nDiki : 暗号化

インストール Windows Linux Mew マニュアル ソフトウェア 日本語 USB メモリ ルータ Emacs WEP ポータブルアプリケーション USB Web ブラウザ Unison ThinkPad X31 メモ Pagent PuTTY Debian パッケージ Subversion ランチャ WPA CD-ROM UnplugDrive Portable 公開鍵 PStart エディタ Skype FON

■ sniffit 0.3.7 beta をインストール

Linux に sniffit-0.3.7.beta.tar.gz をインストール。 前につかっていたコンピュータにはいれていたが、今のにはまだだったので手があいたのでいれておく。 sniffit はネットワークのパケットをダンプするツール。 接続されたネットワークを通過するパケットをみることができる。 もちろん暗号化されていないパスワードなども……。

正しい使い方?はネットワークの障害管理などに使うことであろう。 また誤って出すつもりのないパケットが流れていないかの確認などにもつかうことができる。 私は、SSH で正しくパケットが暗号化されているかの確認などに使っている。

私はメールを読むために POP サーバから fetchmail を使ってローカルに転送していた。 POP3 はパスワードが平文で流れるのでとても怖い。 そこで SSH の forwarding 機能を使って暗号化していた。 ……つもりだったのだが、実は設定を間違えていて SSH を経由していなくて通常の POP3 していただけだったことが、このツールで判明したことがある。あちゃ。

なんてことのチェックに利用できる(現在は APOP + SSH forwarding)。 もちろんパケット盗聴にもつかえることも事実。

逆にいえば誰に盗聴されているかわからないということ。 大学内では、誰がノートパソコンでネットワークに接続するかわからない。 また仮にネットワーク内の1台がクラックされてルート権限を奪われたら、そこでパケットの盗聴が行われる可能性がある(所属する学科でもその形跡があったことがある)。 特に管理権限のないコンピュータにそういうことがおこるとやっかいである(逆に管理権限のあるコンピュータはクラックされないように自分できちんとしなければならないね)。 ということで、できる限り自分の通信は、(特にパスワードなど)暗号化するようにしている。

でインストール

 $./configure
 $make
 $su
 #cp sniffit /usr/local/bin
 #chmod 500 /usr/local/bin/sniffit
 #cp sniffit.5 /usr/local/man/man5
 #cp sniffit.8 /usr/local/man/man8

• メールボックスを Gmail に集約 (2007-08-08)
• ノート PC を持たずに会社に行きたい (2006-12-21)
• Unison + Zebedee (2004-06-11)
• Flickr::UploadでLinuxから画像アップロード (2005-04-22)
• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)

■ 14:45 Crypto++

以前チェックしていたフリーの C++ 暗号化クラスライブラリ。 gzip や zlib 圧縮もサポート。 MSVC 6.0 でも OK。 ちょっと、使って見ようかなと。

使い方は、Read denis bider の User Guide がよさそげ。

• 古い Crypto++ は古い GCC で (2006-02-07)
• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)
• GnuPG の布教失敗 (2005-02-02)
• 過去の今ごろ (2004-05-07)
• Mew と SSH (2004-04-23)

■ 過去の今ごろ

過去の1月24日より。

• PGP から GPG へ
  • ほんとに、PGP、GPGを使ったメールのやりとりってないなぁ。手元の重要なファイルの暗号化と、パッケージの署名に使っているくらい。

• sniffit 0.3.7 beta をインストール (1999-01-22)
• Mew と SSH (2004-04-23)
• GnuPG の布教失敗 (2005-02-02)
• 今日のさえずり - 「ちびたれ」って何だよ。スゲー気になる! (2008-03-24)
• 今日のさえずり - 明日のミーティング資料 Google ドキュメントで書いた (2007-10-31)

■ Mew と SSH

設定を確認したら一部のConfigで「メールサーバにSSH接続して、そのサーバ自身(localhost)上のSMTPポートにトンネルを掘る」べきところを「localhost(メールを出しているMewのあるホスト)にSSH接続して、メールサーバのSMTPポートにトンネルを掘る」というとんでもない設定になっていた。 暗号化されてないではないか。トホホ。

