XML Encryptionの脆弱性 – 暗号解読できてしまう

ドイツの研究者がXML Encryptionの脆弱性を発表した記事。
XML Encryption Flaw Leaves Web Services Vulnerable – Security – Vulnerabilities and threats – InformationweekISO/IEC 19772
暗号文を書き換えてサーバーに送って、戻ってくるエラーを手がかりに暗号文を復号できる。
っていうから、実装の問題かと思ったら、XML Encryptionの仕様を変更しないといけないと言っている。
そりゃ大変だ。
元の平文の1バイトあたり平均14リクエストでこの攻撃が成り立つ由。
事前に連絡を受けた「XMLフレームワーク提供者」として、 Amazon.com, IBM, Microsoft, and Red Hat Linuxが挙げられている。
XMLフレームワークの代表的な提供者にアマゾンが出てくるんだ。
そのアマゾンはEC2で使っているSOAPの脆弱性を修正したと発表したとのこと。

Amazon Web Services ガイドブック クラウドでWebサービスを作ろう!
Jeff Barr (著), 玉川 憲 (監修), 株式会社クイープ (翻訳)
内容紹介
Amazon Web Servicesのエバンジェリストであるジェフ・バー氏自らが解説した「Host Your Web Site in the Cloud」の翻訳書がついに登場!
日本法人のエバンジェリスト玉川氏による監修・コードレビューも実施。
Amazon EC2、S3をはじめ、Amazon SQS、Auto Scaling、Amazon CloudWatch、Elastic Load Balancing、Amazon Simple DB、Amazon RDSなどの主要サービスを網羅。
Webコンソールの操作方法からサードパーティツールの紹介、各種APIを用いたコマンドラインでの設定手順など、AWSに関する幅広い内容をカバーした実用書です。2010年9月末にリリースされたばかりのSDK(AWS SDK for PHP)に完全対応したサンプルコードも無料公開中。

XMLセキュリティの信頼と脅威モデル入門

WebサービスあるいはRESTのアプリケーションで使われるSOAP/XMLインターフェースのセキュリティに関する入門記事。
XML Security Trust and Threat Models for Dummies | XML Journal
筆者はCrosscheck NetworksのVPとのことだが、元Forum Systemsの創立者。2009年5月にCrosscheckがForumを買収していた。へぇ~。今まで頑張っていたことがオドロキ。
Crosscheckのホームページより http://www.crosschecknet.com/ :
Commercial SOA Products
Build | Test | Secure
We are a product and services company dedicated to the successful deployment of SOA using traditional and cloud computing infrastructures. Our products govern over 1 billion transactions per day and are used by over 50,000 industry professionals in 42 countries. We provide service testing, virtual service simulation, identity managment, and security enforcement of services using patented, industry proven products. Let our technology lead the way to your SOA success.
記事の骨子
3つの脅威:

  • DOS攻撃 – 特にXMLでは不正なコーディングをした小さなデータでもDOS状態を作れる
  • ウィルス – XMLを利用して繁殖するウィルスあるいはワームが出現している
  • SQLインジェクション – データ取得のために使われるXMLリクエストにSQLを挿入される

3つの信頼:

  • プライバシー – 暗号化によって達成される、秘匿性の事だと思う
  • 完全性 – 署名と検証によって達成される
  • ID – AAA(認証、認可、アクセス制御)、SSL tokens, SAML tokens,WS-Username tokens

OpenIDとSAMLの相互運用を検証する認証基盤連携フォーラム

OpenIDとSAMLの相互運用を検証するらしい。
共通IDを利用できる認証基盤の連携を、国内で実証実験 – ITmedia エンタープライズ 

24の民間企業や団体などが参加する「認証基盤連携フォーラム」は12月21日、インターネットの異なるサービスやコンテンツを共通IDで利用できることを目指す実証実験を12月下旬から始めると発表した。2010年3月末まで実施する。
 具体的には、1)認証基盤連携の標準方式のうち「OpenID」および「SAML」の拡張部分における記述方式のルール化と、相互運用性を強化した確認書の自動生成、自動変換の仕組みの検討、2)複数のデバイス同士でユーザーが同一であることを確認する方式の検討、3)認証機能を提供する事業者が撤退した場合にユーザーが継続利用できる仕組みと機能、性能評価の実施と課題の――など。

