  |
はてなキーワード: RoOTとは
わからんのでここで聞いてみる。
曰く、androidはオープンソースで公開されているから狙われまくりとのこと。
その店員さん自身の使っているセキュリティソフトを聞くと、聞き覚えのある大手のソフトだった。
端末の用途としては電子辞書を読むのとWebサーフィンぐらいでさほど危ないことはないつもりではある。Webブラウザ経由で感染するウイルスがあったらダメだが。
もしくは、無料ので足りるならそれもアリだが…無料も山程合って下手に選ぶと逆に危険ではありそうだ。幾つか聞き慣れたのはあるが、しかしそれはWindowsでの話であってandroidでも優秀かも分からない。
判断付かないなら年額数千円のを入れた方がいいのだろうか?
2/13追記
ありがとう,不要なのか。確かにandroidってWindowsに比べ操作の制約厳しい気がするから強いのだろう。
何もしてないのに壊れた。と言いたいところだけど多分こないだドッカーをアップデートしたからだとおもう
でもあっぷでーとしただけでこわれないでほしい
ITってさマジでろくな情報がネットに転がってねーよな。あるかもしれんけどグーグル検索がゴミすぎてヒットしないっていう
とりあえず念力でdocker-comppose.yaml がおかしいかもしれないと当たりをつけた。
{service-name} っていうサービスをyamlにとうろくしてるんだけど、なんかの手違いでこのサービスの値をうまく読み込めていないのだろうと、直感だけで決めつける
そんでとりあえずyamlふぉーまっとをググってみてくる。
へいしゃかんきょうのファイルはyamlルート空間直下にサービスをチョクで併記する感じなのだが、ネットで出てくる参考記事にはservice: 要素でくるんでいる
今まで動いてたのが動かなくなるの死ねって感じなので死ねって祈りながら、とりあえずservice:要素をルートに追加して、いままでトップレベルに野ざらしにしてた各種サービス要素をservice:の下に入れる
docker-conpose up -d
ドッカーアップデートするのいいけど設定ファイル読み込みの後方五巻壊すんじゃねーよかす
英語初心者も、ある程度英語を覚えれば、英語話者が読んで感心するようなネイティブの英語を学びたい、と思うのは当然だ。教科書や試験用の英文はたいていは文法理解をメインにしており、多くても数段落の文章で、いわゆる物語やレポートの全体ではないから、それで文章構成の作法を学ぶのは難しい。わずかに学術界むけに英語論文の書き方の参考書があるのと、一般向けの、手間がかかりそうな洋画脚本の対訳本と、その他に文学の対訳書が少しあるぐらいだ。大手出版の英語書は多くは教科書・参考書の類、以前あった文学対訳書が専門の出版社も、もうなくなってしまった。多くの諸国に根付いている英語利用が日本で根付かないのは、何が障害なのか。
Use of English takes root in most of the countries in the world. But it seems not in Japan. What are the obstacles in it?
止め方わかった
とあるので、デバイスマネージャで表示(V)から接続順にして「PCI Express Root Port」で「9D14」と名前のついてるものをPCI Express Root Portごと無効にする
PCI Express Root Portの9D14に繋がっているデバイスではなく、PCI Express Root Portの9D14そのものを右クリックしてプロパティから無効化する
これを警告が出て困ってるデバイスすべてに対して行う
結果的にノートPCのセカンドグラボ(RADEON)と無線LANを無効化する羽目になった
ちょっとした3Dゲームもゲームプログラミングもできなくなってめっちゃ不便
ノートPCでそんなもんやるなというご指摘はまあそりゃ心底ごもっともだが色々あったんだよ、次はちっちゃくてもデスクトップマシン買う予定
前の増田はこちら→ anond:20210722160252
カラッキング下準備
まず、基本となるLAMP自鯖を作って出来る限りのセキュリティを施すナリ
これでLinux系鯖の基本くらいは理解できるようにならないと侵入してもやることが無いナリ
次はツールの使い方を覚えるためにKaliLinuxとかを使って何とかして自鯖のセキュリティを破って侵入するか
自分でSQLインジェクションとかXSSとか書いて侵入するナリ