どうやら以前設定をごちゃごちゃいじった時に間違えていたらしい。 設定を修正したらSSH port forwarding で会社の SMTP サーバに接続すると1通目しか送信できなくなるというトラブルも解消された。 これが原因だったか。

さて、POP3のパスワード変更しなければ。

• メールボックスを Gmail に集約 (2007-08-08)
• 一部のドメインのみ Gmail 経由ではなく SMTP over SSH ... (2008-09-04)
• GnuPG の布教失敗 (2005-02-02)
• ISP から Outbound Port25 Blocking を行うとの... (2006-05-23)
• sniffit 0.3.7 beta をインストール (1999-01-22)

■ Unison + Zebedee

記事「Unison で展示会機器のセットアップ」に、

wtnabe 2004-06-10 15:51:09 rsync もまともな認証とは呼べないような気がしますが。。。同じことをするなら tcpwrapper を使うって形になるんでしょうけど、Zebedee などで認証を掛けるともっと融通が利いてなおかつセキュアなんじゃないでしょうか。

という貴重なコメントをいただく。

Zebedee 最近使ってなかったな。ホスティングサーバ(FreeBSD)がSSH接続を提供してくれていなかった時は、Linux BOX からZebedee 経由で telnet したり、mirror したりしていた。

ちなみに今回の用途では、通信路の暗号化はあまり重視していない(社内ネットワークで、対象ファイルはもともと皆が閲覧できるものだし、端末の前にも座れるから)。

@ Unison Soket メソッドでのサーバ側の問題

• 認証なし
• 接続ホストによるアクセスコントロール不可
• 同期対象となるローカルファイルの制限不可。

というのが問題。

c:ドライブ全体(だけでなく全てのドライブ)をパスワード無しで「読み書き可能なWindowsファイル共有」しているような感じであり、気持ち悪い。

@ rsync サーバの認証

• パスワード認証。平文では流れない。パスワードファイルは自体は平文で管理。
• 接続ホストによるアクセスコントロール可。
• 同期対象となるローカルファイル/ディレクトリは指定される。

平文でパスワードが流れることはないし、Unison でもこれぐらいの認証ができれば今回の用途では充分という感じ。

@ Unison + Zebedee

Windows 同士だと結局一方は Unison を Socket メソッドで起動しなければならない。 そのポートへは認証有のZebedeeトンネルで接続するとして、外部からは直接アクセスできないようにしなければならないので面倒。

Zebedee 自体はナイスなプログラムではあるのだが、Unison と組み合わせには使えないかな。 普段使いには Unison + SSH だし。

@ Windows 版

本家に Windows 版もあるのか。 インストーラの形になっているがインストールされる zebedee.exe は単体でも動く。 Unison との連携は別にしても、入れておいて損はないのでこれもUSBメモリにいれておこう。

• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)
• 普通の人向けに svnserve を立ち上げるか (2005-07-26)
• OpenSSH for Windows (2004-08-05)
• 自宅の無線 LAN を復旧 & IEEE 802.11g 化 (2004-11-26)
• ノート PC を持たずに会社に行きたい (2006-12-21)

■ 自宅の無線 LAN を復旧 & IEEE 802.11g 化

不調になった無線 LAN を早く復旧しておきたい。 ということで会社帰りにヨドバシカメラへ行ってアクセスポイントを購入。 ここ最近周辺機器とか買ってなくて「何か買いたい物ないかなぁ」なんて事を考えていたのだが、今回はあまりトキメかない物を買うハメになってしまった。

選んだのはBUFFALOのブリッジモデルアクセスポイント AirStation WLA2-G54。 ルータ無し・ハブ付き IEEE 802.11g だとそれほど選択肢がない。 最近はルータ機能のついているのが主流なのか。 丸っこいデザインがダサいが我慢。

