Tsukasa #01 @a4lg Twitter profile

Pinned Tweet

Tsukasa #01

@a4lg

5 months

【緩募】英語の書誌学、文献学辞典・事典のような文献。一応日本語文献に対応英訳が書かれているレベルのでも可だが、岩波の「日本古典籍書誌学辞典」みたいなタイプの英語文献またはそれに類する性質を持つ教科書であることが望ましい。

1

3

0

Last Seen Profiles

@marble_cards

@moffitt_wendi

@HVYsupercool

@adechapmanlaw

@CokerBlaine

@fash_busters

@stw_pdg

@zevean

@AlziadiQ8

@rkivecores

@gonzalezpons

@MaiLieBaelish

@nongnongnol38

@Maskirovka_07

@developer_rushi

@StevensStudents

@milionchvilek

@Maxxicore

@omanpo_miIk

@Jaiori1

@PPAcademycom

@designdelvaux

@JoesphRhinehar1

@natiuskag

@Hikomi_

@salami691

@jetisgaming

@_luhbands

@cj_dinenage

@stw_pdg

@Anna233

@WhattaHit

@ThirdCoastRvw

@pelovafc

@COMICUP_SH

@Dakzky

Tsukasa #01

@a4lg

3 years

真偽はともかく、ちょっととんでもない論文が出てきたんだが。国際暗号学会の未査読論文だが、素因数分解を (RSA を破壊するレベルで) 劇的に高速化するアルゴリズムを開発したと主張している。

Fast Factoring Integers by SVP Algorithms

To factor an integer $N$ we construct $n$ triples of $p_n$-smooth integers $u,v,|u-vN|$ for the $n$-th prime $p_n$. Denote such triple a fac-relation. We get fac-relations from a nearly shortest...

eprint.iacr.org

12

3K

7K

Tsukasa #01

@a4lg

3 years

【重要】RSA 破壊を主張する未査読論文ですが、現状再現成功の報告なし (失敗報告あり )。また証明内の誤りを指摘する意見 () もあり。どう少なく見積もっても、未査読論文を不適切なまでにセンセーショナルに扱ってしまいました。申し訳ありません。

Does Schnorr's 2021 factoring method show that the RSA cryptosystem is not secure?

Claus Peter Schnorr recently posted a 12-page factoring method by SVP algorithms. Is it correct? It says that the algorithm factors integers $N \approx 2^{400}$ and $N \approx 2^{800}$ by $4.2 \cdo...

crypto.stackexchange.com

4

2K

Tsukasa #01

@a4lg

2 years

恐ろしく影響範囲が広い Java 脆弱性。 CVE-2022-21449: Java 15 以降の ECDSA 署名において、あらゆるデータの署名として通用する署名が簡単に作成できる (本来は無効なはずだが Java 実装がそれを通してしまう) というもの。ちょっと一見しただけでは信じられなかった。要するに白紙の小切手。

Steve Weis

@sweis

2 years

Java 15 ECDSA will accept (0, 0) as a valid signature on anything.

3

77

146

2

994

1K

Tsukasa #01

@a4lg

3 years

えーっとね、iPhone 13 ウェブサイトの壊滅的なデザイン、CSS 1 行 (text-align: justify) だけで劇的に変わるという例を見せる。左が Apple 公式、右が CSS 1行追加したもの。

12

387

1K

Tsukasa #01

@a4lg

3 years

元々商用ソフトだったが開発会社が破産、知財は債権者の手に渡るが、原開発者などがオープンソース化のために募金キャンペーンを行い、債権者から知財の買い取りに成功。………という異色も異色で感心する Blender の生い立ち。類似の大きな成功例が現れる日は来るだろうか……。

4

431

1K

Tsukasa #01

@a4lg

5 years

読売新聞の速報にて、山田太郎氏、531,255票―― 53万票達成！

4

1K

922

Tsukasa #01

@a4lg

4 years

………………。Qiita にしか登録していないメールアドレスにスパムが来たんですが。「Qiita の公式出会い系サイト」のアレではないよ。念のために確認すると、メールアドレスの公開設定はオフのままだった。………おい。説明願おうか。

2

469

860

Tsukasa #01

@a4lg

5 years

ハッカー採用云々の話、マジで人を選ばないと死ぬぞ。遵法意識はともかく倫理観まで壊れてる人間を採用するのは論外。余談といえば余談だが、米国でシークレットサービスへの協力を続けながら背信行為を行いアメリカ史上最大といわれるサイバー攻撃を主導した人物が居るということもお忘れなく……。

3

435

769

Tsukasa #01

@a4lg

10 months

x86_64 にとんでもない拡張がやってきた。一般命令のほぼ全部を拡張、GPR 倍増 (→32)、3 オペランド形式を容認。RISC そのものではないとはいえ、最近の RISC 系 ISA が採用する特徴を踏襲している。

Phoronix

@phoronix

10 months

. @Intel Details #APX - Advanced Performance Extensions -- Very exciting! General perf bump and user app/software changes should just be a re-compile!

