WindowsでL2TP/IPSecで証明書ベースの認証を行うときの注意点

WindowsでL2TP/IPSecを使ったVPNを構築していて証明書関連でハマったのでメモ。

機器構成はVPNルーター1台とWindows XP/7の２台のクライアントだけ。VPNルーターで簡易なCA（認証局）が稼働していて、そのCAが発行した個人証明書を各Windows機にインストールしてL2TP/IPSecの認証に使用する。今回はCAは自己署名をしているので、CA証明書も併せてインストールした。

現象
VPN接続を開始するとすると以下のエラーが出る。

Windows XPの場合：

エラー　786: このコンピュータには、セキュリティの認証に必要な、有効なコンピュータ証明書がないため、L2TP 接続に失敗しました。

Windows 7の場合：

エラー 766: 証明書が見つかりませんでした。IPSec 上で L2TP プロトコルを使う接続では、コンピューター証明書をインストールする必要があります。

Vistaは確認していないけど、たぶん7と同じだろう。エラーメッセージを素直に解釈すると、どうやらコンピューター証明書と言うのをインストールしなければならないようだ。なんだそれ？どの証明書だ？

対策
このエラーが出た場合は認証に使用するVPNクライアント用の証明書のインストール先が間違っている場合がある。通常はコンピューターの証明書ストアにVPNクライアント用の証明書をインストールする。これはマイクロソフトのKB314831でも書かれている。

上記のKBの通りにしても解決しない場合は（今回はそうだったわけだが）、VPNクライアント用の証明書を、現在のログイン中のユーザーの「個人」の証明書ストアと、ローカルコンピュータの「個人」の証明書ストアの両方にインストールしてみてほしい。また、ルート証明書も同様に両方の「信頼されたルート証明機関」にインストールする。これで認証がクリアできる場合がある。

つーか「コンピューター証明書」ってローカルコンピューターの「個人」の証明書ストアにインストールされたVPN認証に使う証明書の事だったのか。始めはローカルユーザーの証明書ストアにVPN用の証明書をインストールしてたから迷った迷った。エラーメッセージに惑わされてハマっている人もいるんじゃないかと。

設定は簡単だが、その設定にたどり着くまでが長い。知っていれば3分。知らなければ3時間。それがWindowsクオリティ。豆知識、プライスレス。

Windows Server World最終号の厚さを計測してみた

本屋で12月号でWindows Server Worldの12月号を買ってきた。今までブックオフで買ってきた罪滅ぼしのつもりで、最後ぐらい本屋で買っておこうと。で、実際に本屋で雑誌を手に取ると、ものすごい違和感があった。紙面が薄いのだ。ペラペラなのだ。今までの半分くらいの厚さに感じたのだ。

文化の日のことをすっかり忘れていて暇だったので、手元にあるバックナンバーの厚さを計測してみた。マイクロメーターがぶっ壊れてたのでノギスを使った。（マイクロメーター高かったのに...orz）

計測結果

• 3月号11.25mm
• 5月号　11.3mm
• 8月号　9.9mm
• 9月号　11.25mm
• 10月号　8.7mm
• 12月号　7.2mm

最終号がダントツで薄い。暑さ半分、お値段そのまま。 まぁ仕方ないか最後だし。近頃はノンノンだかアンアンとかの女性ファッション雑誌は広告が減っちゃって半分以下に薄くなってるそうな。もちろんお値段そのままで。しかし、最近奴らはオマケが増えて厚さだけは盛り返しているらしい。オマケで釣るってのは小学一年生とかの子供向け雑誌の付録と同じだな。閑話休題。

最終号を読んで

最終号は今までと違う雰囲気で面白かった。特集記事は普通だったのだが連載記事がお通夜っぽい雰囲気になっていて、ほぼすべての連載で原稿を書く苦労と編集者への感謝の言葉が書かれていた。普段、私が何気なく読んでいる連載もライターが原稿を書いて、編集者がライターとやり取りして、図を書く人がいて....たくさんの人の手間や苦労の上に成り立っていたんだと実感した。モノを作るにはたくさんの苦労が詰まっているんだなと。

ずっとブックオフで買っていてすみませんでした。真面目に罪悪感があるよ。

Windows Server Worldが休刊になった

突然の訃報。Windows Server Worldが休刊になったそうだ。プレスリリースはこちら。現在、店頭にある12月号が最後になるそうだ。

愛読していた技術系雑誌が休刊になるのは本当に悲しい。BSD Magazine, UNIX Magazine, Network Magazine...まぁ他にもいろいろあるけど、「あの雑誌があったから今の自分がある」と言える様な良質な雑誌はほとんど休刊になってしまった。

Windows Server WorldはいつもBookoffで半額で買っていた（なぜか毎月、最新号が置いてあった）ので、最後ぐらいは定価で買っておこう。つーか5年分くらいの連載が詰まったDVDを出してほしいな。絶対買うからさ。

最強の耳栓MOLDEX SPARK PLUGSをゲットした

先日、薬局でMOLDEX SPARK PLUGSという耳栓をゲットした。かなりいい感じなので簡単なレビュー。
この耳栓はウレタン系の指で潰してから耳に入れるタイプ。サイズが大きめなので、よく薬局で売られているサイレンシアとかを愛用している人には少しキツく感じるかもしれない。遮音性能はウレタン系の中ではトップクラスに属すると思う。他の耳栓が遮断できない人の声をキッチリ遮断してくれるのが嬉しい。どれくらいの遮音性能かというと、オフィスで使っているときに5m後ろから呼びかけられても気付かないくらい。NRR (Noize Reduction Rating)は33dbと普通だが、カタログスペック以上の遮断性能があるように思える。

サイレンシアとかの遮音性に満足できない人はこっちを試してみることをオススメする。ただし、サイズが大きめなことと、開封時にウレタン臭さが酷いので注意されたし。価格は500円くらい。

長年に渡り数々の耳栓を試して来たがやっと理想に近い耳栓に出会えた気がする。とりあえず買い占めに行ってきます。つーか米国ではこんなもんも売ってるらしいから買っちゃおうかな。
どーんと500ペア入り。1ヶ月に1ペアを使ったとしても40年は持つ。つーか40年もしたらウレタンが劣化するか。

Logitech TrackMan Wheelを買った

新しいトラックボールを購入した。今まで使っていたトラックボールは使い始めてから15年。そろそろ新機種を買ってもいいかなと。今まで使っていたのはコレ。機種はLogitechの初代Trackman Marble。LogitechがLogicoolのブランドを日本で展開する前に買っているので、ロゴがLogitechになっているのはご愛嬌。たしか買ったのは95年で、LogitechがLogicoolのブランドを使い始めたのは97年くらいではなかったかと。

さすがに10年以上使っているとあちらこちらにガタが出てくる。センサー系は光学式なのでローラー等の劣化は無いが、ボールを支持する球が摩耗する。これは東急ハンズで買ったルビー球に交換済み。ボタンのスイッチ類は4年くらい使うとヘタってくるけど、他のマウスから移植して延命してしのいで来た。

ちなみに、職場ではTrackMan Marbleの進化系であるTrackMan Marble+を使っている。コイツは99年に買ったのでもうすぐ10年目。
両方ともまだまだ現役で使えるんだけど、インターフェースがPS/2でしかもUSB<->PS/2変換ケーブルとの相性もあまり良くないのが弱点。

で、買ったのはTrackMan Wheel。お値段5000円。今は「TrackMan Marble」という製品名は別の製品で使われているのでちょっと混乱した。
旧機種（14000円）と比べると、価格が安くなった分いろいろな所に影響が出ている。特に旧機種よりもボールの動きが重く感じられるのには参った。支持球の直径が大きくなっているようでボールとの接地面積が増えているためと思われる。とりあえず支持球にキーボードマニア必携のスムースエイドKTを塗ってみたけどあまり変わらないし。もう少し様子をみてダメなら支持球を交換するしかないか。

正直、Logitechには頭が下がる。15年も基本コンセプトが変わらない製品を売り続けるってのはすごく大変な事。これは初期のコンセプトや設計がしっかりしていたおかげだろう。今後もこのシリーズは継続してほしいな。

Windows Server 2008 R2 Datacenter Editionの価格が安すぎる件

Windows Server 2008 R2の価格が気になったので調べてみた。マイクロソフトはエンタープライズ向けの価格表はパートナー向けにしか出さないので調べるのも面倒だ。とりあえずググって見つけたのはこちら。

ボリュームライセンスの価格体系がすごいことになっているので以下に抜粋する。

• Windows Server 2008 R2 Datacenter： 463000円
  
• Windows Server 2008 R2 Enterprise ： 454000円
• Windows Server 2008 R2 Standard ： 140000円
• Windows Server 2008 R2 Foundation ： OEMのみ
• Windows Server 2008 R2 for Itanium-based Systems： 463000円
• Windows Web Server 2008 R2 ： 77500円

Datacenter Editionの価格が46万円。しかもEnterprise Editionとの価格差が9000円。これ見たときマジで"0"の数を数えてしまったよ。Datacenter Editionは付属してくる仮想インスタンスのライセンス数が無制限なので、Datacenter Editionを1本とチョー早いマシンを1台買うだけで、そのマシン上では何台もの仮想Windowsマシンを動かす事ができてしまう。仮想マシン用に追加のWindowsのライセンスは買う必要はない。