• BUFFALO IEEE802.11g 無線 LAN AirStation ブリッジモデル WLA2-G54

@ 設置

紙のマニュアルはペラッペラのが一枚。あとは注意書きの紙が数枚。 それ以外はCD-ROMに。 CD-ROM の中を見るのも面倒なので、紙のマニュアルだけでいってみる。 分かっていない人に分かり易く書こうとしてあるので、分かっている人には分かりにくい説明。

AOSSは最初から使わない。 暗号化方式は手持ちの機器・ドライバがどこまで対応できるのかわからないので、まずはWEPにしておく。

@ RTW65b の無線 LAN 機能を停止

ルータの無線 LAN 機能をまず止める。

@ Windows XP + WLI-PCM-L11GP から

現行で使っている構成から ESSID をアクセスポイントの初期設定値へ変更。 最初のテストなので一旦キー無しにし、接続できる事を確認。

@ Linux + ThinkPad X31内蔵アダプタから

DHCPがうまくとれない。なぜ?

@ Windows 98 SE を有線で接続して付属CD-ROMを使用

しかたないので CD-ROM ドライブのついている Windows 98 を起動。 付属CD-ROMをさして、エアステーション設定をしてみる。

えーと LAN 側 IP アドレスは 192.168.11.100 か (後でペラペラマニュアルを見直したら一応ちゃんと書いてあった)。

Web ブラウザから最終的に以下を設定

• 管理パスワード - 設定
• ANY接続 - 許可しない
• WEPを選択、キーを設定
• IP アドレスをRTW65bのネットワーク上の1つに固定で変更。
• RTW65b がDHCPでアクセスポイントの IP アドレスをリースしないように設定。

@ 再び Linux + ThinkPad X31内蔵アダプタから

接続成功。 そういえば今まで WEP のキー無しで接続が成功したことなかったっけか。 今度設定方法を確認しておかねば。

@ Windows XP + ワイヤレス LAN 802.11a/b/g Mini-PCI カード 31P9702

ThinkPad X31 2672-BJ9 に 31P9702 を増設。 以前にインストールしたクライアントマネージャーは削除して Windows (+ IBM 同梱ソフト?)の機能を使うように戻しておく。

@ アクセスポイントを鎮座

とりあえず場所を決めて設置。

片付け等をして結局2時間半以上かかってしまった。

• ワイヤレスLAN 802.11a/b/g Mini-PCI カード 31P... (2004-11-26)
• ルータ直結有線生活 (2004-11-25)
• MADWIFI で WPA を使うように変更 (2007-01-20)
• 納品前日なのに /var が壊れた! HDDからのブートで Debian ... (2005-09-27)
• 社内ファイルサーバの代替として TeraStation PRO を導入 (2008-06-09)

■ GnuPG の布教失敗

仕事で本社にパスワードを伝えるなければならなくなった。 メールで送るのはもちんまずいので、暗号化(必要ならば電子署名も)しなければ。

ちょうど以前 NaneyOrgWiki に GnuPG の Windows 版 (gnupg-w32) の簡単な使い方を書いたことがあった。1.2.0 の時に書いたものだったので最新の 1.4.0a で、動作確認・出力等の再ドキュメント化などをする。

で、あとちょっとまとめたらその文書のポインタを本社の担当に送って鍵ペアをまずは作成してもらって……ふとMewでメールをチェックすると……別のスタッフがパスワードをメーリングリストに流しているんやないけー。

タッチの差で間にあわなかったか。

次回からはメールでパスワードをやりとりしないように指導。

• Mew と SSH (2004-04-23)
• Linux 母艦ノート PC を使わずに仕事ができるかチャレンジ (2007-08-20)
• Linux で入力して Windows で参照できるパスワード管理ツール ... (2006-12-31)
• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)
• 自宅の無線 LAN を復旧 & IEEE 802.11g 化 (2004-11-26)