0

53

117

4

308

566

Tsukasa #01

@a4lg

3 years

本当に某ゲームのチート実装で UEFI を使ってやがる。私が見つけた実装だと物理メモリ的には visible なままではある (カーネルモードドライバからなら��論上検出可能) が、チート検出のためにその辺のメモリを探索するようなアンチチート実装は……正直信頼したくない。

3

232

500

Tsukasa #01

@a4lg

3 years

というか、この論文の著者、シュノア (Schnorr) 署名で知られるシュノア氏じゃないか。明らかにぽっと出の数学者/暗号学者ではない。

1

194

456

Tsukasa #01

@a4lg

10 months

いやぁ、オープンソースには沢山の目が無いと、というのは本当だね。………………ここまで堂々と壊れてるコードが GCC 本家に入ってたことにビックリだわ。

3

97

443

Tsukasa #01

@a4lg

1 year

ってことだなあ……。昔は FireWire (IEEE 1394) 接続経由の物理攻撃が報告されてた手法だが、今はこの手のバックドアデバイスをチート目的にわざと入れる人がいるのか…… (検出はかなり難しいとしても【チートコード】で対象ゲーム以外にも本当に【何でも】出来うる辺りが超高リスク)。

だれかさんねっと

@darekasan_net

1 year

他のマシンからメモリいじくってなんでもできるカードってコト？

3

92

239

3

180

442

Tsukasa #01

@a4lg

3 years

謝罪ついでに。そういえば、本来強い暗号でも、使い方が不適切だと本当にサマーウォーズ的なアレ的なアレで紙とペンだけで解読することもできる場合がある (これについては、不適切な利用をした DSA をターゲットに縮小解読実験を本当に紙とペンでやったことがあるので本当)。

2

153

422

Tsukasa #01

@a4lg

11 months

商用利用可能だがオープンソースではない。最初の方だけ見ると BSD ライクだが、1.b.iv (使用用途を Acceptable Use Policy 内に制限), 1.b.v (競合モデルへの学習利用を禁止), 2 (月間 7 億人以上の大規模商用利用に別途ライセンスを求める) の条項はオープンソースと相容れない。

木内翔大＠SHIFT AI代表「日本をAI先進国に」𝕏

@shota7180

11 months

【朗報】先日話題になった商用利用可能なLLM『Llama 2』がMetaからリリース公開されている情報源から2兆トークンのデータで事前学習されていて、SFTとRLHFによる微調整。 7B、13B、70Bパラで展開され、70Bに関してはgpt-3.5-turbo並みのパフォーマンス。オープンソースですよこれ

2

70

349

3

205

417

Tsukasa #01

@a4lg

10 months

ビックリした。裁判所は GNU GPL への FSF 的に正しい解釈をキッチリ示した上で、原告の GPL 違反行為 (論争をややこしくする原因となった)、被告の不法盗用行為 (被告は GPL 派生なら勝手に盗用しても良いと主張したが、これは主流解釈では否定される) の両方を糾弾した。

高須正和@ニコ技深センコミュニティ Nico-Tech Shenzhen

@tks

10 months

中国初のGPL関連訴訟。退職時にソース盗み出したエンジニアが訴えられ「GPLだから俺がソースを見ても合法」と強弁。中国の裁判所が「原告被告どっちもGPLバカにしてるだろ、ふざけんな！」と指導。面白すぎるww #中国オープンソース @mhatta @hiyori13 @shujisado

7

539

904

1

216

412

Tsukasa #01

@a4lg

3 years

どうやら再現性に問題がある様子。

Tsukasa #01

@a4lg

3 years

【重要】RSA 破壊を主張する未査読論文ですが、現状再現成功の報告なし (失敗報告あり )。また証明内の誤りを指摘する意見 () もあり。どう少なく見積もっても、未査読論文を不適切なまでにセンセーショナルに扱ってしまいました。申し訳ありません。

4

2K

0

196

375

Tsukasa #01

@a4lg

5 years

兵庫県警のアレで一気に燃え上がったけど、セキュリティ研究者にとって洒落にならないのはどちらかというと Wizard Bible 事件。これに関しては Coinhive 事件や今回のブラクラもどきにおける法が十分に明言していないことに関する解釈問題とは違い、法的に要件を満たす余地が皆無、という。

2

269

364

Tsukasa #01

@a4lg

3 years

このアルゴリズムの背景にある数学理論は完全に私の専門外だが、2^800 前後の数を因数分解するのに必要な算術演算数が事実だとすると、確かに RSA 破壊レベルだ ([G]NFS: 2.8126*10^23 → SVPベースの新アルゴリズム: 8.4*10^10)。