なお、簡単に入れる鯖はセキュリティ意識低いので拾ってきたバックドアでも問題無いナリ(例えばrootパスがデフォ設定の所とか)
ここまで来たら後は近所の無線をaircrack-ng等でカラッキング→tor+tsocksかproxychains辺りを使って恒心するナリ
打ち消されない/can't be counteredという効果は、呪文や能力が打ち消されることを防ぐ効果である。
「打ち消されない」という効果は、「〜〜を打ち消す」という効果を持った呪文や能力によって打ち消されることを無視する。
基本的には、打ち消しを得意とする青の対抗色である赤と緑のカードの持つ能力である。赤、緑に次ぐ3番手は青であり、最初に印刷された最後の言葉/Last Word以後はしばらく登場していなかったが、呪文においては至高の評決/Supreme Verdict、クリーチャーにおいては真珠湖の古きもの/Pearl Lake Ancient以来定期的に現れている。黒は思考のひずみ/Thought Distortionでこの効果を持ち4番手となった。白はこの役割を持たない。
普通の打ち消しでは対抗できないため、打ち消し戦術を使う側は他の対処を考えなければならない。
例えば、突然の衰微/Abrupt Decayを対象に蝕み/Undermineを唱えた場合、蝕みの解決に際し、突然の衰微のコントローラーは3点のライフを失う。
テンペストでスクラーグノス/Scragnothが最初に持った能力である。
緑の打ち消されないカードはほぼ全てクリーチャー・カードである。またクリーチャー呪文を打ち消されなくするカードも擁する。
以下には、打ち消されない呪文や能力から受ける影響を低減する方向での対処例を示し、戦場に出てから対処する方法は割愛する。
時間停止/Time Stopや精神壊しの罠/Mindbreak Trap、アショクの消去/Ashiok's Erasure等で呪文や能力を追放する。
造物の学者、ヴェンセール/Venser, Shaper Savantや粗暴な排除/Brutal Expulsion等で呪文をバウンスしてしまう。
対象を取る場合、誤った指図/Misdirection等で対象を変更する。あるいは明滅やバウンス、呪禁やプロテクション、破壊不能の付与で対象を保護したり、立ち消えを発生させたりする。
事前にエメリアの盾、イオナ/Iona, Shield of Emeriaや翻弄する魔道士/Meddling Mage、呪われたトーテム像/Cursed Totem等で唱えられない・起動できない状況を作る。
事前からの切削や手札破壊、マナ拘束等により、唱えるために必要な条件を奪う。
アーテイのおせっかい/Ertai's Meddlingで、呪文の効果の発生を遅らせる(その後、対象が不適正になった場合は立ち消える)。
かつては、対象を取る呪文や能力が不正な対象になった場合、解決時にルールによって打ち消されていた。(→立ち消え)
ドミナリア発売に伴うルール変更(2018年4月27日発効)により、不正な対象である時はルールによって打ち消されるのではなく単に解決されないことになったため、対象をとる呪文や能力が打ち消されない場合に使われていた「呪文や能力によっては打ち消されない」という文章を「打ち消されない」とするオラクル変更が同時期に行われた。
この時期にルールによる打ち消しを防ぐ事ができる例外として、金粉のドレイク/Gilded Drakeが存在していた。現在はルール変更に合わせて、不正な対象となっても解決される能力へと変更されている。
未来予知で部族呪文が登場してから、一時樹根スリヴァー/Root Sliverの能力でそれらがルールにより打ち消されなかった時期があった。2008年1月のオラクル更新で、これは「呪文や能力により打ち消されない」に改められていた。
もう、年末も差し迫った12/25の夜7時を過ぎた頃、お偉方から、セールスフォースの設定に問題がないか確認しろとのお達しが来た。
はぁ?私、もう仕事収めて帰りたいんですけど?!むしろ寝たいんですけど!
今まで、私がどんだけ仕事してたのか知ってる??
年の瀬の金曜の夜7時を過ぎてから言う?お前やれよ!と、心の中で毒付きながらも、何にも言えない社畜。
弊社のブラックぶりに泣きたくなる。
そして、セールスフォースと、この時期に漏洩を公表した楽天に殺意を覚える。
芸能人の離婚みたいに年末の土日に公開して有耶無耶にしようとしたんだろうけど、めじ勘弁してくれー!
まず、2016年の設定変更?そんなのあったっけ??
