どのドメインで、今現在「WHOISキャップ」は規約違反なのであり。

 世界中探しても、WHOISで個人情報を垂れ流さないドメインというのは非常に少なくて。
 当方が知っているのは以下ぐらい。

 ・WHOIS非公開を貫き通している.to (日本人登録可)
 ・代理公開制度というWHOISキャップが規約内の.jp (日本人登録可)
 ・個人登録限定でWHOIS非公開の.ca

 ちなみに.caはカナダ人のみ登録可。
 なので、日本人が使えるのは.toか.jpしか無い、というのが自分の認識。

 ♯昔はもっとありましたよ。

 ところが、今や殆どのレジストラが「WHOISキャップ」を行っているし、ヘタするとそれが出来て当然のような説明をしている業者も居る。
 そして、長い間棚上げというか放置されていたこの「WHOISキャップ」問題について、諸々の政治的意図から去年後半頃からちらほらと動きが出始めている。
 つまり、これから世界中のドメインで、同じような状況に陥る可能性がある、とも考えられるのであり。

 ◇

 こう考えると、もう少しこのネタ盛り上がるかとも思ったのだが、どうやら殆ど話題にもならなかったようで。
 ・・・そんなモン、なのかねぇ。

 ちなみに当方は.netで独自ドメインを開始した後、当時WHOIS非公開だった.wsへ移行。ところが.wsがWHOIS公開に方針転換してしまったため、代理公開制度が使える.jpに移行、と2回も独自ドメインを乗り換えている。
 これは極端な例だと思うが、世間ではこういうのも居るということで。

 ♯ちなみに旧ドメインは手放した直後は転売業者が占有してたが、現在は空きの模様。

 ◇

 あ、そうそう。
 以上とは全然関係ないのだが。

 絶賛放置中のtwitterアカウントだが、思いついたついでにもう一つ作ってみたり。
 こちらは生活感溢れる日常生活ネタ限定ということで。
 まぁ過去の@SKaz_hinemos見ると普通に生活感溢れまくってるtweetもあったりするのだけど、その辺りはまぁそういうこともありました、と。

 まあ完全にS.Kazの自己満足なのだが。
 それ以前にtweet数が2桁になるまで続くのかね、このアカウントは。

Share

最悪のウィルスと、最悪の対応 (続続・Gumbler大流行中)。

 問題のサイト、本日見たら「何事も無かったかのように」復旧していました。
 そう、「何事も無かったかのように」。

 さて問題です、この行為は正しいでしょうか。もしそうでない場合、どのような問題があるでしょうか。
 答えは・・・皆さん正解ですよね。

 「正しくない。何故なら、サイトがGumblerに感染していたことを告知していない」

 いやはや、とても残念な結果となってしまいました。

 ・・・え、サイトの汚染を取り除けばそれでお終いだろ、って。
 ちょっと待った、そりゃないですよ。もう少し考えてみて下さい。

 このサイトは期間的にはあまり長くなかったとはいえ、明確に「キャリア」だった訳です。
 「キャリア」に接触してしまった以上、無防備であれば「感染」してしまっているかも知れないワケです。
 だとしたら、せめて過去に自分が「キャリア」であった、ということを明確にしておくべきでしょう。

 まぁこういうトコで、サイト管理人のセキュリティ意識のレベルも分かるよね、ってなことです。

 ◇

 突然話は飛びますが、今回のGumblerの大流行、個人的にはAIDSの流行と似ているな、と思っています。

 「無防備のままムチャな接触をすれば感染する」
 「感染しても気づかないままキャリアである期間が比較的長い」

 ・・・似てません?片や電脳世界、片や人間社会での話ですが。

 そしてもう一つ、ややイヤな話を。
 今、AIDSが蔓延している地域/年代での感染者の行動パターンを分析していると、感染者が無知・デマ・ヤケから自らの行動で感染拡大を助長している、という話があるそうです。

 ここで突然Gumblerの方を見てみると、あれ、何か既視感が。

 ◇

 とまぁそういうワケで、とあるサイトは「復活」したワケです、はい。

 ・・・念の為、無防備に接触して感染する方もダメダメなんですよ。
 そこの責任転嫁はしないように。

Share