1

149

359

Tsukasa #01

@a4lg

2 years

ちょっとまって、RISC-V International の Premier Members に、面白い企業の名前が出てきたぞ。Intel っていうんですが……。

4

187

351

Tsukasa #01

@a4lg

2 years

Discord マルウェアとされる検体の入手に成功。え、Node.js 製？本当なら、マルウェアの作成環境も多様化したものだなぁ。

1

91

342

Tsukasa #01

@a4lg

7 years

SHA-1 の強衝突耐性がついに破られ、現実の攻撃例が作られた、と。寝ようとしてたけど、このニュースを見て跳ね起きた。 | SHAttered :

1

632

335

Tsukasa #01

@a4lg

3 years

��要な算術演算の計算時間の細かなところを考えず、両アルゴリズムにおける 1 演算が同じ時間で完了するとした場合、2^800 前後の数で因数分解がおよそ 3 兆倍高速化ということに。実際には並列性の問題とかあるだろうし文字通り 3 兆倍速くなるわけではないだろうが、それでも半端ない。

1

125

328

Tsukasa #01

@a4lg

5 months

広告ブロックを入れるだけでなく、最近一部のサイトでは JavaScript を全面的に切ることにしている。どうもアドブロックされたときに暴走して自サイトに DoS を仕掛けつつリソースを無限に消費するという、それ広告ブロックとは無関係に大丈夫かよというスクリプトを使う所が結構あるらしい。

1

130

325

Tsukasa #01

@a4lg

3 years

「多分」再現実験できるレベルでアルゴリズムが書かれてるのでめっちゃ再現実験したいんだが、格子理論に全く詳しくないせいでしたくともできない……。歯痒い。

1

80

302

Tsukasa #01

@a4lg

3 years

ヤバいものがきた。アリババ / T-Head の XuanTie C910 (高性能アウトオブオーダー RISC-V プロセッサ) のおそらくは大部分がオープンソース化された。

GitHub - T-head-Semi/openc910: OpenXuantie - OpenC910 Core

OpenXuantie - OpenC910 Core. Contribute to T-head-Semi/openc910 development by creating an account on GitHub.

github.com

2

134

311

Tsukasa #01

@a4lg

3 years

【重要】 Léo Ducas 氏による再現実験 (失敗) 関連。

GitHub - lducas/SchnorrGate: Testing Schnorr's factorization claim in Sage

Testing Schnorr's factorization claim in Sage. Contribute to lducas/SchnorrGate development by creating an account on GitHub.

github.com

1

183

291

Tsukasa #01

@a4lg

9 months

GCC の committer になりました。

6

32

281

Tsukasa #01

@a4lg

3 years

【2021-03-04 21:08 追記】論文に示された手法の再現に失敗したという報告もあります。さらなる続報に期待。

Léo Ducas @[email protected]

@DucasLeo

3 years

@chelseakomlo @asanso @_henrycase @FredericJacobs @CryptoBits_eu #SchnorrGate update: the new version of March 3rd is much easier to test, requiring SVP in dimension as low as 47 (down from 1800 !). Out of 1000 trials, no factoring relations was found.

12

106

240

2

189

270

Tsukasa #01

@a4lg

3 years

真偽については全く検証できそうにないが、少なくともシュノア署名で知られるシュノア氏自身による (彼を騙る馬の骨ではない)、イタズラでも何でもない論文投稿であることは海外の暗号学者が複数ルートで確かめたようだ。

0

96

256

Tsukasa #01

@a4lg

3 years

未査読論文の紹介としては軽率に過ぎたと反省するが、ツイ消しするとそれはそれで問題が起こりそうなので、ひとまず関連情報や続報などを元ツイートにぶら下げることにする。

1

49

246

Tsukasa #01

@a4lg

3 years

言いたいことは色々あるけど、ひとつだけ注釈。これは量子アルゴリズムではない (通常のコンピュータ向けのアルゴリズムだ)。

0

69

240

Tsukasa #01

@a4lg

3 years

バイナリエディタ、GNU Poke という選択肢が出ていたのか。機能を見てみたが、これは軽量バイナリエディタ・バイナリ解析ツールとしてはかなり使える部類かもしれない。安定版の 1.0 は 2021-02-26 と、なんと今年に出たばかり。

3

61

236

Tsukasa #01

@a4lg

1 year

今回の江添氏のツイート削除、ツイフェミがやってるような悪質な圧力のかけ方の一例と同様のことがこの界隈でも行われたというのがマズい。仮に栗田氏が声明を出したとして私が仮に我慢できたとすれば「会社としては江添氏の意見に同調しない」くらいだっただろう。

3

68

236

Tsukasa #01

@a4lg

10 months

私がどこまで唖然としたかという気分を知りたい方は、こちらの cover letter をお読みください。久々の特大案件だっただけにあちらこちらで暴言が出かかってます。