2016年のリリースノートを見る。そんな変更どこにもない。英語版にもない。念のため2020年まで見る。ない。
偉い人の見てるニュースほんとなん?
そんな問題あったら、とっくのとうにアメリカで問題になってんじゃね?とか思いつつ調べる社畜。
と、こないだペイペイでもあったアクセス権?もしかしてこないだJPCERT から来てた、アクセス権のアレ?
そしてセールスフォースのドキュメントを見に行くわけだけど、コレは…。
なんて見にくい!もっと親切に画像入れてくれー!しかも回りくどくて何回も繰り返しちゃう。
外人でなんでこう言うので平気なんだろう?ガイドブックとかも文字だけで全然わかんないよね。
文字だけで脳内に画像が浮かんでくる特殊能力でもみんな持ってんのか?
そして日本語だとリンク切れてたり、英語の方にしか乗ってない情報盛りだくさん。深夜に英語読むのって辛いよね。もう文字がアラビア文字みたいに見えて挫折しそうになるよ。
そして、問題がアクセス権にあることを友人からのアドバイスで知る。
おバカな私はここに辿り着くまでに2徹しちゃったですよ。
そして。改めて状況を見ると、こんな基本の設定間違えるやついるかー!バカにすんなー!そして私の睡眠時間と土曜日返せー!と偉い人の頭を片っ端から引っ叩いて回りたい!
ゲストユーザにオブジェクトの参照権限与えるなんて、そんなバカいるの??
つーか、いたからこんな大ごとになってんだろうけど。
おバカな人たちご愁傷様です。
念のため共有設定を見直したけど、もちろん外部共有なんてしてなかった。(フォームなどは除く)
楽◯だのPay◯a yとか大丈夫?
こんな基本設定間違ってるなんて他のサイトの基本設定も間違ってんじゃないの?よく恥ずかしげもなく公開できたな。
もしかして設定全部rootでやってたり、フォルダの権限777だったりScot.taigerとか残ってるんじゃね?とか思っちゃうよ。
要は自分が何を言いたいかというと「健康診断の検査つらい」なんですが。
それについていろいろと考察した長い文章が下に続いているだけ。
日本人の寿命が長いのって、国民皆保険があるからお金の負担が安いことと、会社員が35歳以降に人間ドックを毎年受けることで早期発見・治療しているからなのだろうか?人類の医療で生かされてる(活かされてる)んだよな、健康的な意味でも、寿命的な意味でも。そりゃあそうだ。予防医学だよな。歯医者の定期健診を受ける、とか。
でも、トシくって様々な検査がちょっと辛かったりするのを目の当たりにすると、
「検査をしたり医療を受けたりしてまでも生き永らえたいというモチベーションが、果たして自分にはあるのだろうか?」
積極的安楽死か、消極的安楽死か、なんか、そういうのが脳裏によぎる。
会社員でいる以上は、自分を労働リソースとして供出しているのだから、その「労働リソースとして将来的にどのくらい使えるか」ということが会社的には気になるわけだし、あと法律で決まってるのかな?その辺の理由で、会社側から言われたとおり健康診断を受けなきゃならない。「直せばまだ労力として使えるのならちゃんと直せ」というのが、営利企業や国力といった視点からの論理と言えるだろう。
なんか、「自分の体は自分だけのものじゃない」という感覚がする。「公僕」、会社や社会の共有物かのような感じがする。
あ、検査がつらいんで受けません。安楽死しまーす。っていう自分の体に自己決定の権利はないのかな。それ人道的にどうなのかな。
その「自分の体が自分のものじゃない」の最たるものが、家族の意向により、胃ろうで生かされている人間でしょう。倫理的にどうなのでしょうか。かくいう私の親戚にもいます。こわいので面会していないです。いまはコロナで面会もままならないですが。
医学は、人為的に死をコントロールできる術です。進歩すればするほどコントローラブルな範囲が広がる。いずれは不老不死も実現するのかも知れない。
そのコントローラーを渡されて握るのは、本人であるべきなのか、他人であるべきなのか。自分というシステムのroot権限は誰が持つのか。
それにしても、35歳くらいを超えてる会社員の全員がこういう検査受けてる、ってすごくないですか?