私の周りでは仮想化関連はイマイチ盛り上がりに欠けている ー認証局はHSMの制限で仮想化できない事が多いー が、これだけコストパフォーマンスが良いと、お客さんから「仮想化に対応できないの？」とか普通に言われてしまう日も近そうだ。ちょっとだけ覚悟しておこう。なお、Datacenter Editionはボリュームライセンスのみで提供され、パッケージでは購入できないので注意すべし。

つーか、まだItanium版もあるのか。x86版を廃止してItanium版を残すってのはどうなんよ。

Windows展開サービス（WDS）を使ってWindows Server 2008をPXE bootインストールする

前々からやりたかったWindows Server 2008のネットワークインストールをやってみた。Windows系でPXEブートインストールするには、Windows Server 2008に標準で付属する「Windows 展開サービス（以下、WDS）」を使う。セットアップは簡単なので省略。とりあえずハマった点などをメモ。

• WDSを実行するサーバーは、ドメインのメンバーサーバーか、ドメインコントローラーになる必要がある。ドメインコントローラーになる場合は、ADDS, DNS, DHCPをセットアップする必要がある（面倒だ！！）
  
• 用意するイメージは2つ。標準で用意されているのは以下の2つ。
  インストールイメージ：Windowsのインストールディスクの\sources\install.wim。Windowsのインストーラーのイメージ。
  ブートイメージ：Windowsのインストールディスクの\source\boot.wim。Windows PEのイメージ。
  
• Windows PEにドライバを組み込んだり、インストールを完全に自動化する場合は、Windows Advanced Installation Kit (AIK)を使う。MSからダウンロード可能。
• PXE bootでセットアップしたマシンは自動的にドメインのメンバになる。（余計なお世話だ！）
  

実際にPXE bootでインストールする手順は以下の通り。

1. インストール対象のマシン（以下クライアント）がPXE BootのDHCPシーケンスでIPアドレスを入手。
2. クライアントがWDSを実行するマシンから、TFTPでpxeboot.comをダウンロード
   （その後、タイミング良くF12キーを入力しないと先に進まないので注意！！）
   
3. クライアントがWDSを実行するマシンから、Windows PE（下記、boot.wim）をダウンロード＆起動
4. クライアントで、WDSの動作するサーバーのユーザー名＆パスワードを入力。これはCIFSでインストールイメージをマウントするため。
5. あとは、普通のインストールと同じ。

WDSは他にも色々なオプションがあって便利と言えば便利なんだが、ADDSの環境が必須になる点やセットアップしたOSがドメインに参加してしまう点（AIKでカスタマイズすれば回避できるかも）などは不便を感じた。単なるCD-ROMの代替として考えているならば、ちょっとお勧めできないかも。

参考URL：

• Windows Server 2008 Help -- Windows展開サービス

HSMと秘密分散技術 (Secret Sharing Scheme)

仕事で使っているnCipherのHSMには、OCS (Operator Card Set) protected keyという、ICカードを使用した認証を行なわないと鍵を使用出来ないようにする機能がある。前々から実装に使われている理論が気になっていたので軽く調査してみた。

まずは、簡単にOCS protected keyの説明。OCS protected keyは鍵を使用する際にICカードによる認証を強制する機能だ。nCipherのHSMではOCS protected keyを作成するときに、K of Nというパラメーターを指定する。Kは認証時に必要なICカードの数を表しており、NはICカードの総数を示している。

例えば、あるOCS保護鍵を作成したときに2 of 3のパラメーターを指定したとする。この場合、その鍵を使用する際は３枚（N=3のため）のうち最低２枚のICカードによる認証をパスする必要がある（K=2のため）。カードが1枚しか無い場合は鍵を使用する事ができない。実際の用途としては、「ある書類にデジタル署名を行なうには、担当者2名による承認が必要。予備カードが1枚必要」といった用途に使用できる。

で、実際にどのような理論を用いているのか調べてみると、どうやら「秘密分散技術」 (Secret Sharing Scheme: SSSと略される）というジャンルの技術を使っているらしいことが解った。ちなみに、この分野のブレイクスルーは1979年にShamir大先生（RSAの"S"の人ね）とBlakleyと言う人が別々の論文を発表したことによって起こったそうな。Shamirは多項式補完に基づいており、Blakleyはベクトル空間に基づいているらしい。nCipherのHSMが実際にどんなアルゴリズムを使っているかは解らないが、振る舞いから推測するに、「(k, n)しきい値法」に属するアルゴリズムを使っているのは間違いなさそうだ。

理論の中身もチェックしてみたが、サッパリ解らなかった（ガロア理論とか初等整数論とか出て来ちゃってさ...orz）。でも、情報理論的安全性が確認されているらしいので安心して使っていいとのこと。

やっぱり暗号関連は真面目に勉強して行くと初等整数論にぶつかるなぁ。なんとかしないと思いつつも、手を出しにくい分野だよ。

Globalsignの「パブリックルート署名サービス」がウハウハな件

体調を崩していたので久しぶりの更新。最近はダルくてダルくてBlogどころではなかった。今は完全復活です。

さて、今回もPKIネタ。9月1日よりグローバルサインが「パブリックルート 署名サービス」というサービスを開始した。このサービスは、グローバルサインのCAが、一般の会社の社内などに設置してあるプライベートCAのCA証明書に署名を打ってくれるサービスだ。米国ではずいぶん前から提供されていたので、やっと日本でも使えると考えるとウハウハしてしまう。

で、このサービスの何が嬉しいのかというと、「自前プライベートCAがマイクロソフトのルート証明書更新プログラムでCA証明書が配布されているCAの下位CAになる事ができる」という点に尽きる。グローバルサインのルート証明書はIEの信頼できるルート証明期間の一覧に始めから入っているので、このサービスを使用したCAが発行した証明書は世界中のどのWindowsマシンでも自動的に信頼できる証明書として取り扱ってもらえる。しかも、特に発行できる証明書の制限は無さそうなので、自前のCAで個人向けの証明書やコードサイニング証明書などもバンバン発行できる。これはウハウハするでしょう。用途広すぎ。

1点だけ気になるのが、このサービスをやる事によってグローバルサインのルートCAが、WebTrust for CAの認定とMSのルート証明書の配布要件に抵触してしまい、ルート証明書の配布が行なわれなくなってしまうのではないかということ。米国ではずいぶん前から提供しているので問題はないとは思うのだが、、、うーん微妙にグレーゾーンな気がする。

たぶん下位のCAには、CP/CPSの要件やHSM (Hardware Security Module)を使った鍵の管理の義務、監査を受ける義務、サーバーの設置場所に関する要件などのそれなりのヘビーな内容が求められる可能性はある。まぁ、得られる利点を考えると納得はできるのだが、お手軽にパブリックCAを構築できるサービスであるとは言えなさそうだ。

これ、あまりにも便利すぎるので自社でも真面目に検討してみることにする。残る問題は価格だよな。課金体制がよくわからないので、実はものすごーーーく高かったりするオチがあるかもしれない。

総務省の調達公募 -- 21年度電子署名・認証業務利用促進事業（暗号アルゴリズムの移行等に関する調査研究）--

総務省が「平成21年度電子署名・認証業務利用促進事業（暗号アルゴリズムの移行等に関する調査研究）」の調達を公募している。暗号アルゴリズムの移行に関する調査の公募だそうな。興味のある方はご覧あれ。

調査のテーマは、暗号アルゴリズムの移行に関する技術面・制度面の調査、海外のGPKI関連の動向の調査、利用者による PKI 署名鍵保持の安全性に関する調査研究、の4つとなっている。全体的には暗号2011年問題と日本のGPKIの今後の動向のための基礎資料の調査と言った感じになっている。

この中で、ムムムっとなったのが、最後の「利用者による PKI 署名鍵保持の安全性に関する調査研究」だ。以下、調達仕様書より抜粋する。

本テーマでは、今後の電子署名における署名者の選択肢として、①署名者に署名鍵を持た
せ、署名者個人の管理、利用環境で署名すること、②サーバで署名鍵を保管し、署名者の指示によって
署名すること、という 2 方式における、技術面、コスト面、安全面での想定されるメリット、デメリットの調
査・分析を行う。

なるほどね。今は住基カード等では署名用の鍵はエンドエンティティが持つスマートカード内に保存しているが、それをサーバー（総務省内の？）側に保存するってことか。鍵はリモートに保管されているので、鍵を保管している組織がエンドエンティティの鍵を勝手に使う事が出来ないようにしなければならないし、適切なユーザーのみが鍵を使用できるようにしなければならない。
うーん。これは難しい。何となく実装のイメージは湧くが....うーん。サーバー側ではHSMを使うことになるだろうし....うーん。というか、ユーザーにとってのメリットって何なんだろう。というか、どんなアプリで使うんだろう。よくわからんくなったぞ。

JNSAのの情報セキュリティ市場調査報告書

JNSAが平成20年度 情報セキュリティ市場調査報告書を公開している。興味のある方はご覧あれ。

とりあえず、暗号関連だけに着目して、2008年度の動向を簡単に概要をまとめると、

• セキュリティ業界全体の市場は7267億円程度。6.1%程度の成長率。
• 上記のうち暗号関連市場は、381億円程度。12%の成長率。
• 他のセキュリティ分野と比較して暗号製品の市場の伸び率が一番大きい。
  