1

79

232

Tsukasa #01

@a4lg

2 years

NVIDIA の一部 GPU に存在する GSP (GPU System Processor)、本当に RISC-V なんだね……。NVIDIA ファームウェアの "gsp.bin" が ELF 形式で、アーキテクチャが……… RISC-V。しかも RV64。中身の細かい分析はしてないが、逆アセンブルすると普通に RV64 のプログラムっぽく見えるし。

1

78

229

Tsukasa #01

@a4lg

11 months

Rocky Linux 側が Red Hat のサブスクリプション契約に抵触すること無しに RHEL のソースを入手するとする方法を公開した。言われてみれば、という感じではあるんだけど、これを公開することは、単に情報共有をする以外の決意を感じる。

0

137

222

Tsukasa #01

@a4lg

9 years

Minecraft で実装した新バージョンの SRAM (8KB; 一部未配線)。記憶回路はほぼ変更してないけど配線位置等を変更してるので見た目がスッキリした。なので横から見ると 16 階マンションのような佇まいである。 http://t.co/5qG1mSyYk2

3

270

207

Tsukasa #01

@a4lg

7 years

再掲。Twitter の新ルールは、基本 140 文字制限、ただし、一部の (次に示す) 文字は 1 文字としてではなく 0.5 文字として数えるのに相当。 U+0000-U+10FF、U+2000-U+200D、U+2010-U+201F、U+2032-U+2037。ラテン文字、アラビア文字等含むが、それら以外の "アルファベット" の一部も含む。

5

267

207

Tsukasa #01

@a4lg

3 years

単にヘコむだけなのも私らしくないので、このツイートの直前のツイート (22:15:25 JST) のように、さらに新しい事実を拡散することで世界をより面白くしたい。

0

40

200

Tsukasa #01

@a4lg

3 years

アカン。これはアカン。予想より深いところに根ざす問題で、どこを修正すれば良いのか全く想像がつかない。単なる Linux カーネルのバグ修正だったはずなのに、予想もしなかった藪蛇が出てきた。 ……ひとまず RISC-V ISA Manual の GitHub に報告。

Hypervisor extension name: inconsistency? · Issue #781 · riscv/riscv-isa-manual

EDIT (2021-11-25): I replaced the description entirely (originally here). Discovery I found this issue when testing my very first Linux patches, that... enables to detect multi-letter extensions (Z...

github.com

2

46

191

Tsukasa #01

@a4lg

5 years

文部省の「筆順指導の手びき」(1959 年の 15 版) のスキャンを公開します。手早く確認しやすいよう、PDF 版も用意しました。なお、この版は著作権の保護期間を満了しているものと推測しています。

2

96

187

Tsukasa #01

@a4lg

10 years

【警告】 OpenSSL の全てのバージョンで RSA の弱い鍵が生成されるバグがあったという怪情報があるが、ソースコードの解析からはその主張を裏付ける証拠は見つからない。もしあったとしても、原主張にある箇所 "ではない"。私がソースコードを見て確認した。

0

419

172

Tsukasa #01

@a4lg

2 years

オオカミ少年エフェクトはマジで人命や、そうでなくとも安全に直接の悪影響を与えるので、神奈川県は反省して。通知切るという報告が多数見えてる現状はかなりマズい。

2

94

172

Tsukasa #01

@a4lg

4 years

@tomoki0sanaki @hal_sk いえ、U+2F5F の方は《康熙字典》という字書における部首を示すのに用いるコードポイント (ブロック Kangxi Radicals) で、本来普通の漢字と混ぜるべきでないものです。 (続く)

1

125

165

Tsukasa #01

@a4lg

5 years

31.4兆桁の円周率を計算したということ自体は、まぁ今の計算資源の充実さを考えれば驚くべきことではない。驚いたのは、その計算結果を、Google が GCP 上でその全桁を公開したということだ。

1

97

162

Tsukasa #01

@a4lg

3 years

ワハハ。私の環境で正常性チェックツールを実行した結果は、「実行できます」でも「実行できません」でもなかった。

4

51

162

Tsukasa #01

@a4lg

2 years

そういえば Linux 5.18 がリリースされましたね。私が積極的に動いた小規模な RISC-V 向けの変更が正式に Linux カーネルリリースに入り、QEMU (未リリースの 7.1 以降) との組み合わせで CPU 機能の検出がよりロバストに、また多くの (ビット操作や暗号系など) 機能検出ができるようになりました。

2

45

161

Tsukasa #01

@a4lg

3 years

512-bit の RSA は、個人レベルで十分破れる。私が昔やったときには Ivy Bridge-EP の上位 CPU (10 コア、3GHz の Xeon E5-2690v2) * 2 で約 3 日。今なら普通の PC でも長くて数週間といったレベルだろう。