■ 普通の人向けに svnserve を立ち上げるか

開発チームでは主に svn+ssh で Subversion を利用している。

Windows ユーザは

1. 前準備「PuTTYgen で鍵ペアを生成し」「リポジトリのあるサーバ(Linux)側に公開鍵を登録」
2. 前準備「Pagent を動かして秘密鍵を指定しておく」
3. TortoiseSVN でリポジトリアクセス

という手順をとっている(参考記事)。 しかしこの方法は SSH に詳しくなかったり Linux のオペレーションとかに慣れていなかったりするユーザにはかなり敷居が高い。

最近ソフトウェア開発以外でのチームでも Subversion の利用を検討しているが、この手順だと多分萎えるはず。

SSHで暗号化するほどのセキュリティが必要ない運用なので、svnserve を起動して運用した方が楽そうだ。まだ使ったことがないけれど。

svnserve を実行する権限を気にする必要がある以外は基本的には手間なしのはず。 しかし svnserve の組み込みの認証機能を使う場合には、平文パスワード文字列を含むパスワードファイルを使う必要があるのがちょっと嫌。

• TortoiseSVN と svn+ssh (2004-07-26)
• TortoiseSVN 1.0.4 (2004-05-17)
• Unison + Zebedee (2004-06-11)
• ノート PC を持たずに会社に行きたい (2006-12-21)
• TortoiseSVN と svn+ssh な svn:externals (2004-07-23)

■ Mew と GnuPG

久しぶりに GnuPG な暗号化メールのやりとり。 PGP/MIMEではない暗号化メールって Mew で扱えたっけかと調べたら、マニュアルにちゃんと書いてあった。以前は PGP/MIME だけだったような覚えがあるのだが、勘違いだったかかなり以前の話だったか。

メモ

• 復号化/検証: C-cC-z
• 暗号化: (setq mew-use-old-pgp t) か zo して C-cC-e

入社してから名刺を作る際に Fingerprint を印刷してもらうようにしてあるんだけれど、此の方ビジネスでやりとりしている人と PGP なやりとりしたことって全くないのだよねぇ。

• GnuPG の布教失敗 (2005-02-02)
• なかなかの品質なオンライン名刺プリント (2006-05-11)
• 紙ベースのファイリング (2005-11-08)
• The roof falls in (2004-12-03)
• Mew と SSH (2004-04-23)

■ TrueCrypt で USB メモリに Windows と Linux からアクセスできる仮想暗号化ドライブを

USB メモリといえば、他人の PC とデータをやりとりする際によく使われるメディアだ。

最近どんどん大容量化していることもあり、ついいろいろなデータを入れっぱなしにしがち。

• 「ファイルをもらうのに渡した USB メモリを、受け取って確認したら見られたくなかったファイルが入ったままだった。」
• 「USB メモリにファイル入れて渡すのだけれど、今入っている見られたくないファイルを消すの面倒だな。後でまた入れておきたいし。」
• 「紛失した時が心配」

など、そのまま入れておくのは不安なファイルもある。

ということでやっぱりいくつかのファイルは暗号化しておきたい。さて何かよい暗号化ソフトウェアはないだろうか。

• Windows でも Linux でも使えること。
• データをやりとりする可能性のあるグループごとに別の領域を用意できること。
• 暗号化ソフトウェアをインストールしていない Windows PC からでも、ファイルを取り出せること (インストール不要で復号できるソフトウェアを USB メモリに一緒に入れておけること)。

で調べたところ TrueCrypt が有名らしい。Windows と Linux の両方から使えるというのが良い。

ということで試してみた。

@ Linux 版

ライセンスの関係で Debian GNU/Linux には無いので、ビルドしてインストールする。

@ ビルド

まずはビルド。

 tar zxvf truecrypt-4.2a-source-code.tar.gz
 cd truecrypt-4.2a/Linux
 fakeroot ./build.sh

@ インストール

次にインストール。apt-get install dmsetup してから ./install.sh を実行する。

 # ./install.sh
 Checking installation requirements...
 Testing truecrypt... Done.

 Install binaries to [/usr/bin]:
 Install man page to [/usr/share/man]:
 Install user guide and kernel module to [/usr/share/truecrypt]:
 Allow non-admin users to run TrueCrypt [y/N]: y
 Installing kernel module... Done.
 Installing truecrypt to /usr/bin... Done.
 Installing man page to /usr/share/man/man1... Done.
 Installing user guide to /usr/share/truecrypt/doc... Done.
 Installing backup kernel module to /usr/share/truecrypt/kernel... Done.