でもって2009年度（予測）は、

• セキュリティ業界全体の市場は6873億円程度。-5.4%の成長率。
• 上記のうち暗号関連市場は、392億円程度。3%の成長率。
• 暗号製品の市場のみがプラス成長だった。
  

こんな感じ。暗号業界は400億円程度で決して大きなパイとは言えないが、成長している分野だと言うのはうれしいことだ。

世間では、IT関連全体の市場が12兆円とか言われており、そのうちのセキュリティ全体の市場は7000億円で全体の6%程度。多いんだか少ないんだか微妙にわからんな。

パソコン時の姿勢とIKEAのPOANG（椅子）

長年使っていたPC用の椅子が壊れたので、IKEAに行ってPOANGというアームチェアを買って来た。買ったのはコレ。Webでは出ていないが、一番安いモデルだと7800円から購入できる。もちろん買ったのは一番安いモデル。

前々から思っていたのだが、よく言われる椅子に深く座って背筋を延ばす、いわゆる「正しい姿勢」と言うのは長時間のパソコン作業には全く適していない。長時間この姿勢をしていると、目が疲れ→画面に顔が近づく→首が疲れる→腰が疲れると言うように、頭の先からダメージが蓄積してきて長時間集中力を維持する事が難しい。

ここら辺の事情はOA家具メーカーも解っているらしく、OA家具の大手の岡村製作所では低座・後傾姿勢に対応したクルーズ＆アトラスという製品を出している。低座・後傾姿勢というのは、車のシートに座っているような姿勢や歯医者で治療の際に座る椅子をイメージしてもらえればいい。足を前方に投げ出して上半身を後方に倒す。一見するとダラけているように見えるが、長時間のパソコンの作業ではこの姿勢がベストだ。

実は、私は腰痛があるので、職場では椅子を（勝手に）改造し、低座・後傾姿勢を取っている。この際に苦労したのは以下のような点だった。

• 天井の証明が目に直接入る
  後傾姿勢では天井の照明からの光が直接目に入りやすい。蛍光灯を見続けると目が疲れるのと同じように疲労を蓄積する原因となる。できれば150cm程度の高さのパーティションがあるといい。私は段ボール箱を積み上げて壁を作った。
• 首のサポートが無いと辛い
  ただ単に後傾姿勢をしただけでは、首に負担がかかってしまい、余計に辛くなってしまう。首が辛い場合は、後傾具合を弱く（つまり垂直に）するといい。また、背もたれの高さは一番高くすると良い。
• 机の高さ
  後傾姿勢では、キーボードは太腿のすぐ上あたりにあった方がいい。通常のオフィス机では高さがかえられないので、椅子の高さで調節するのがいいだろう。
• フットレスト
  後倒姿勢にはフットレストが必須となる。足だけ下になると膝の裏側の血行が悪くなってシビれてきたりする。私はちょうどいい高さの段ボールを足元に設置してその上に足を乗せている。
• 書き物には適していない
  後倒姿勢は机の上で書き物をするのには全く適していない。パソコンの作業のみが快適に行なう事が出来る。この点に関しては、完全に諦めた。
• 眠くなる
  リラックスしすぎて眠くなる。これはどうしようもない。
  

さて、肝心のPOANGの座り心地とパソコン作業との相性だが、4時間程度のPCを使った感じでは特に問題は感じられなかった。上記の職場での作業環境とは比較にならないくらい快適だ。ただし、付属のソファではお尻が暑くて汗をかいてしまうのが欠点。夏は辛いかもしれない。IKEAのPOANGはお尻が暑いのに耐えられる人ならば、コストパフォーマンスも高いのでオススメできる。

Vistaでの信頼されたRoot証明書の自動入手の件

先日のエントリーに書いたMSのRoot証明書の配布要件の文書に以下のような記述があった。

Root certificates are updated on Windows Vista automatically. When a user visits a secure Web site (by using HTTPS SSL), reads a secure email (S/MIME), or downloads an ActiveX control that is signed (code signing) and encounters a new root certificate, the Windows certificate chain verification software checks the appropriate Microsoft Update location for the root certificate. If it finds it, it downloads it to the system. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes.

Vistaでは信頼された証明書のリストは、証明書の検証時に自動的にダウンロードされるようだ。気になったので、IEでSSLしているときのCAPI2のトレースログを引っ張り出してきて、チェックしてみた。

確かにパス検証のときに、このURLにアクセスしてauthrootstl.cabを入手しているようだ。

このURLをIEにコピペしてダウンロードしたファイルauthrootstl.cabを展開すると、authroot.stlという証明書信頼リスト(CTL)が入手できる。コイツを開くと以下のように詳細が表示される。

あれ？「リストに署名されている証明書が有効ではありません」ってエラーが出てる。なんだこりゃ。でもって、右下の「署名の表示」を押すと、以下の画面になる。

あぁ、このCTLはAuthenticodeで署名されてるのか。しかも副署名がついてるって事は、なんちゃってタイムスタンプつきか。署名用の証明書と、タイムスタンプ用の証明書をチェックしたところ、両方とも「証明書は要求された使用法では無効です」エラーが出ているようだ。

念のためsigntool.exeで検証してみたけど同じ。

c:\Program Files\Microsoft Platform SDK\Bin>signtool.exe verify c:\temp\authroot.stl

SignTool Error: The signing certificate is not valid for the requested usage.

This error sometimes means that you are using the wrong verification

policy. Consider using the /pa option.

SignTool Error: File not valid: c:\temp\authroot.stl

Number of errors: 1

Authenticode周りは全然詳しくないのでよくわからなくなった。もうちょっと調べてみるか。

Microsoftのルート証明書の配布要件

Microsoftのルート証明書の配布要件が2009年1月にちょこっと改定されていたようだ。資料はこちら。ちゃんと読んでないので、そのうちまとめるつもり。

DQ45CBのBIOSアップデート0085

DQ45CBのBIOSがアップデートしてた。これで、BIOSアップデートのNew Fixes/Featuresの合計が104件になった。更新箇所は以下の通り。

• Implemented the F7 Flash BIOS Update feature.
• Fixed issue where system locks during DHCP when LAN drivers are loaded from floppy image via IDE-R.
• Fixed issue where E7600 processor frequency is displayed wrong in BIOS Setup.
• Fixed issue where VTD Test fails: The MMIO base for the PCI devices should be 4KB alignment.
• Updated VBIOS to V1800.
• Updated PXE boot agent to Intel Boot Agent v1.3.27.

毎月恒例だけど面倒くさすぎる。

Microsoftのknowledge BaseのRSS

MSのKB (Knowledge Base)のRSSを探していたら、プロダクトごとのRSSの一覧のページを見つけた。便利すぎ。

Active Directoryを使う時のファイアウォールの設定

Active Directory関連のシステムを構築する際にファイアウォールの設定に泣かされる事が多い。どのポートを開けなければ行けないかが微妙にクリアになっていないためだ。MSのTechnetにWindows Server 2008 R2のADDSが使用するポートの一覧があったので記載しておく。

Active Directory and Active Directory Domain Services Port Requirements

PKI Day 2009に行って来た

6/24にJNSAのPKI Day 2009に行って来た。今年もいい話が聞けた。当日の講演資料はこちらでダウンロードできる。当日行なわれたセッションは全部で8つ。特に面白かったのは、木村泰司氏の「PKIの標準化動向とリソースPKI」、神田雅透氏の「政府機関及び金融機関のSSLサーバ暗号設定に関する調査結果について」、渡辺 清氏・浅野昌和氏の「Windows 7とWindows 2008 R2で実現するPKI」の3つ。

「PKIの標準化動向とリソースPKI」のセッションでは、2008年6月に採択されたRFC 5280の解説だった。5280は読まなきゃなぁと思ってたところだったので、ちょうどいいタイミングだった。ちなみに、IPAが日本語訳を出してくれている。ありがたや。

「政府機関及び金融機関のSSLサーバ暗号設定に関する調査結果について」のセッションでは政府機関のSSLサーバーで使われている暗号アルゴリズムを調査した結果をまとめた物だった。特に、政府期間にSSLで繋ぐときに、IE7 + Windows XPでは85%がRC4-MD5で接続してしまったりで、かなり危ない感じ。IE7 + Vistaではここらへんが改善され、55%がAES128-SHA1で接続しているそうだ。Windows 7も出る事だし、さすがにXPの時代は終わったように思える。

「Windows 7とWindows 2008 R2で実現するPKI」のセッションではWindows Server 2008 R2とWindows 7でのPKI関連の話だった。大半は、以前紹介した資料の焼き直しだったが、Globalsignの人によるHTTP登録機能のデモがありとても参考になった。MicrosoftのPKIはWindows 2000, 2003, 2008, 2008 R2と順調に進化しているように思える。Microsoftの本気具合は十分に感じる事ができた。

全体的には非常に有意義な一日となったと思う。参加者も100名を超えるくらいはいたと思うし、日本におけるPKIのカンファレンスとしては、すでに定番になっているように思える。来年も参加したいな。

Interop Tokyo 2009に行って来た

Interop Tokyo 2009とRSA Conference 2009の展示会に行って来た。今年は6/10, 6/11, 6/12の3日間で、130,000人（主催者による発表）の来場者があったそうな。最終日の午後に行ったのだが、混雑と暑さで3時間程度でヘトヘトになってしまった。