高梨陣平

@jingbay

3 years

ハノイ市民は現在COIVD移動パスを外出する際には持たねばならない。パスにはQRコードが描かれ持ち主の名前と外出許可を得た日付が入っている。データはRSA暗号を用いて署名されており偽のパスを防いでいる 0xfattyさんはRSA鍵長が512bitしかないことを発見した :-) 彼は$250で秘密鍵を…

0

67

129

3

91

158

Tsukasa #01

@a4lg

3 years

え、マジ？ (どちらかというと眉にツバをつけながら) と思って調べてみると、運営者インタビューで本当にそう答えてた。

0

200

155

Tsukasa #01

@a4lg

3 years

やらかして「RSA暗号」がトレンドに入る一因を作ってしまった私のツイートのインプレッションを見てみることにした (だいたい 2021-03-05 06:50:30 JST 時点)。——流石にこの数はビックリだ。これに対して続報+謝罪ツイートのインプレッションは 273,494 と 1/3 未満。もう少し拡散すると良いが……。

1

61

156

Tsukasa #01

@a4lg

2 months

xz-utils のバックドアを読み進める。実際にはトリガーされない部分が多数存在し、その中になんか変に拡張性を重要視したような設計というのが含まれてるように見えるのも変に感じるところだね。

1

34

152

Tsukasa #01

@a4lg

11 months

ついに Open Source Initiative (オープンソースの本家とも言える団体) が声明を発表。Meta の LLaMa 2 はオープンソースではない。

Meta’s LLaMa 2 license is not Open Source

Meta is lowering barriers for access to powerful AI systems, but unfortunately, Meta has created the misunderstanding that LLaMa 2 is “open source” – it is not.

opensource.org

Tsukasa #01

@a4lg

11 months

商用利用可能だがオープンソースではない。最初の方だけ見ると BSD ライクだが、1.b.iv (使用用途を Acceptable Use Policy 内に制限), 1.b.v (競合モデルへの学習利用を禁止), 2 (月間 7 億人以上の大規模商用利用に別途ライセンスを求める) の条項はオープンソースと相容れない。

3

205

417

1

111

154

Tsukasa #01

@a4lg

3 years

なるほどなー。Rust の予期しないことが起きたら panic する文化は、セキュリティの C と I は確保できてても A は確保できてないよね、と思ったら、やはり Linus は正しくそれを指摘しているのか。

2021年4月15日　パニックお断り―Linus、"Rust for Linux"の盛り上がりに釘を刺す | gihyo.jp

開発者の間で人気上昇中のRustだが、Linuxカーネル開発においてもRustを認めるよう求める声が強くなりつつある。

gihyo.jp

2

57

153

Tsukasa #01

@a4lg

4 years

自前でメールサーバーを立ててるので、サービス毎に違うメールアドレスを作るのは容易、というか作ってる。まぁ規則的なパターンはあるんだけど、パターンがあったとして、ハズレも一応は受信する設定にしてる上にランダム要素もあるので、決してユーザー名のブルートフォースではない。

2

77

130

Tsukasa #01

@a4lg

10 months

これは本当に同意。流石に、先に何もかも見通して作ることは誰にでも不可能だっただろうし、RISC-V も結果的にはその例に漏れなかった。まぁまだマシ感は個人的にはあるけど、それでも何もかも最高で綺麗、とまでは言えない。

Katsuhiro Suzuki

@ksattkb

10 months

モナリザ本は過去の命令セットを散々ディスってたけど、単にRISC-Vが初期段階で「キレイに見えていただけ」だったのだろうなあ。いざ普及し始めると間違いや継ぎ接ぎだらけで、他と大して変わらなかった。世の中キレイで万人が便利に使ってるアーキは「存在しない」と痛感できました……。

1

85

259

1

52

131

Tsukasa #01

@a4lg

2 years

例の Discord マルウェア、Kaspersky は早くも対応を初めたようです (検出名: UDS:Trojan-PSW.Win64.Disco.a)

1

58

128

Tsukasa #01

@a4lg

2 years

フェルマーの小定理による効率的な計算を、その定理が本来使えない 0 に対して使用した結果、s の逆数を 0 としてしまう。最終的に、大雑把に言えば 0 * (検証したいハッシュ値から一意に求まる値) == 0 と等価な比較となり、どんな署名に対しても有効なゼロ署名となってしまう。

2

73

129

Tsukasa #01

@a4lg

4 years

@tomoki0sanaki 私が実際に遭遇した例だと、おそらく同一のグリフを康熙部首と通常漢字で共有するフォント (多い) を使った PDF においてテキストをコピーした際に、元データでは通常の漢字であったにもかかわらず PDF 経由だと康熙部首のコードポイントでコピーされてくるなどといったケースが。