人によっては人間ドックを毎年サボってる常習犯が居たりして、まあ気持ちはわかる・・・ってなっちゃう。
医療体制がすごいのもあるし、検査にみんな耐えてるのえらいですよね。
医療が進歩して検査の負担を減らす改善も継続的に行われていて、胃カメラを口から入れるときの不快感を減らすためにイカリングみたいな白い輪っかをくわえると、かなりラクになるんですよね。あれ。ノーベル平和賞でしょ。10年前に受けた時あんなのなかったし肩に注射で麻酔してたんですけど、最近はのどスプレー麻酔になったし1時間で麻酔切れるし、カメラ自体も細くなった。昔の胃カメラでトラウマになってる人もいると思いますけど、いまだいぶ負担減ってるんで、バリウム飲むよりもラクじゃないかと思いますよ。
若い頃ってさ、なんか、さまざまな「リソース」というものが無限であるかのように錯覚していた。
言い方を変えれば「有限なリソース」という概念そのものが頭の中になかったのかも知れない。
健康も時間も、仕事にかけられる労力も、無限だと思ってたので、スケジュールも何もなくがむしゃらに働いていたような。
でも社会に出て、あ、いろんなものって有限なんだなって気づいて。そのリソース管理がすごく難しいことに気づいていった。
そして30を超えると、「自分の健康寿命」というリソースの有限さをひしひしと感じるようになる。
若いころはモノを買うとき、お金の使い方がコスパばっかり考えていたように思う。安物買いの銭失いだ。
それはそれで「将来への投資」の考えがなさすぎる、貧者の思想だとは思うけど。お金に対してそういう貧しい考え方で育ってしまったのだから仕方がない。トシとっていってお金の使い方が少しはマシになったし、服にかけるお金がふえたりした。
トシを取ると自分の寿命が頭の隅にチラつくので、コスパが多少悪くてもペイするように意識が変わっていっていると思う。
「いまは時期が悪い」とか言ってチャンスを見送っているうちに自分の寿命のほうがなくなっていくからね。
たとえ時期が多少悪くても、じゃあいまやろう。お金をポンと出してやったぜ。と。
経済の話でいうところの「機会損失」って、商品の在庫があるとか、買える機会とか、開催期間が限定されたイベントとか、そういう「外的な機会」の損失するかどうかを焦点にしがちに見えるけども、それだけじゃないんだな。外的機会がある間に、かつ、自分の健康もなければならない。健康でなければ商品を購入して満足することができないから。
「健康が不足していて機会損失」も大いにあり得るわけです。「大切な推しのイベントなのに風邪ひいていけなくなった」とか。
これっていうのは「推しは推せるときに推せ」「孝行したいときに親はいない」と通じるものがある。
だから商売するのって、「ちょっと健康に不安が出てきて、かつ、そこそこお金持ってる人」を狙うのが効率よさそうですよね。健康商品じゃなくても。
ゲスいですが。足元見てる。
そういうターゲッティングして商売してる人間自体も、いずれはその該当者になるんですよ。
「おれは長生きしないんだ」つって、暴飲暴食してる人、ラクに死ねると思うなよ。苦しむぞ。みたいな脅しツイートを見かけたりしますけど、まあ確かにそうなんですけど、それも安楽死があれば解決するんですよね。
日本における安楽死の議論での反対派って「イジメみたいに同調圧力によって安楽死の自己決定を促されてしまう」危惧をドグマにしてますけど、
すでに「健康診断の圧力によってつらい検査を受けさせられてる」現状があるので、たしかにそうかも。そうなるだろうなあとは思われます。
「自殺と他殺」という対比の概念がありますが、それと同じように「自生と他生」とでもいいましょうか。
どう転んでも、自分の体の健康維持や死についての決定権は、自分だけが独占的・排他的に所有してはいない(できない)ようですね・・・。やはり自分の体は公僕性、公共物性を帯びているようです。それは国民皆保険であるから、国としては保険で治療コストの高い病気をなるべく支払わずに済ませたいので、治療コストの高い病気にかかるリスクを下げておくための検査コストを支払っておく(強制的に受けさせる)ほうがトータルでコストが安い、という計算なのでしょうか。
他者の圧力によって胃ろうで生かされてしまうようなことがある社会と、
どっちがマシなんですかね?