セキュリティ関連の展示で各社が積極的にプッシュしていたのは、電子メールの暗号化＆管理ツールとログの管理ツールだった。各社ともコンプライアンスの観点からこられのソリューションをプッシュしており、J-SOXやPCI-DSSの関係で需要が伸びてきているそうだ。また、ワンタイムパスワードトークン関連の製品も少しだけ展示されていた。

個人的に興味を引いたのが、株式会社インターネット総合研究所のPHYSECという製品。この商品は光通信量子暗号方式Y-00, AlphaEtaというのを使って、光ファイバー線の物理層レベルでの暗号を行うものだった。ファイバーに通る光に雑音みたいなものを添加して、光ファイバーを通る光自体を読み取っても通信内容が分からないというしくみらしい。今のところは開発段階で、米国のNuCrypt社と共同開発（？）をしているらしい。市場に出るのは少なくとも数年は先になるそうだ。

ちなみに、展示されていたNuCrypt社のプロトタイプには、「Bob」と「Alice」というコネクタがあって、暗号ネタ的に笑えた。

後は、仮想化、10Gbitイーサネット、WiMAXの展示があったくらいで特に目新しいものは無しでした。

5月25日のMicrosoftルート証明書の更新

久しぶりにWindows Updateを起動し、追加選択パッケージのアップデートをしてみたところ、「Update for Root Certificates [May 2009]（ルート証明書の更新プログラム[2009年5月]）」というのがあった。対応するKBは、KB31125 : Microsoft root certificate program members (February 2009)... あれ？2009年2月って書かれてる。誤植かね。

また買ってしまったD945CGLF2D

またD945GCLF2を買ってしまった。今回買ったのは、型番のお尻に"D"がつくビデオ端子が省略されたバージョン。今回のお買い物は、

• マザーボード+CPU：D945GCLF2D 8000円
• ケース：SCYTHE BM639 8900円
• HDD：HDT721010SLA360(1Tbyte) 7200円
• メモリー：ノーブランドDDR2-800 2000円

合計で26100円。SCYTHE BM639のケースが安かったのがありがたい。実は安いのには訳があって、このケースは電源の排気がケース内でグルグル回ってような感じになっており、スムースにケース外に排出されない。おまけにケースファンが標準でついていないもんだから、そのままだとCPU温度が90度くらいに上がってしまう。極めつけは電源ファンの音が結構うるさい。なんでこんな設計になっているんだろう...
静穏PCとかには全く興味がなく、そこそこ小さいケースが欲しい人にはオススメかも。

ってBlogを書いているうちにCentOSのネットワークインストールが終了。Linuxのインストールも簡単になったもんだ。

新たなSSL証明書販売業者

ジェイサート株式会社が格安なワイルドカード証明書の販売を開始するらしい。この会社の特長は、ロードバランサーを使う場合でも、ロードバランサーの台数分だけ証明書を買えばいいと...今までは、ロードバランサーの裏にあるWebサーバーの台数によって課金されていたからなぁ。

日経BPのニュースリリースによると、証明書のラインナップと値段は以下の通り。全て1年の場合。

• スタンダードSSL シングルドメイン：　26,520円
  
• スタンダードSSL 複数ドメイン：　78,570円
• スタンダードSSL ドメイン無制限：　131,250円
• デラックスSSL シングルドメイン：　52,500円
• デラックスSSL 複数ドメイン：　105,000円
• デラックスSSL ドメイン無制限：　157,500円

たぶん、スタンダードSSLがドメイン認証で、デラックスSSLが企業認証だと思う。EV証明書は2010年で提供開始ということだ。価格体系を見ると、RapidSSLみたいに低価格路線ではなく、GlobalSignのような路線を目指しているようだ。ちなみに価格はGlobalSignの3割引と言った感じ。ドメイン無制限＆ロードバランサで1枚という価格体系は嬉しい会社にとっては凄く嬉しいんじゃないかな。

IEのCRL取得失敗時の警告

OCSPレスポンダで遊んでいるときに気づいたのだが、IE7/8はSSL通信時にCRLの取得に失敗した場合でも、証明書を正常なものとして取り扱ってしまうようだ。気になって調べたところMicrosoftからKBが出ていた。「KB946323 Internet Explorer 7 does not send you any notification if it cannot obtain the Certificate Revocation List」

警告を出す事はできるけどデフォルトでは出ないと。うーむ。デフォルトで出した方がいいと思うんだが...

iSCSIが遅かった理由

先日からiSCSI + ESXiの環境を組んでいたのだがiSCSIディスクアクセスの速度が妙に遅くて困った。1000Base-Tなのに120Mbps程度しか出ていない。明らかに異常なのでトラブルシューティングをしてみた。

環境：

• iSCSI Target : D945CGLF2 + Realtek 8111D（オンボード）, NetBSD 5 Xen DOMU上のiSCSI Target
  
• iSCSI Initiator： Intel DQ45CB , Q8400, Intel 1000/PT (PCI-Express) ESXiをインストール
  
• その他：Apple Macbook Late 2007, Marbell Yukon 2, Mac OS X 10.5をインストール
  

問題は、iSCSI Targetと Initiator間の速度が出ない事。

iSCSIでベンチマークを取るとディスクアクセスに性能が引っ張られてしまうので、今回はUNIX系ではおなじみのネットワーク帯域測定ツールのnetperfを使って速度を計測した。Macbookをサーバーとし、各マザーに色々なOSを入れて計測してみたところ以下のような結果になった。

D945CGLF2 + NetBSD 5 amd64 Xen DOMU : 　120Mbps
D945CGLF2 + NetBSD 5 amd64 Xen DOM0 : 　110Mbps
D945CGLF2 + NetBSD 5 amd64 Xen GENERIC Kernel : 440Mbps
D945CGLF2 + CentOS 5 amd64 Xen DOMU : 200Mbps
D945CGLF2 + Puppy Linux 4.2 i386: 840Mbps
DQ45CB(Intel 1000/PT) + Puppy Linux 4.2 : 680Mbps

うわぁ。120Mbpsってなんだよ....NetBSD Xenとの相性が最悪じゃん。コリャダメだ。ファイルサーバーをXenにしたのは間違いだったか。NetBSD 5 + Generic kernelでもあまり速くないし、NetBSDは全般的に遅めの傾向。iSCSI TargetはLinuxで組み直そうかな。

この中ではLinux + D945CGLF2が一番速い。CPU負荷が若干高くなるような気がするけど、これだけ速度に差があるとそれも許せてしまうかも。Realtekは悪い意味で有名だったけど少し考え直そう。枚数を用意するときはコレでもいいかも。

IIS7によるTLS Staplingを使った失効情報の配布

IIS7とIE8の環境でOCSPのサポートがどんなもんかなーっと調査していたら、失効はうまく認識するのに、一向にOCSP(via HTTP)通信をしている気配が無い。散々いじくった結果、IISがTSL Staplingを使用して失効情報を配布していると言うことがわかった。そんな裏ワザがあったとは！

環境はこんな感じ

• Windows Server 2008 EE SP1
  * ADDS
  * ADCS
  Enterprise CA
  OCSP Responder
  * IIS 7 & SSL
  SSL用の証明書は失効済み＆失効情報をOCSP Responderで配布
  SSL用の証明書にはCDPを含まない
  SSL用の証明書のAIAにOCSP拡張を含む
  
• Windows Vista SP2
  * Internet Explorer 8

この環境でIE8を使ってSSL通信をする。SSL用のサーバー証明書は失効されており、失効情報はOCSPを用いて公開されている。また、証明書にはOCSPレスポンダへのポインタしか含んでいないので、OCSP(via HTTP)で失効情報を入手するはずだ（と思い込んでいた）。実際にやってみると証明書の失効自体はうまく検出され、IEに「この証明書は失効されています」と表示される。しかし、以下の現象が私を悩ませた。

• イベントログのCAPI2の箇所を見ると、「失効の確認」のイベントでOCSPの情報を入手している。
• Microsoft Network Monitorでトラフィックを観測すると、OCSP(via HTTP)通信をしていない。
• ファイアウォールでHTTPをブロックしてもOCSP情報が取得できる。

うんうん悩んでたら、去年のPKI Dayでマイクロソフトの人が、OCSPとTLS Staplingについて話していた事を思い出したので、資料(PDF)を探してきた。TLS Staplingというのは、SSLハンドシェイク時にWebサーバーが自分自身の証明書の失効ステータスを送信する方法だそうな。

さっそく、Network Monitorで見ると....あったあった。SSLの最初のハンドシェイクの時に、「Server Hello. Certificate. Certificate Status.」を送っている。コイツだったのか...