0

95

123

Tsukasa #01

@a4lg

2 years

ついに……ついに……ついに……！！ NVIDIA が Linux ドライバのオープンソース化に着手。ユーザーランドは残念ながら対象外だったが、カーネル部分のオープンソース化はかなり大きい。RISC-V + PCI Express ももはや夢ではない。

0

57

125

Tsukasa #01

@a4lg

3 years

「うっかり」では済まされないやらかしに震えている。仮に元論文が正しかったとしても初報はもう少しやりようがあっただろと自分を責めている。

9

7

122

Tsukasa #01

@a4lg

3 years

Google が閲覧追跡をしないような雰囲気で書かれたニュースが話題だが、代案として提案されてる技術のひとつである FLoC が問題だらけ (特に今まで無かった問題として、広告を一切載せないサイトですらサーバー側がオプトアウトしないと追跡の対象になりうる) なんだが、大丈夫なんだろうか？

2

82

117

Tsukasa #01

@a4lg

1 year

そういえば数年前、日本の永青文庫から中国国家図書館に (中日和平友好条約 40 周年を記念して) 数千冊が寄贈されたんだけど……デジタル化されてる！？まさか、こういう形になるとは。結果的には、日本にあるときより皆がアクセスしやすいようになってしまった。

2

73

120

Tsukasa #01

@a4lg

1 year

MathML 対応は嬉しい……と思ったら、画像 3 枚目に見えている MathML 表示で既に式として破綻している部分が存在している。マトモな MathML 対応だと期待するべきではない。おかしいのは、根号 (√) が本来分子、分母の両方を覆わなければならない場所で分子しか覆っていない箇所。

窓の杜

@madonomori

1 year

「MathML」に対応した「Google Chrome 109」が正式版に～Windows 7/8.1対応はこれが最後／17件の脆弱性も修正

0

61

107

1

57

114

Tsukasa #01

@a4lg

5 years

いや会社とかで採用するとしたら遵法意識もそれなりに重要か。あと法律の範囲内で役に立てるようなことを与えられる環境も必須だし、ホワイトハッカー採用をうまく活かせる条件を作るのってなかなか難しいと思う (なので倫理観が壊れてなくてもやはり難しいんじゃないかと個人的には思っている)。

3

74

110

Tsukasa #01

@a4lg

3 years

[SMBC 等のソースコード流出] ほら早速こんな「有識者」コメントが出てきた。それで解決すると思ってる発想が甘いし、業務システムの検閲による副作用を過小評価し過ぎだ。

2

87

112

Tsukasa #01

@a4lg

3 years

【2021-03-04 21:16 追記】シュノアが因数分解に関して強い主張をしたのがこれが初めてではないことを示すツイート。

Steven Galbraith

@EllipticKiwi

3 years

But, Schnorr also has a record of strong claims about factoring. The earliest paper on this is "Factoring Integers and Computing Discrete Logarithms via Diophantine Approximation", EUROCRYPT 1991. It provides a lattice method to find integers u,v such that |u-vN| is small. 2/7

1

11

36

0

73

110

Tsukasa #01

@a4lg

10 years

例の OpenSSL の "脆弱性" とされたもの、ガセということで片付いたようです。 http://t.co/mhWPyYnSs1

0

246

108

Tsukasa #01

@a4lg

2 years

原因は、ECDSA 署名を構成する変数 r, s (どちらも有効な署名であるためには 0 以外でなければならない) が 0 以外であることのチェックし忘れ。 DSA/ECDSA の背景にある数学的には s の逆数計算の際にゼロ除算を含むため一見すると計算にエラーが出そうなものだが、今回の脆弱性はそうではなく――

1

74

110

Tsukasa #01

@a4lg

5 months

Tips: 正式に GCC の committer になると、それだけで仕事へのお誘いが来てしまう (複数回)。Recruit 担当する人達はどこらへんをお誘いの基準にしてるのか気になるので、試しに情報共有してみる。

3

28

106

Tsukasa #01

@a4lg

10 months

RISC-V の Zicbop 拡張にはプリフェッチヒント命令があり、GCC にはこのうち実行プリフェッチ ("prefetch.i") を使うための関数が用意されていた。 ――が、この関数、プリフェッチするアドレスをそもそも受け付けない (常に NULL をプリフェッチしようとするらしい)。それって完全に壊れてるって(ry

1

38

105

Tsukasa #01

@a4lg

4 months

RISC-V 5 コアというのもあるけど、何より注目したいのは、これが FPGA 統合 SoC を搭載しているということ。

RSコンポーネンツ

@RSJapanMK

4 months

RISC-VコアとFPGAを搭載！完全オープンソースハードウェア対応の次世代型シングルボードコンピュータ「BeagleV®-Fire」。 RISC-V x 5コア搭載 Microchip製PolarFire® SoC、2GB LPDDR4、16GB eMMC、128Mbit SPI flash、GbE M.2 Key E (for Wifi)、電源：USB C