「勝手に生きるな」
介錯してラクにさせてあげたほうがいいんじゃない?とも思うし、
人為的に死をコントロールできてしまうということは、サバイバーズ・ギルトってやつが生まれる。生存者の罪悪感。
面倒なことにならないように、自分の生死を他者の人為的なコントロール下に置かれることが無いようにしたいですね。
やっぱ自分がコントローラ握って健康診断うけるかどうか決めたり、コロっと安楽死が理想なんですよ。でもそれって一貫性としては、このコロナのご時世で「公衆衛生を省みない自分勝手な自由な行動に出ることの許容」をも意味してしまうのですが。感染症や、医療保険の有無、といった社会的な連帯関係のものは物議をかもしますよね。そりゃ。
自分が死ぬときはVR-HMDかぶって、なんか、すごい音と映像で逝きたい。
臨床宗教師の仕事の中に「VR機材の管理」も含まれてくると思うんですよね、今後は。「テクノ法要」もありますし。映像や音声のクリエイターも、その走馬灯のような「最期の映像」をクリエイトする日が来るわけですよ。
だからVR業界から法曹界・医療関係に転職するようなキャリアパスもあるでしょうね今後は。
塞翁が馬。
みとりびと、おくりびと
[B! セキュリティ] フェイスブックの暗号化、日米英などが見直し要求へ (写真=AP) 日本経済新聞
平文に一定のアルゴリズムに従って暗号鍵から生成したノイズデータを掛け合わせ、意味が読み取れない暗号文を作るのが暗号化である。逆に意味が取れない暗号文から平文を求める操作を復号と呼ぶ。アルゴリズムがよく知られていながら暗号鍵が無ければ復号できないものがよい暗号と言われる。一般には256bitAESでも使っておけばまずパッと見ても聞いても数学的にもほぼ乱数と区別できなくなる。
ノイズデータの生成方法には色々あり、事前に送り付けた乱数表を使い使用後は破棄するもの、事前に送り付けた共通鍵や公開鍵を使うもの、都度生成するものなどがある。掛け合わせる方法も色々あり、乱数表に書いてある数字と暗号文を足し合わせると平文になるもの、共通鍵を暗号文に使うと平文になるもの、公開鍵を使うと平文になるものなどがある。
共通鍵を平文に使うと暗号文になり、共通鍵を暗号文に使うと平文になるものを、対称暗号とか共通鍵暗号と呼ぶ。
公開鍵を平文に使うと暗号文になり、暗号文に秘密鍵を使うと平文になるものを公開鍵暗号と呼ぶ。非対称暗号ともいう。
共通鍵暗号でも公開鍵暗号でも「平文が、暗号文になり、平文に戻る」というところは同じだが、
共通鍵では「平文→ 鍵→暗号文→鍵 →平文」と同じ鍵を使い、
公開鍵では「平文→ 公開鍵→暗号文→秘密鍵 →平文」と二種類の鍵を順に使う。
なお、この二種類の鍵は順に使えば順序はどっちでも良い。先に秘密鍵で処理して公開鍵で処理することも可能だ。とにかく2種類両方を使えば良い。
共通鍵暗号は分かりやすい。zipのパスみたいなもんだ。Wi-Fiのパスワードも同じだ。だが公開鍵暗号については、二種類の鍵を順番に使うと何が良いのかと思う人も多いだろう。どうせ暗号で読めないのだからいいじゃないかと思うだろう。実は名前の通り鍵を公開しても全くノーダメージというところがメリットなのだ。書かなかったが公開鍵から秘密鍵を数学的に求めることは不可能である。逆も不可能である。そして処理する順番もどっちでもいい。つまり適当な暗号文と鍵の片割れを公開しておくことで、もう片割れの所有を証明できるのである。これが公開鍵暗号の醍醐味である。
この技術はHTTPSの証明書に使われている。というかすべての公開鍵基盤で使われている。.pemとか.cerとかid_rsa.pubはこの片割れであり、ウェブブラウザの「証明書の検証」とは、ネットを見てる時にサーバが送ってくる「適当な暗号文」として"*.hatena.ne.jp"のハッシュを知らん鍵で暗号化したもののハッシュを知らん鍵で暗号化したもののハッシュを暗号化したものに対して、事前にWindowsをインストールした時に付いてきたHatena-Masuda Ultra Global Root CAとかいったけったいな鍵の片割れを使ってみてちゃんと復号出来てるかチェックしているのである。