IISは特に意識をせずにセットアップしたので、デフォルトでオンになっているということか。ちょっと探しただけでは、オフにする方法は見当たらなかった...どこだぁ。

HP Procurve Switch 1400-8G購入

100Base-TXでiSCSIを使用しているとだいたい8〜9Mbyte/Sec程度の速度しか出ない。さすがにキツいので1000Base-Tのスイッチを購入した。購入したのはHP Procurve Switch 1400-8G。通常の8ポートのノンインテリジェントスイッチでお値段は12000円。このクラスの製品では少し高い方になる。

あまり知られていないが、HPのスイッチは全製品に永久保証がついている。以前、職場の古いシャーシスイッチが故障したときは、24時間後には交換部品が到着し業務に復帰できた。特に、追加コストも保守契約の更新もなく保守が受けられるのはとてもありがたい。ちなみに、日本ではどうだか知らないが、海外ではシェアは2位なんだそうな。

さて、問題となっていたiSCSIの速度は...遅い。17MByte/Secがいいところ。まいったな。NetBSD5+ Realtek 8168B/8110Sだとジャンボフレームが使えないのか。あー、ドライバーのソースによるとこのチップのリビジョンだけMTUは1500以上は指定できないようになっとるorz...。ちなみにチップ自体は7Kbyteまでのジャンボフレームに対応しているそうなので、ドライバーの対応待ちといったところか。

DQ45CB BIOSアップデート0083

IntelよりDQ45CBのBIOSアップデートが公開された。これで今までのNew Fixes/Featuresの合計は98件になった。今回のアップデートではBIOS Update用のF7メニューと、謎の機能のF10メニューも追加になる。

New Fixes/Features:

• Added BIOS F10 menu feature.

• Fixed issue where system could not boot normally after the system

password entered with a customer logo modified BIOS generated with

Intel® Integrator Toolkit.

• Fixed issue where system does not refresh display screen when

power-button is used to bring out of S3 state.

• Fixed issue where WHQL test would fail with E5200 processor.

• Added option for F7 update BIOS menu.

• Fixed issue if USB Emulation type is set as Auto, the disk format

should depend on the media format.

• Fixed issue where splash screen disappears after the password

entry screen

• Updated processor support.

散々、キツいことを言ってきたがDQ45CBもだいぶ安定してきている。意外とコストパフォーマンスも高いし、もう一枚くらい買ってもいいかなと思っている。

牛すじ肉の煮込み方法の特許

昔、祖母が作ってくれた牛すじ肉の煮込みの作り方を探していたら、J-Tokkyo.comのページで、牛すじ肉の煮込み方法の特許というのを発見した。和牛と輸入牛のすじ肉をミックスするのが特徴で、どんぶりやおつまみに適した調理法だそうな。特許が本当かどうか分からなかったので、特許庁のページで確認したら、公開2005-312350で公開されていた。本物でした。

大量生産される加工食品や食品の保存に関する特許はなんとかイメージできるが、家庭料理っぽいものも特許が取れるとは思わなかった。その他にも、いぶり大根の漬物を使用したカレー味のいぶり大根の漬物なんていうカレーなんだか大根なんだか漬物なんだかよく分からないものまであったりする。なんでもアリに見えてきてしまった。

なお、肝心の牛すじ肉の煮込みは3時間も煮込まなきゃならないらしく作るのが面倒になってしまった。恐るべし特許。

NetBSDでiSCSI Targetを構築する。その3 ESXiでマウント編

今回はVMware ESXi 3でiSCSIをマウントする方法を紹介する。この手順もとても簡単。

1. iSCSIソフトウェアアダプタをEnableにする
2. HBAにターゲットが稼働するマシンを登録する
3. データストアに追加する。

まずは、ESXiに標準で入っているiSCSIソフトウェアアダプタをEnableにする。【Configuration】→【Storage Adapters】→【iSCSI Software Adapter】のアダプタ（vmhba33など）を選択し、【Properties】をクリック。その後、【General】タブにて【Configure】ボタンをクリックし、statusをEnableに変更する。

次に、【Dynamic Discovery】のタブに移動し、【Add】をクリック。iSCSIターゲットのIPアドレスを指定して（ホスト名は指定できない）を指定する。

最後に、【Configuration】→【Storage】を選択し、ウィザードに従ってストレージを追加する。iSCSIのストレージは【Select Disk / LUN】の画面に自動的に表示される。後は、データストアの名前を入力して終了。
肝心の使用感としては…遅い。うーん。真面目に使うにはやっぱりFC-SANが必須だわ。FC-SANなら速いしQoSも確保できるし、バックアップ系のアプリケーションも使えるし。ESXiでコチョコチョ遊ぶくらいならiSCSIでも十分だと思うが、真面目に運用するにはチョイとキツいかもしれない。ところで、ESXiはリンクアグリゲーションに対応しているそうな。スイッチを買ったら試してみるつもり。

NetBSDでiSCSI Targetを構築する。その2 Windowsでマウント編

前回の続き。今回はNetBSDで構築したiSCSIターゲットをWindows Server 2008でマウントする。Windows Vista / 2008では標準でiSCSIイニシエーターがインストールされているので問題はないが、Windows XP / 2003 / 2000の場合は、こちらからiSCSI Software Initiatorをダウンロード＆インストールする必要がある。

設定は超簡単で、以下の3つのみ。

1. ターゲットが接続されたマシンを探索リストに追加する。
2. ターゲットにログオンする
3. ターゲットをオンラインにして、パーティションを切り、フォーマットする

まずは、【コントロールパネル】→【iSCSIイニシエータ】→【探索】タブを選択。その後、【ポータルの追加】を選択し、ターゲットが稼働するマシンのホスト名（またはIPアドレス）を入力。ポートはデフォルトの3260でOK。

次に、【ターゲット】タブを選択して、【ターゲット】より"iqn.1994-04.org.netbsd.iscsi-target:target0"を選択。その後、【ログオン】を押して、ログオンする。ログオン時のオプションで【コンピュータの起動時にこの接続を自動的に復元する】を選択すると、起動時に自動的に接続する事ができる。

最後に、サーバーマネージャを起動して、【記憶域】→【ディスクの管理】を選択し、オフラインになっているディスクの上でコンテクストメニューを表示し、【オンライン】を選択。あとは、通常のボリューム作成＆フォーマットを行なうのみ。
さて、問題の速度は.....SandraのディスクベンチでNTFSを用いた場合は9MByte/Secだった。経験からすると100Base-TXの場合はまぁこんなていど。やっぱり自宅にも1000Base-Tを入れるか。Managedな1000Base-Tのエッジ系L2スイッチだと...Alied Telesis CentureCom GS908かな。ファンレンスだし。

次回はVMware ESXiでのiSCSIイニシエーターの使用方法を紹介する予定。

NetBSDでiSCSI Targetを構築する。その1 Target構築編

NetBSDはiSCSIのTargetソフトウェアが標準で搭載されている。VMware ESXiやWindowsのInitiatorと組み合わせるとものすごい幸せになれるので構築してみた。
今回は、ddで作成されたファイルをターゲットとして公開し、Windows Server 2008のイニシエーターでマウントしてフォーマットするところまでを紹介する。環境の構築手順はとても簡単だ。

1. NetBSDマシンでiSCSIターゲットを構成する
2. NetBSDマシンでiSCSIターゲットを起動する
3. クライアントマシン（例としてWindows Server 2008 SP1）でターゲットをマウントする。
4. クライアントマシンでターゲットをフォーマット

NetBSDではiSCSIターゲットが標準でインストールされており、その詳細はiscsi-target(8)とtargets(5)でmanを見る事ができる。iscsi-targetは少し前にはpkgsrc/devel/netbsd-iscsiとして公開されていたがいつのまにか本家にマージされていた。私の記憶が正しければ、実装は元々WASABI Systemが行なっていて、NetBSDプロジェクトに寄贈したんじゃなかったかと。2005年くらいには実装が終了していたような気がするので、割と安心して使用する事ができる。

iscsi-targetの設定は設定ファイルベースで行なわれる。設定ファイルのデフォルトの場所は、/etc/iscsiとなっており、サンプルとしてtargetsとauthsの2つのファイルが保存されている。targetsはiSCSIターゲットとして公開するファイル（またはデバイス）を記載し、authsはターゲットにアクセスする際のユーザー名とパスワードを記載する。

まずはiSCSIターゲットとして公開したいディスクイメージファイルを作成する。ここではファイル名を/iscsi-targets/testとし、ファイルサイズを500Mbyteとした。

$ dd if=/dev/zero of=/iscsi-targets/test bs=1024k count=500

作成が終了したらls -l でファイルの大きさを確認しておく。ファイルの大きさをtargetの設定ファイルに記述する必要があるためだ。

ls -l /iscsi-targets/test
-rw-r--r-- 1 root wheel 524288512 May 7 09:54 /iscsi-targets/test

次に、/etc/iscsi/targetsファイルを編集する。targetsファイルには以下の2行を追加する。

extent0 /iscsi-targets/test 0 524288512
target0 rw extent0 192.168.55.0/24

extent0の行には公開するファイルとそのファイルの開始位置と終了位置を記載する。オフセットを適切に指定する事によって、1つのファイル（やデバイス）を複数のextentとして構成する事ができる。今回は1つのファイルを1つのextentとしている。このため、offset は0となり、sizeは524288521となる。target0の行には公開するターゲットの名前とモード、ターゲットに対応するextentとtargetを公開するサブネットを記載する。
ここで注意するのは、extent0の行は"extent + numner"で表記されなければならず、hoge0などの勝手な名前は拒否される。同様にtargetの行も"target + number"の形式で表記する必要がある。