0

99

253

0

43

104

Tsukasa #01

@a4lg

3 years

RSA 破壊を主張する論文の紹介ツイートによって私の Twitter における通知が破壊されました。

0

12

100

Tsukasa #01

@a4lg

3 years

色々サーベイしてみたが、暗号学者となると否定寄りか続報待ちの意見が多い (積極的な肯定ツイートはほぼ見られない)。

2

35

98

Tsukasa #01

@a4lg

7 years

WebUSB でファイルシステムを読み取る猛者現る。まぁこのレベルで色々なことができるってことは、許可さえ取れば、お察し。

Fadis

@fadis_

7 years

JavaScriptからFAT32のLFN読めるようにした。同じデバイスないと動かないけどコード見たい人はこちら

1

101

147

0

107

96

Tsukasa #01

@a4lg

9 years

RSA-155 (512-bit RSA 鍵) を単一のワークステーションでどれだけの時間で破れるか。結果が出ました。………… 3 日 1 時間 24 分 17 秒 (264257 秒)。つまり、RSA 512-bit 鍵というのは、確かに、無いも同然です。

0

133

94

Tsukasa #01

@a4lg

4 years

Qiita 公式のこの主張は、Qiita 公式を名乗るスパムについては多分正しいと思う。ただ自分のメールアドレスへ来たこれとは異なる海外からのメールの件については、この通知機能を通したものでは決してない。

Qiita (キータ) 公式

@Qiita

4 years

現在、「メールアドレスの流出ではないか？」というお問い合わせもいただいておりますが、Qiitaの通知機能( )を介した通知メールであり、情報の漏洩ではございません。 Qiitaにご登録いただいているメールアドレス宛に、フォローや編集リクエストの通知が届く仕組みです。

0

34

22

1

58

94

Tsukasa #01

@a4lg

3 years

私の個人的感想としては「続報待ち」なんだけど、紹介の仕方が非常にマズかった。これに関しては本当に申し訳ない。

0

22

94

Tsukasa #01

@a4lg

3 years

一方で、そのような手法で導入するチートについては、悪意のあるバイナリの挿入によるリスクが段違いに高い (敢えて同様の言及をしている元ツイートには繋げない)。はっきり言って、内部動作をほぼ全て理解している人間以外が使ったならそれだけで「ご愁傷様」と言いたくなるくらい。

2

31

93

Tsukasa #01

@a4lg

5 years

あ、元ツイートで言及してる人物は Albert Gonzalez のこと。

アルバート・ゴンザレス (ハッカー) - Wikipedia

ja.wikipedia.org

1

61

88

Tsukasa #01

@a4lg

2 years

台湾のロシア・ベラルーシへの半導体の輸出規制、あらゆる形の高性能半導体供給を渋るという意志が見えてとても面白い。一番一次資料に近いと思われる中国語資料を貼っておく:

2

67

89

Tsukasa #01

@a4lg

2 years

一応、いわゆるウイルス罪 (刑法の関連条項) でとらえる対象は「半意図」&&「不正」&&「故意 (目的あり)」なことに注意。「不正」が (1審と同じく) 否定されたのが今回の最高裁判決のハイライト。

1

34

89

Tsukasa #01

@a4lg

3 years

RISC-V の暗号拡張、面白いことに、暗号固有の追加命令 (AES / SHA-2 / SM-3 / SM-4) やそうでもない追加命令だけでなく、エントロピー CSR や、命令の実行時間が定数になることを保証する役目の (追加命令無しの) サブ拡張まで含まれてるのが興味深い。

Release Scalar Cryptography v1.0.0-rc2 · riscv/riscv-crypto

NOTE: This release has been superseded by v1.0.0-rc4 This is intended to be the public review release of the scalar cryptography extensions to RISC-V. The public review period has been announced on...

github.com

1

29

89

Tsukasa #01

@a4lg

8 years

【新連載】ガチの技術記事を Qiita 上の連載という形ではじめました。 | C++ における整数型の怪と "移植性のある" オーバーフローチェッカー (第1回 : 整数型の怪と対策の不足)

C++ における整数型の怪と "移植性のある" オーバーフローチェッカー (第1回 : 整数型の怪と対策の不足) - Qiita

はじめに整数型の取り扱い (表現可能な値の範囲を超える "整数オーバーフロー" を防ぐなど) は、セキュリティ上の問題を避けるために、そうでなくとも予期しないバグを避けるために (頻繁に!) 注意…

qiita.com

2

67

86

Tsukasa #01

@a4lg

5 years

私は研究者向けのマルウェア共有サイトに上がっているサンプルをデータベース化し、研究者が統計処理をしやすいようなリストを提供している。――が、これが供用に見られたとしたらたまったものではない。というか、警察にどんないちゃもんを付けられるか分かったものではない。