暗号化通信を行うには、暗号鍵でデータを暗号化すればいい。暗号化には共通鍵暗号を使うのが高速で便利だ。公開鍵暗号は原理的に計算量が多く低速である。しかし、どうやって共通鍵を事前に知らせればいい? 公開鍵暗号で共通鍵を暗号化すれば、受け取り手は自分の秘密鍵で復号できるだろう。しかし、秘密鍵は本当に秘密か? 暗号文と秘密鍵が手に入れば、公開鍵暗号でも解読できてしまうのではないか? HTTPS化しているウェブサービスでも、TLSをロードバランサで終端してデータセンタ内は平文だったりするのではないか? そこで鍵交換、セッション鍵生成の議論が登場する。
Diffie-Hellman-Merkle(Diffie-Hellman)鍵交換方式とは、ディッフィー君とヘルマン君が下宿で階段をドタドタやってる時に天啓のように降ってきたと言われる、ネット上に数字そのものを公開することなく、2者間で同じ1つの乱数を得る方法である。
送信者と受信者の間で共通の1つの乱数を得ることができ、その乱数を第三者に知られることがない。
上で何度か「公開鍵暗号の秘密鍵と公開鍵は、平文に対して両方使えば平文に戻り、順序は関係ない」と書いたのを覚えているだろうか。Diffie-Hellmanはこれに似た方式だ。まず、AさんとBさんは送信者がお互い本人であることを証明できるようにする(公開鍵基盤を使う)。そして、それぞれ手元で乱数AとBを生成する。次に、鍵用の乱数Aを適当な乱数で暗号化した鍵Aと、鍵用の乱数Bを適当な乱数で暗号化した鍵Bを計算し、お互いに送り付ける。この暗号Aと暗号Bは盗聴されているものとする。
AさんとBさんはそれぞれ鍵Bと鍵Aに対して暗号化を行う。すると鍵BAと鍵ABが生まれる。このとき数学的な都合により鍵BA == 鍵ABである。
では、暗号A、暗号B、適当A、適当Bのみから鍵ABや乱数Aを求めることはできないのか? 可能だが式変形などで「解く」ことができず、総当たりになるため計算量が膨大になる。従って実質的にはできない。
或は、暗号A、暗号Bを掛け合わせれば、鍵ABになるのではないか? これもできない。暗号AまたはBと掛け合わせるのは生の乱数AまたはBでなければ意味がない。第三者が乱数Cを作って暗号AやBと掛け合わせても、鍵ACや鍵BCになってしまい、鍵ABと一致しない。
これにより、手元で生成した乱数以外のすべての情報が公開で既知で盗聴されているにもかかわらず、2者間で秘密の暗号鍵用乱数を得ることができる。
原始的なDiffie-Hellman鍵交換の実際の計算は非常に簡単であり、この「暗号化」は事前に決めた別の方法で生成する既知の2つの整数X, Yと乱数A, Bに対して、
暗号A = XをA乗してYで割った余り、
暗号B = XをB乗してYで割った余り、
鍵AB = 暗号BをA乗してYで割った余り、
である。
なお、くれぐれも簡単と聞いてPython 2.7とかで実装しようとしないように。算数の上手い人が作ったライブラリを使え。暗号処理の自作は絶対バグらせて割られるのがオチだ。ちなみにDiffie-Hellman-Merkleの三人目のマークル氏というのは両名と何のゆかりもないので普通は名前に入れないのだが、Merkle氏の先行研究が直接の元ネタなので入れるべきだと主張する派閥もある。俺はどっちでもいいと思うが折角なので入れておく。
ここでやっとE2E暗号化が登場する。上のセクションでしれっと書いたが、DH鍵交換が完了した時に送信者と受信者が得る共通の乱数は、各々ローカルで都度生成する乱数を元にしている。身許保証は公開鍵によるが、鍵は公開鍵に縛られないのだ。つまり、SNSやメールサーバその他、身許を保証する機能と文章をやり取りする機能があるツールと、そのツールで間違いなく本人にDH鍵交換の暗号を送れるクライアントアプリがあれば、その経路で本人同士の間だけで共通の乱数を生成し、それを「セッション鍵」として共通鍵暗号方式による通信経路が設定できる。