次にiSCSIターゲットを起動する。iSCSIターゲットの起動スクリプトは/etc/rc.d/iscsi-targetに保存されている。システム起動時に自動的に起動したい場合は、以下のようにrc.confに1行を追加しておく。

echo "iscsi-target=YES" >> /etc/rc.conf

次に、iSCSIターゲットを起動する。

bash-4.0# /etc/rc.d/iscsi_target start

iSCSIターゲットが正常に起動すると、以下のようにメッセージが表示される。

iscsi_target not running? (check /var/run/iscsi-target.pid).
Starting iscsi_target.
Reading configuration from `/etc/iscsi/targets'
target0:rw:192.168.55.0/24
extent0:/iscsi-targets/test:0:524288512
DISK: 1 logical unit (1024000 blocks, 512 bytes/block), type iscsi fs
DISK: LUN 0: 500 MB disk storage for "target0"
TARGET: TargetName is iqn.1994-04.org.netbsd.iscsi-target

ここで、注目するのはTARGET:の行で、これがこのターゲットを識別するための物となる。実際にターゲットをマウントする際はLUNと連結し、「iqn.1994-04.org.netbsd.iscsi-target:target0」としてマウントする事になる。

長くなったので今日はここまで。実際にWindows Server 2008を用いてマウントする方法は次回に記載する事にしよう。

RSA Conference Japan 2009とJNSA PKI Day 2009

6月はいろいろと催し物がある。
6/8 - 12はRSA Conference Japan 2009。行けるかどうかわからないけど、展示会と基調講演だけでも行きたいところだ。
クラストラックのうち興味があるのは、

• RC-03 サイドチャネル攻撃への対策とその副作用
• RC-06 ハッシュ関数の標準化動向 - SHA3コンテストの最新状況 -
• RC-07 電子政府と情報セキュリティ
• RC-11 Lattice-based Cryptography の最新動向
• RC-21 ストリーム暗号の標準化と最新動向

申し込みは既に始まってるので、急いで手配しないと。

6/24はJNSA PKI Day 2009も開催される。場所は今年も東京ウイメンズプラザホール。暗号なんて堅苦しい分野なのに毎年「東京ウイメンズプラザホール」ってのがちょっと微笑ましい。こちらは、まだ申し込みは始まっていないようだ。

電子署名活用ガイド＠電子認証局会議

4/30に電子認証局会議（CAC:Certification Authority Conference）が「第９回　電子署名電子認証シンポジウム」を開催していた。予定が合わずに出席できなかった。残念。今回のシンポジウムは「電子署名活用ガイド（PDF）」についての話だったようだ。連休中に目を通しておこう。

最近、こういった電子文書の配布が増えていて、パソコンで文書を読む事がとても多くなった。そろそろ電子ペーパーの導入も考えないと辛くなって来た。

NetBSD 5.0 リリース！

4/29にNetBSD 5.0がリリースされた。さっそくcvs update && make すんべさ。ついでに、NetBSDのオフィシャルブログもオープンしたそうな。

イーサネットポートにUSBコネクタが挿せる件

パソコンの背面にあるUSBコネクタにマウスをつなげようとしていたら、間違ってイーサネットポート（RJ45コネクタ）に接続してしまった。コネクタの形状は違うが普通に挿入できてしまう。試しにL2スイッチに挿してみた。
ぴったりじゃん。

富士ゼロックスのネットプリントが便利すぎる件

富士ゼロックスのネットプリントサービスが便利すぎる。このサービスはインターネットでファイルをアップロードし、セブンイレブンの複合機でそのファイルを印刷できるサービスだ。A4が1枚で20円で、印刷時にコピーと同じように支払う。プリンタを持っていてもほとんど使わない。たまに使おうとしてもインク切れ。そんな人にはベストなサービスじゃないかと。

と、いうことで長年使っていた、Cannon LBP-320を処分した。先日から印刷物に線が入るようになってしまって、ドラム＆トナーを交換すると12000円くらいするのでもういいかなと。ちなみにドラムは12000円。時代遅れのプリンタに12000円を払う気にはなれん。10000円でインクジェットプリンタが買えるというのに。

あとは印刷だけではなくスキャンもできれば最高なんだが。コンビニでスキャンしてネットでダウンロード。便利だと思うんだけどなー。

タイムスタンプを使ったWebページの存在証明サービス

タイムスタンプを使ったWebページの存在証明サービスというものを見つけた。茨城大学の修士課程の成果物らしい。Webページにタイムスタンプを打つことによって、そのページが存在した事を証明する事ができるわけか。なるほどねぇ。

Thoma BravoによるEntrustの買収に思う事

PKIの大手ベンダーであるEntrustが、Thoma Bravoに買収されるというニュースが入って来た。昨年は、HSM屋のnCipherもThales傘下に入ってしまったし、なんだか周りが騒がしくなってきた。

ところで、Thoma Bravoってどんな会社だろうと思ったら、WebページのABOUTに、

Thoma Bravo is one of the most experienced and successful private equity firms in the United States.

って書いてあった。なんだ、PEファンド（Private Equity）なのか。なんだか、この買収は全くいいイメージが湧かないな。少なくとも前向きな買収には思えない。うーむ。

Windows 7/2008 R2でのPKI関連の記事@Technet Magazine

MicrosoftのTechnetマガジン2009年5月号（英語版）で「PKI Enhancements in Windows 7 and Windows Server 2008 R2」という記事があった。なるほど、とりあえずVistaの時のような大きな変更は無さそうだね。Server CoreでADCSが使えるようになるのはうれしいかも。

まだ出るのか。DQ45CB BIOS Update 0079

Intel DQ45CBのBIOSアップデート 0079が公開された。これで発売されてからのfix/featuresの合計は90件になる。発売したのが、2008年の9月末、半年で90件は多すぎると思う。

修正点は以下のとおり。未だに起動関連は安定しないみたいだ。

New Fixes/Features:

1. Fixed an issue where the system could not boot from a hard drive

when there were two optical drives attached in RAID mode.

2. Fixed an issue where eSATA device’s were not being properly

detected by the operating system under certain conditions.

3. Reliability enhancements made to the BIOS Recovery function.

4. Fixed and issue where the setup option of Trusted Platform Module

was not properly changed to the default value after executing

“ITOOLKIT REMOVE”.

5. Performance and reliability improvements made for iQST.

IEのCRLのキャッシュをクリアする方法

Vista / Windows Server 2008ではcertutil.exeコマンド一発でOK。

certutil.exe -urlcache * delete

EV SSL証明書の2011年問題と携帯電話

2009年3月24日に、みずほ情報総研が「暗号方式：もう一つの2011年問題～EV SSLと携帯電話～」というコラムを出していた。

指摘されている問題点を要約すると、

• CABF(CA/Browser Forlum)が、RSA 1024bitを使ったEV SSL証明書は2010年12月31日までに失効しなければならならず、2011年からはRSA 2048bitを使う必要があると規定している。
• RSA 2048bitに対応していない携帯電話やスマートフォンは、2011年になっても使い続けられるだろう。
• 日本は携帯電話を用いてのインターネットの利用が多いため問題になりやすい。

上記の問題に対し日本電子認証協議会がCABFに2011年以降にまたがってもRSA 1024bitの証明書も使い続けられるように要望を提出したが話は進んでいないということだった。

ところで、以前、SSL関連の調査を行ったときに、ベリサインが携帯電話対応のEV SSL証明書を出してたことを思い出したので、どのように対応するつもりなのかを調べてみたところ、「グローバル・サーバID EV for MobileのFAQ」に以下のような記述があった。

• CABFの方針に従い、グローバル・サーバID EV for Mobileは順次発行を終了する。すでに有効期間が2年間の証明書の販売を終了した。
• 2005年以降に発売された携帯電話端末では、ほぼすべての端末で、通常のEV SSL証明書に対応している。携帯電話版はその役割を終えたと判断する。

つまり、ベリサインは現行のCABFの方針に従い、2010年末でRSA 1024bitのEV SSL証明書を全廃するということだ。しかし、ずいぶんと正反対の見解だなぁ。

ところで、「もうひとつの2011年問題」って何だろうとおもったら、地上アナログ放送の停波のことだったのか。そういう呼び方もあるのか。知らなかった...