@ 仮想ドライブボリュームファイルを作成

ここからは実際の利用。まず最初にボリュームファイルを作成する。

 $ truecrypt -c vol.tc
 Volume type:
  1) Normal
  2) Hidden
 Select [1]:

 Filesystem:
  1) FAT
  2) None
 Select [1]:

 Enter volume size (bytes - size/sizeK/sizeM/sizeG): 128M

 Hash algorithm:
  1) RIPEMD-160
  2) SHA-1
  3) Whirlpool
 Select [1]:

 Encryption algorithm:
  1) AES
  2) Blowfish
  3) CAST5
  4) Serpent
  5) Triple DES
  6) Twofish
  7) AES-Twofish
  8) AES-Twofish-Serpent
  9) Serpent-AES
 10) Serpent-Twofish-AES
 11) Twofish-Serpent
 Select [1]:

 Enter password for new volume 'vol.tc':
 Re-enter password:

 Enter keyfile path [none]:

 TrueCrypt will now collect random data.

 Is your mouse connected directly to computer where TrueCrypt is running? [Y/n]:

 Please move the mouse randomly until the required amount of data is captured...
 Mouse data captured: 100%

 Done: 125.85 MB  Speed: 15.66 MB/s  Left: 0:00:00
 Volume created.

基本的にはデフォルトで OK。確保容量とパスワードはそれぞれ決めて入力する。

@ 仮想ドライブをマウントしてみる

マウントポイントを作成してマウントする。 自分の場合ロケールを ja_JP.UTF-8 にしているので、日本語ファイル名を読み書きするために -M utf8 しておく必要がある。

 cd
 mkdir mnt
 truecrypt -M utf8,fmask=133 -u vol.tc mnt         # マウント
 Enter password for '/home/naney/vol.tc': # パスワード入力

マウントができたら後は普通に読み書きができる。読み書きが終わったら、truecrypt -d でアンマウント。

 truecrypt -l         # マウントされているもののリスト
 truecrypt -d mnt     # アンマウント

@ Windows 版

Windows 版は truecrypt-4.2a.zip を展開して、中に含まれているインストーラを使ってインストール。

TrueCrypt を起動して、先ほど作成したボリュームファイルとつけたいドライブ名を指定してマウントすると、うまく中身を読み書きすることができた。

@ トラベラーモード

また TrueCrypt にはトラベラーモードというものがある。 メニューから [Tools] -> [Traveller Disk Setup] を実行して、指定したいメディア(ディレクトリ)に、インストールせずに実行するのに必要なファイル群を配置することができる(オプションで autorun.inf を作ることも可能)。

これを実行して USB メモリに TrueCrypt を入れておけば、TrueCrypt をインストールしていない Windows PC 上でも TrueCrypt をトラベラーモードで実行してマウントできるようになる (ただし、管理者権限が必要)。

@ これから

母艦である Linux BOX からアクセスできるというのが便利。 Linux BOX に USB メモリを挿した後、truecrypt でマウントして Unison で同期してアンマウントまでの一連の処理を流れ作業でできるようにしたい。

• xyzzyを読み取り専用メディアから起動する (2004-07-28)
• Debian GNU/Linux で Dropbox (2008-09-16)
• Unison + Zebedee (2004-06-11)
• Linux で入力して Windows で参照できるパスワード管理ツール ... (2006-12-31)
• Windows でも Linux でも動くタスク管理ツール Task Coach (2006-01-12)