この「公開鍵認証基盤で本人確認し、DH鍵交換でセッション鍵を設定し、鍵を端末に出し入れすることなく、受信側端末のメモリに入るまで暗号化を解くこともないまま、共通鍵暗号で通信する」のがいわゆる「End-to-End 暗号化」である。
E2E暗号化を行うと、鍵はDH鍵交換で生成され、端末の外に出ないし書き出す必要もなく、通信の中で割り出す事もできず、通信が終われば破棄してもよい。好きなだけ定期再生成してもよい。認証に使う公開鍵と数学的な関係もない。一度設定してしまえば、SNS運営にチャットログを出させても鍵交換した意味不明な履歴と意味不明な暗号文が出てくるのみで、盗聴者をなりすまさせて鍵を再設定させても前の鍵と何も関係のない新しい鍵が出てくるだけで、意味不明な暗号文の解読の助けにはならない。ちょっと量子コンピュータめいているが、端末となりすましの両方で鍵を一致させることもできない。
ざっくり言えば送信側端末と受信側端末に残っている平文か鍵をバレる前にぶっこ抜く以外に解読方法がない。
これは盗聴関係者にとって非常に大きな問題で、米国のFBIなどは盗聴能力を維持するには法規制以外に策がないと考えている。DH鍵交換のアルゴリズムは上に書いた剰余以外にも楕円曲線を用いた数学的に更に複雑なものもあり、ソースはネットにいくらでも転がっているし、電子計算機アルゴリズムの常でやたら強力な癖に計算量的には全然負担にならない。NSAなどは数学者を揃えて最高のアルゴリズムを提供する振りをして、規格書で事前に決めた一定の数学的特徴を備えているべき定数に備えていないものを指定するとか、実装でミスが出やすい関数を選ぶなど小細工を入れているが俺は二次関数も分からんので詳しいことは知らん。しばしば政府の陰謀にキレた若いITキッズが小細工を抜いて差し替えた再実装を公開したりして揉めている。
実際にSNSなどでE2E暗号化を実装する上での問題点は、本人確認、機種変とマルチデバイス、嫌がらせ対応がある。まず本人確認がコケればMITMは可能だ。E2Eでは鍵を外に出さないのがメリットなので複数端末ログインができず(鍵が変わって別端末で書いたメッセージは解読できなくなる)、運営で常時メッセージを監視できない(したら意味がない)ので嫌がらせ対応が多少困難になる。またMITBというか、改造偽アプリで抜かれる可能性は、まあ、ある。
ブクマではApp Store以外が認められることでユーザーにメリットがあるって言ってる増田が多いが、およそ信じがたい。
AndroidだとAmazonのKindleストアやHuaweiのストアなんかが比較的メジャーだと思うが、特にメリットを感じたことはない。Amazon Kindle ストアは使ったことがあるが、Playストアに対する優位性はゼロで、アプリが少なく不便なだけだった。
そうは言っても、具体的に何が起こりえるのかを列挙してから出ないと判断はできないと思うので、以下のとおり検討してみる。
App Store以外のアプリストアが認められることで、ユーザーにとって起こり得る変化としては、以下が考えられるだろう。
自社ストアに誘導したい特定のパブリッシャーが手数料を割り引くことや、そもそも自社ストアなので手数料分を割り引くことを行えばあり得る。フリーライド以外の何物でもないけど。
ちなみに、EpicがやってるSteam対抗のPCゲームストアは、手数料割引分を開発者に還元しているのでユーザーにはほぼメリットのない状況である。
これは更に以下の3つに分けられる。
メリットといえばメリットだが、具体例に乏しい。AndroidであってiPhoneにないものとしては、ゲーム機のエミュレーターなんかが挙げられるだろうか。違法に近い。
WeChatやTikTokをダウンロードできるのは、人によってはメリットになるかもしれない。米国政府を敵に回すので、起こりそうにもないが。
Emulatorなどの違法アプリを導入できる可能性が高まること、米国からbanされる中国製アプリを使用できる可能性があるほか、一般ユーザーにとってのメリットは見当たらなかった。