XPとOffice 2003のメインストリームサポートが終了

今日、Windows XPとOffice 2003のサポートが終了するというニュースを聞いた。とりあえずソースをあたってみた。

各プロダクトのライフサイクルについては以下のページで参照できる。

• XPのプロダクトライフサイクル
• Office 2003のプロダクトライフサイクル

なるほど、上記製品は、2009年4月14日でメインストリームサポートは終了し、延長サポート期間に入ると記載されている。そして、ライフサイクルポリシーのFAQには以下のように記載されている。

17. セキュリティ更新プログラムのポリシーを教えてください。

セキュリティ更新プログラムのポリシーは次のとおりです。

・ビジネス、開発用ソフトウェア

延長サポート フェーズ終了時 (メインストリーム サポート 5 年＋延長サポート 5 年) まで、全てのお客様に無償で提供します。セキュリティ更新プログラムは、メインストリーム サポートおよび延長サポートの両フェーズにおいて Windows Update にて提供されます。

・コンシューマ、ハードウェア、およびマルチメディア

メインストリーム サポート フェーズ終了時まで、全てのお客様に無償で提供します。

延長サポートフェーズ中はセキュリティパッチは無償で提供されると書かれている。XPとOfficeの延長サポートは2014年4月8日に終了する予定なので、それまでは安泰ということか。よかった、よかった。

北朝鮮の人工衛星発射は全国瞬時警報システムで通報されるか

現在、日本で運用されている緊急地震速報は一般にも広く知られている。しかし、この速報は全国瞬時警報システム（J-Alert）と呼ばれるシステムの一機能を使用したものであることはあまり知られていない。J-Alertは地震速報以外にも、火山情報、武力攻撃などに関するたくさんの情報を配信することができる画期的なシステムとなっている（資料1、資料2）。

J-Alertが送信するメッセージのうち、武力攻撃に分類される警報は以下の4つとなっている（資料3：PDF）。

• 弾道ミサイル情報
• 航空攻撃情報
• ゲリラ・特殊部隊攻撃情報
• 大規模テロ情報

日本政府は今のところ、北朝鮮の発射する物体は弾道ミサイルとして取り扱っているので、弾道ミサイル情報が発信される可能性は高い。ちなみに、弾道ミサイル情報の音声案内は以下のようになるそうだ。

「ミサイル発射情報。ミサイル発射情報。当地域に着弾する可能性があります。屋内に避難し、テレビ・ラジオをつけてください。」

もし、警報が発信されたときは戸惑う人は多いのではないだろうか。少し心配になった｡

中央省庁のWebページのRSS配信状況を調べてみた

日本の中央省庁のRSS配信状況を調べてみた。

対象は、首相官邸のリンク集の「内閣」に属しているもの。合計で32省庁。

府・省	庁・その他	URL
内閣府	-	http://www.cao.go.jp/rss/news.rdf http://www.cao.go.jp/rss/topics.rdf
	宮内庁
	公正取引委員会	http://www.jftc.go.jp/rss/news.rdf
	国家公安委員会
	警察庁
	金融庁
総務省	-	http://www.soumu.go.jp/news.rdf
	消防庁	http://www.fdma.go.jp/rss/fdma.xml
法務省	-
	公安調査庁
外務省	-
財務省	-
	国税庁
文部科学省	-	http://www.mext.go.jp/b_menu/news/index.rdf
	文化庁
厚生労働省	-
	中央労働委員会
	社会保険庁
農林水産省	-
	林野庁
	水産庁
経済産業省	-
	資源エネルギー庁
	特許庁
	中小企業庁
国土交通省	-	http://www.mlit.go.jp/index.rdf
	観光庁
	気象庁
	運輸安全委員会
	海上保安庁
	環境省
防衛省	-

サーバールームでは花粉症が軽減する

職場のサーバールームに引きこもっていたら花粉症が出ていないことに気がついた。目もかゆくないし鼻も垂れてこない。こりゃぁすばらしい発見をした。

電子ペーパー端末が出始めた

電子ペーパー端末が各社から発売され始めている。以前より気になっていたので、先行して発売された2機種を比較してみた。
最初に発売されたのはブラザーのSV-100Bだ。スペックは、

• 画面サイズ：202.8mm x 139.4（だいたいA5用紙と同じくらい）
• 画素数：1200 x 825
• 表示色：4階調グレースケール
• 電池：83時間（5000ページ）
• 重さ：600g
• インターフェース：microSD、USB2.0, Bluetooth
  
• 価格：139800（ブラザーダイレクトクラブの価格）

そして、次に発売されたのは、富士通フロンテックのFLEPia。スペックは、

• 画面サイズ：164.8mm x 123.6（A5用紙よりも一回り小さいくらい）
• 画素数：1024 x 768
  
• 表示色：64色（1スキャン）、4096色（2スキャン）、26万色（3スキャン）
• 電池：40時間（2400ページ、64色の場合）
• 重さ：395g
• インターフェース：SDカード、USB2.0、Bluetooth、無線LAN
• その他：タッチパネルができる。OSはWIndows CE 5.0
  
• 価格：99750円

カラー表示で勝るFLEPiaと画面サイズで勝るSV-100Bといったところか。

それにしても価格が高い。ビューアーならば5万円代に乗せてこないと、一般ユーザーは手を出さないだろうな。

DQ45CBのBIOSアップデート version 0075

久しぶりにIntel DQ45CBのBIOSアップデートがあった（ダウンロードはこちら）。今回の修正で、修正件数の合計は85件になった。多すぎ。

なお、今回はリリースノートに、Known Errataの項目が追加されている。内容は以下の2つ。

1. The Me firmware version is listed as 5.0.2.1122, while real version is 5.0.2.1121.

2. BIOS update to versions prior to version 0069 may fail.

BIOSが古いとBIOSアップデートに失敗する可能性があると。これは私もハマったが、5回中に4回くらいはアップデートにコケるんだよね。

総務省の「デジタル日本創生プロジェクト（ICT鳩山プラン）‐骨子‐」を読んで思うこと

3/17に総務省が「デジタル日本創生プロジェクト（ICT鳩山プラン）‐骨子‐」という文書を発表している。（発表資料）この文書は総務省が行っているICTビジョン懇談会の提言を取りまとめたもので、今後3年間に重点的に取り組む課題がまとめられている。

今回の骨子にはアレもコレも詰め込んでいろいろなテーマを記載しているようだが、あまりに幅が広すぎて、本当に全部に重点的に取り組むつもりがあるのかどうか疑わしくなってしまう。これから個々のテーマについて詳細を詰めて行くのだろうが、手広く行なったせいで中途半端になるような気がしてならない。

記載されているテーマは以下の通り。

(1)“産業”の底力の発揮-----デジタル新産業の創出

1)電波の有効活用による新産業創出

2)新産業を創出する革新的技術開発の加速化

3) オープン・イノベーションの創出

(2)“政府”の底力の発揮-----霞が関クラウドの構築等

1)革新的電子政府の構築

2)ナショナル・デジタル・アーカイブの構築

(3)“地域”の底力の発揮-----ユビキタスタウン構想の推進

1)ユビキタスタウン構想の推進

2)ＩＣＴ利活用の推進による地域住民の利便性等の向上

3)ＩＣＴによる中小企業の活力発揮

4)地域からの情報発信の強化

5)電子自治体の構築

(4)先進的デジタルネットワークの構築

1)デジタル・ディバイドの解消

2)地上テレビジョン放送のデジタル化円滑実施のための施策展開

(5)クリエイティブ産業の育成強化

1)通信・放送の融合・連携型コンテンツ配信の促進

2)コンテンツ取引市場の形成

3)コンテンツの不正流通対策の強化

4)教育・教養分野におけるデジタル・コンテンツ活用の促進

5)ケーブルテレビネットワークの広域連携の促進

(6)ＩＣＴ産業の国際競争力の強化-----グローバル展開の加速

1)ユビキタス・アライアンス・プロジェクトの強化

2)デジタルシルクロード構想の推進

(7)ユビキタス・グリーンＩＣＴの開発・展開

1)省エネルギー型ネットワークの開発促進

2)グリーンクラウド・データセンタの整備促進

3)オープンセンサーネットワークの活用による環境対策の推進

4)家庭におけるＣＯ２排出量の“見える化”の推進

5)テレワークによる新たなワークスタイルの推進

(8)高度ＩＣＴ人材等の育成強化

1)高度ＩＣＴ人材等の育成

2)ＩＣＴ分野における研修の推進

(9) ネットワークの安心・安全の実現

そろそろWindows PowerShellに移行しようかと

今まで使っていたCMD.exe + VBSの環境を、Windows Power Shellに移行しようかと思い立った。PowerShellはMicrosoftが開発した新しいシェルで、従来のcmd.exeの置き換えを狙ったもの。歴史は意外と古く､2004年くらいに開発が開始され2006年にWindows XP/Vista/Server 2003/Server2008向けにバージョン1.0がリリースされている。現在はバージョン2.0が開発中で、CTP 3(Customer Technology Preview 3)版を入手することができる。

PowerShellを使い始めて今日で4日目。やっと慣れてきたところだ。面白いのが、PowerShell Driveという機能。この機能は今までレジストリや特殊ファイルとして扱われていたものを、ドライブとしてマウントしてしまう機能だ。Linuxの/procをイメージしてもらえればいいだろう。

標準の状態で作成されているPS DriveはGet-PSDriveコマンドで見ることができる。

PS C:\> Get-PSDrive

Name Provider Root

---- -------- ----

Alias Alias

C FileSystem C:\

cert Certificate \

Env Environment

Function Function

HKCU Registry HKEY_CURRENT_USER

HKLM Registry HKEY_LOCAL_MACHINE

Variable Variable

レジストリはHKCU:とHKLM:にマッピングされているし、環境変数はEnv:にマッピングされている。面白いのがcert:で、これはWindows証明書ストアがマップされている。たとえば、以下のようにすると管理ツールの証明書で、【証明書 - 現在のユーザー】 → 【個人】 →【証明書】を選択したのと同じように証明書の一覧が表示される。

PS C:\> Get-ChildItem 　cert:\CurrentUser\My\

ディレクトリ: Microsoft.PowerShell.Security\Certificate::CurrentUser\My

Thumbprint Subject

---------- -------

06B05F0D2A93279CDB09115E33D336D40A316D5F CN=Administrator

このAdministratorの証明書はPowerShell内ではオブジェクトとして扱われるので､オブジェクト指向言語を用いたときのように、フィールドを参照したり、メソッドを実行したりすることができる。たとえば､証明書のシリアルナンバーを入手するには以下のようにする。

PS C:\> $certificate = (Get-Item cert:\CurrentUser\My\06B05F0D2A93279CDB09115E33D336D40A316D5F)

PS C:\> $certificate.SerialNumberString()

61F6573B000000000011

PowerShellには、他にもおもしろい機能がたくさんあるが、やっぱり「ls」コマンドが使えることが一番うれしい。何度、DOS窓でlsって打ってむなしい想いをしたことか...