1

92

88

Tsukasa #01

@a4lg

4 years

すみません、今日の勤務が終わってから Qiita 公式にメールで正式な問い合わせをします。

0

15

83

Tsukasa #01

@a4lg

3 years

Let's Encrypt の証明書の発行に際して有効期限の解釈ミスと思われるものがあり、自身の CPS (認証運用規定) で示した最大 90 日の有効期間を超え、90 日 + 1 秒を有効期間とする証明書を発行していたことが発覚。

2021.06.08 Certificate Lifetime Incident (valid for an extra one second)

Let’s Encrypt is well-known for issuing certificates that are valid for only 90 days. Since the very first certificates issued by Let’s Encrypt’s infrastructure, those certificates have been given a...

community.letsencrypt.org

2

50

85

Tsukasa #01

@a4lg

3 years

ただ正直、Windows 11 が TPM 2.0 を必須にするというのは……私としてはかなりの不快感がある。

2

28

85

Tsukasa #01

@a4lg

7 years

"chrome://flags/ #enable -webusb" で WebUSB の有効/無効を切り替えられます。私は迷わず Disabled (無効) に。WebUSB は危険な割に、許可ダイアログではその真のリスクが伝わりません。無効化を広めていきましょう。

0

99

83

Tsukasa #01

@a4lg

4 years

さて、"mhyprot2.sys" を正規の方法に近いもの (原神のインストーラを途中で強制終了) で入手。さっそく Ghidra で解析にかけてみる――パッと思いつく rootkit っぽい文字列やら特徴やらを検査してみているが、予想よりかなりお行儀が良いぞこのドライバ。

3

42

81

Tsukasa #01

@a4lg

1 year

ちょっとまって………… Rust で作ったプログラムって、Debian 系でパッケージ化する手順がすごく簡単なんだけど！？ cargo-deb (cargo deb サブコマンドを追加) をインストールし、Cargo.toml に若干のパッチを行うだけだとは……。で調べてみると、RPM だと 2 個類似プログラムが存在。

2

18

78

Tsukasa #01

@a4lg

4 years

RISC-V のアウトオブオーダー実装 "BOOM" の最新版 (v3) が、"SonicBOOM"……何かの冗談というか、なにかの間違いで虚構パラレル世界に来たのかと思ってしまった。

2

34

78

Tsukasa #01

@a4lg

4 years

【重要】Qiita 公式に正式に問い合わせを行いました。Qiita 運営の方におまかせすることになりますので、私からの追加の言及はしばらくは控えます。

0

8

76

Tsukasa #01

@a4lg

5 years

私が提供しているリストには、各マルウェア検体の先頭と末尾それぞれ 32 バイトが含まれる。これを公開したときの当初の懸念は著作権法で、私はこの程度のデータ量だと創作性に欠けると主張している。……もし、この部分が供用だと見做されたら？

3

62

76

Tsukasa #01

@a4lg

3 years

台北、故宮博物院の善本閲覧システムが完全にリニューアルされてた。独自ソフトウェアのインストールが不要となり、PDF ベースで閲覧が可能。

2

36

76

Tsukasa #01

@a4lg

5 years

これを書く動機になったのは次のツイート。雑な、為人 (ひととなり) を見ないホワイトハッカー採用議論には断固反対する。

kojira

@kojira

5 years

monappy盗難の犯人はホワイトハッカーして採用すべきという主旨の��を今さっきラジオで言っていたが彼から恐喝や攻撃、数ヶ月に渡り嫌がらせを受けた当事者としてはたまたまゲーム感覚でやっただけとはとても思えないし、改心する可能性は低いと思わざるを得ない。採用したらバックドアしかけかねない

7

508

630

1

63

73

Tsukasa #01

@a4lg

11 months

何気無しに書いていたコードが LLVM 経由でとんでもない最適化 (on AVX2) を食らっててコンパイラの賢さにドン引きした。 31 回 u32 が関わるループ内で計算したそれぞれのインデックス (i) に対する 1<<i の全論理和を計算する部分だったが……

1

11

74

Tsukasa #01

@a4lg

3 years

Rails で話題らしいが、ライセンス違反の問題は面倒だよねぇ。たとえ元ソフトウェアが GPL でも。今は私がメンテナーの一人をやっている ssdeep については、コアは GPL なのは良いとしても部分的に商用利用禁止のコードがくっついてた (当然 GPL にはできない) ことが判明し Debian から削除された。

1

14

70

Tsukasa #01

@a4lg

7 years

URL 短縮サービスは少なくとも終了時には元の URL との対応データベースを公開すべきだ。

0

76

62

Tsukasa #01

@a4lg

10 years

oO( もしかして心臓発作の原因というのは鼓動の数が 21 億 [2^31] 回を超えたことによる算術オーバーフローによるものなのでは？すると世界は誰かによってエミュレートされたものでは……とすると[メモはここで途絶えている] )

0

61

66