なんで文章が途中で切れてるんだろう。
フォーラムのサイトはないのかな。
報道発表はNRIから出ている。
インターネット上などのサービスやコンテンツの利用拡大を促進する『認証基盤連携』の実証実験を開始~各種認証サービスの連携で、相互利用を可能に~
●会員
当フォーラムの会員は次の方々です(2009年12月21日現在、五十音順、敬称略)。
【座長】
相田 仁 東京大学
【副座長】
森川 博之 東京大学
【実証実験ワーキンググループ参加企業・団体】
* 株式会社ACCESS
* 株式会社ウィルコム
* エヌ・ティ・ティ・コミュニケーションズ株式会社
* 株式会社エヌ・ティ・ティ・ドコモ
* KDDI株式会社
* ソニー株式会社
* ソフトバンクBB株式会社
* 日本電気株式会社
* 日本ユニシス株式会社
* 株式会社ネクストウェーブ
* 株式会社野村総合研究所
* 株式会社日立製作所
* 富士通株式会社
【オブザーバー企業・団体】
* 株式会社インターネットイニシアティブ
* イー・モバイル株式会社
* 株式会社ジェーシービー
* 住友商事株式会社
* 社団法人テレコムサービス協会
* 日産自動車株式会社
* 日本ヒューレット・パッカード株式会社
* ネットワンシステムズ株式会社
* 三井物産株式会社

“OpenIDとSAMLの相互運用を検証する認証基盤連携フォーラム” の続きを読む

OpenIDはまだ使いにくすぎる

OpenIDはまだ使いにくいというwebmonkeyの記事。
OpenID Is HereDOT Too Bad Users Can t Figure Out How It Works – Webmonkey

  • いままでの、ユーザー名とパスワードでログインする方式からの違いが大きい。
  • 2008年1月にYahooとAOL、10月にGoogle,MySpace, Plaxo, and Microsoftが「unlikely allies」として加わった、が、YahooとGoogleの調査によると、ユーザーはOpenIDのログイン手順がぜんぜんわからなかった。調査報告は結論として、ユーザー名とパスワードのやり方に長年慣れてしまっているので、それを変えようと思うと再教育の労力をかけないといけない、といっている。
  • GoogleとYahooは再教育をしようとしてるが、認証の段階でGoogleやYahooに転送されてしまう。「サイトXにいたのに急にサイトYにいる、というのは違和感がある。なんでここに来たんだ?どうやって戻れるんだ?」(Dan Harrelson of the web design firm Adaptive Path)
  • FacebookのConnectはOpenIDと似たようなことをやろうとしてるが、ログイン画面としてページ内ポップアップを使っていて、ページを離れる感じがない。
  • 10月にPlaxo, Yahoo, MySpace, Google and MicrosoftがOpenIDのユーザー体験の分科会に参加。Facebookもここに参加し、Facebook Connectのインターフェースを紹介した。

ユーザー体験の分科会とは、これのことか: OpenID User Experience Summit (2008/10/20)
OpenID ? Blog Archive ? The First OpenID User Experience Summit
Yesterday at Yahoo!’s campus in California, nearly forty people from the OpenID community came together for a day to discuss the usability and user experience of OpenID and OAuth.
詳しいライブレポート:Live Blogging the OpenID/OAuth UX Summit ? The Real McCrea

OASISがInformation Card互換性のTC設立

OASISの新しいTC。
OASIS Identity Metasystem Interoperability (IMI) Technical Committee。
なんだろう、これは。
OASIS – News – 2008-09-23

to enable the use of Information Cards to universally manage personal digital identities.
インフォメーションカードを使って個人のディジタルIDを普遍的に管理できるようにする。

で、Information Cardに何があるというと、WikipediaによるとIdentity Selectorsとして実装されており、
Microsoft’s Windows CardSpace, the Bandit Project‘s DigitalMe, and several kinds of Identity Selectors from the Eclipse Higgins Project
がある。
この中で、Bandit Projectについては、
demonstrated prototype managed cards backed by OpenIDs at the BrainShare conference in March 2007
とのこと。
Information Card – Wikipedia, the free encyclopedia

TCの憲章TC Charterによると、
既存の仕様
[1] Identity Selector Interoperability Profile V1.5, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity
と、ガイド
[2] A Guide to Using the Identity Selector Interoperability Profile V1.5 within Web Applications and Browsers, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity
[3] An Implementer’s Guide to the Identity Selector Interoperability Profile V1.5, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity
を基ににするらしい。
つまり、マイクロソフトの仕様を標準にするための活動?

MSがHigginsをCard Spaceでサポート

Santa ClaraでのEclipseCon 2008で「Microsoftきってのオープンソース支持者であるサム・ラムジ氏」がEclipseとの協業を話した中で、Higginsのサポートについて言及。
Microsoft、2種のEclipseプロジェクトのサポートを表明 – ITmedia エンタープライズ

 ID管理技術であるHigginsに関しては、Microsoftは「CardSpace」を実装するうえでこれをサポートする予定だ。
 Eclipse FoundationのHiggins専用ウェブページにある定義によれば、Higginsは、「ID、プロフィール、社会関係情報などを、複数のサイトやアプリケーション、デバイスをまたいで統合するためのオープンソースインターネットIDフレームワーク」だという。
 WS-Trust、OpenID、SAML、XDI、LDAPといったデジタルIDプロトコルと連係するユーザーエクスペリエンスを支えているのは、プロトコルではなくソフトウェアである。

この最後の文章は意味不明だと思ったら、、誤訳でしょう。
It’s not a protocol but software that supports a user experience that works with such digital identity protocols, including WS-Trust, OpenID, SAML, XDI and LDAP.
たぶん、
それ(=Higgins)はプロトコルではなくソフトウェアであって、WS-Trust、OpenID、SAML、XDI、LDAPといったデジタルIDプロトコルと連係するユーザーエクスペリエンスを支えている。
Itの取り違い。

SAML 2.0のID管理技術を研究するNTT

「内部統制問題はID管理問題」–NTT情報流通プラットフォーム研究所:スペシャル – ZDNet Japan

アイデンティティ(ID)管理の重要性が再認識されつつある中、ID管理技術の標準化を進める「Liberty Alliance Project」の活動やその加盟企業の製品対応の状況はどうなっているのか。今回の連載では、各加盟企業を取材し、Liberty Allianceでの役割やアイデンティティ管理の今後について見ていきたい。
 今回取り上げるのはNTTだ。NTTは、Liberty Allianceの最高意思決定機関であるボードメンバー10社の中の1社。同社は日本での普及促進を図る日本SIG(Special Interest Group)にも積極的に参加しており、NTT情報流通プラットフォーム研究所 ユビキタスコンピューティング基盤プロジェクト グループリーダで主幹研究員の高橋健司氏は、日本SIGの共同議長を務める。今回はNTTにおけるLiberty Allianceの取り組みについて高橋氏に話を聞いた。
NTTがLiberty Allianceに積極的に関与しているのは、「non-traffic」と言われる非音声系のサービスの領域において、アイデンティティ管理、とりわけ顧客を認証・特定し、顧客情報を管理する部分が非常に重要になってくると考えているからだ。今後、次世代ネットワーク(NGN)でも多種多様なサービスが提供されるようになるため、その重要性はますます高まっていく。高橋氏のチームでも、NGNに向けてSAML 2.0標準に基づいたID管理技術について研究開発を進めている。

MAがODFに加えてOpen XMLを標準文書形式に指定

マサチューセッツ州が Enterprise Technical Reference Model (ETRM) 4.0を承認した中で、Ecma-376 Office Open XMLを標準文書形式に追加。
Massachusetts adopts Open XML – Network World
MicrosoftのTom Robertson, general manager of interoperability and standardsのコメント: 標準認定のリストは発展する必要がある。

OASIS EKMI対称暗号鍵管理の標準化

OASISニュース2007年6月25日
OASIS会員が、企業全体に渡る対称暗号鍵管理の標準化を行う委員会を設置
2007年6月25日米国マサチューセッツ州ボストン発 – OASIS国際標準化コンソーシアムの会員は、企業全体に渡る対称暗号の暗号化法鍵(symmetric encryption cryptographic keys)を管理するオープン標準を開発する委員会を設置しました。このOASIS 企業鍵管理インフラストラクチャ(EKMI)技術委員会は、ネットワーク・ベースのサーバーの対称鍵管理サービスを要求するクライアント・アプリケーションを可能にするロイヤリティ・フリーのWebサービス・プロトコルの標準化に取り組んでいます。この委員会はまた、このプロトコルの標準に準拠した実装を保証するため、EKMIの実装、運用と監査指針、そして相互運用性テスト集を作り出すことにも取り組んでいます。
:
レッドハット、米国国防総省、Visa等の代表が、OASIS EKMI技術委員会を設立しました。

DSSがOASIS標準

OASISニュース2007年6月7日
新しいデジタル署名サービス(DSS)OASIS標準が、Webサービス向けデータの信頼性を保証
2007年6月7日 米国マサチューセッツ州ボストン発 – 国際標準化コンソーシアム OASISは本日、同会員が、デジタル署名サービス(DSS)を、同組織の批准の最高位レベルを示すOASIS標準として批准したことを発表しました。DSSは、Webサービスとその他のアプリケーション向けデジタル署名を処理するXMLインタフェースを定義し、複雑なクライアント・ソフトウェアと機器の設定を必要とせずに、電子署名の生成、検証、その他の関連サービスを共有することを可能にしました。