Macでe-Taxの記事

PC Onlineのこちらの記事で、Macでe-Taxに挑戦してハマったと記載されていた。WindowsではWindows Updateを通じてGPKIのルート証明書が配布されているがMacは配布されていない。総務省がAppleに配布を依頼しているが､まだ対応してもらえていないということらしい。ほかにもPINと証明書PINを間違えてしまったりしている。

筆者の方はPKIの基本的な知識があるようなので自力で問題を解決できていたが、普通の人ならば投げ出してしまうようなトラブルばかりだった。マイノリティがゆえの苦労と言ったところか...

住民基本台帳法の一部を改正する法律案

総務省が住基カードについて改正法案を提出するようだ（資料：PDF）。改正する内容は以下の通り。

1. 外国人住民を基本台帳法の適用対象に加える
2. 他の市区町村へ引っ越した場合でも引き続き住民基本台帳カードを使用する事ができる

引っ越しについてはあまり良くないかもしれない。というのも、引っ越し後の住所はどうやら裏面に記載することになるらしい。実際にどのような方法になるかは不明だが、どこかでカードを提出したときに偽造したように思われないようにしてもらいたいものだ。

3/11追記：

知り合いの外国人に聞いたところ、外国人登録証も裏面に新住所を記載するそうだ。よくやられる方法なのかもしれない。

CentOS 5.2 on Xen3.3 with NetBSD 5.0RC2 amd64

NetBSD amd64 + Xenの環境で、CentOS 5.2がDomUで動作した。ググってもvert-installを用いたやり方しか出てこないので、シンプルなDomUの設定ファイルを書いておく。

設定ファイルの内容

#kernel = "/xendata/centos52/vmlinuz_64"
#ramdisk = "/xendata/centos52/initrd.img_64"
memory = 512
name = "centos52"
vif = [ 'bridge=bridge0' ]
disk = [ 'file:/xendata/centos52/disk1,xvda,w']
root = "/dev/xvda ro"

手順は、

1. Xen用のインストーラーを入手する。vmlinuzとinitrd.imgをダウンロード。
2. インストーラーを上記設定ファイルのkernel=とramdisk=の場所に配置する。設定ファイルのコメントを解除。
3. xm create -c configuration_file_for_centos52
4. そのまま普通にインストールし、インストーラーが終了したらシャットダウン。
5. 設定ファイルのkernel=とramdisk=をコメントアウト
6. 再び起動するとdisk1からブートする。
   

注意する点は以下の2つ

1. vifにmac=を使ってMACアドレスを指定すると、ネットワークインストールに失敗する。
   pingは通るがドロップが激しい。mac=は使わない事。
   
2. ディスクをhdaデバイスとして提供にすると、インストーラーがfdiskに失敗する。anacondaがGPTパーティションと誤認する。
   xvdaを使う事。

Dom0起動時にDomUを起動するためには、NetBSDの場合は、以下の設定を行なう。

1. DomU起動スクリプトxendomainsをコピー
   # cp /usr/pkg/share/examples/rc.d/xendomain /etc/rc.d
2. /etc/rc.confに以下の行を追加
   xendomains="config_file_for_centos52"
3. DomUの設定ファイルを/usr/pkg/etc/xen/config_file_for_centos52にシンボリックリンクorコピーする

今のところ問題無し。インストールしたCentOSはSELinuxの実験に使うつもり。

公的個人認証サービスの電子証明書の発行枚数が100万件を突破

公的個人認証サービスの電子証明書の発行枚数が100万件を突破したそうだ。発表はこちら。100万件というのはすごい数だ。先日、電子署名・タイムスタンプ普及フォーラムでGPKIの先進例として紹介されたエストニアの人口は134万人。証明書の発行枚数が利用者の数と合致するとは思わないが、それと同じくらいの規模はあることになる。

発表された資料には、発行枚数の月別グラフ（PDF）を見ることができる。この資料によると、以下の事がわかる。

• 2008年1月から2009年1月までの1年に約40万件の増加があった

• 毎年1月前後は発行枚数が急激に増加する
  

100万件のうち40万件がここ1年の間ということは、住基カードの発行が順調に増加している事がわかる。また、毎年1月前後に発行枚数が飛躍的に伸びているのは、新たにe-Taxを使って確定申告を行なう人が住民基本台帳カードを取得するためだと思われる。日本のPKIもキラーアプリケーションがあればもっと利用者が増えて行くんじゃないかと思う。

電子署名・タイムスタンプ普及合同フォーラム2009に行ってきた（その2）

電子署名・タイムスタンプ普及合同フォーラム2009では、国民のID管理について、北欧各国のGPKIとID管理の先進的な事例が紹介された。紹介された国はエストニア、デンマーク、スロベニア、オーストリーの4カ国。これらの国はPKIをベースにしたID管理とそれを使った行政ワンストップサービスを提供しており、日本が提供するものよりも遥かによくできたものだった｡

1つだけ注意する必要があって、上記の先進例として示した国は日本よりも遥かに人口が少ないということだ。各国の総人口は以下のとおり（数値は外務省より）

• 日本：約1億2800万人
• オーストリー：約823万人
  
• デンマーク：約543万人
  
• スロベニア：約200万人
  
• エストニア：約134万人

人口の少ない国では公的なサービスの効率性が上がりにくい。ITを導入したのは効率性を向上するのに必須だったようからだろう。実際に北欧諸国でも人口の多いくにでは、IT化が遅れてしまっているそうだ。

日本では効率が悪いにせよ既に行政サービスが稼働しており、それは長い年月をかけて経験が蓄積されたものだ。日本で国民IDを構築するには、スケールの面や信頼性の面でかなり難しいチャレンジになるのではないのだろうか。

電子署名・タイムスタンプ普及合同フォーラム2009に行ってきた（その1）

ECOM（次世代電子商取引推進協議会）主催の電子署名・タイムスタンプ普及合同フォーラム2009に行ってきた。日本のPKIを牽引する面々の話が聞けて楽しめた。当日、配布された資料はこちら。

今回のテーマは「電子署名＆タイムスタンプはなぜ普及しないのか」というものだった。電子署名法が始まって6年が経ったが一向に普及する気配がない。どうなっちゃってるのよってのが今回のテーマ。講演では普及しない理由として以下のようなものが挙げられていた。

• 利用者にメリットが伝わっていない
  電子署名＆タイムスタンプによって得られる効果が正しく伝わっていないのではないか。コスト削減のソリューションが前面に出て、それ以外の有用性が正しく伝わっていないのでは？
• 法制度の不備
  現行の電子署名法は、電子文書を既存の紙文書の延長としてとらえている。これでは、限界があるのではないだろうか。
• そもそもお役所の抵抗があるらしい
  お役所は既存のワークフローを変更したくない。
  

確かに、利用者にとってのメリットというのが解りにくいのは事実だ。それに「やらなければならない」という動機付けとしても薄いんだな。今までのやりかたでいいじゃんって言われて返す言葉がない...

当日は経団連の方も講演していただいた。経団連としても電子行政に対して強くプッシュをしていくそうだ。経団連がまとめた提言はこちら。結構読みごたえあります。

眠いから続きは明日。

Mac miniが帰ってきた

3/3ひな祭り。この日にAppleはデスクトップラインの新製品を発表した。今回の発表では、iMac、Mac miniとMac Proが新スペックでの登場となった。

この中で注目すべきは、Mac miniだ。長年Inte Core Duoのままで放置され、いらない子状態で、Appleから見放されたと思われていた奴が見事に返り咲いた。スペックについては現行のMacbookとほぼ同じ。ディスプレイポートもつくし、必要なものをしっかりと押さえている。ちなみにお値段は約7万円。そして、忘れてはいけない、Mac miniはMac OS X Leopardが付属してこの値段なんだということを。

WindowsのPCで、Mac miniと同じくらいの機能がほしければ、Windows Vista UltimateとそこそこのスペックのPCを買わなければならない。Windows Vista Ultimale SP1はDSP版でも24000円。残り4万6千円で、Ultimateがサクサク動く省スペースPCは買えるのだろうか。できたとしてもギリギリか多少オーバーしそうだ。一般消費者には「Mac = 値段が高い」と思われがちだが、製品を手に入れることによって得られるものを総合して考えると、十分にWindows PCと張り合えるのではないだろうか。

今回のラインナップの刷新ではWindows陣営を一気に切り崩すことにはならないだろう。しかし、Appleは着実にその地盤を固め、ジワジワとWindows陣営を侵食していくように思える。

Windows Server 2003 R2提供終了まであとわずか！

MSのWindows Server 2003のホームページを見てみたら、「Windows Server 2003 R2提供終了まであとわずか！」というニュースが目に入った。

どうやらWindows Server 2003のパッケージ製品とOEMライセンスは、2009年3月31日で店頭から姿を消すようだ。ボリュームライセンスの提供も終了しているので、もう2003は入手できなくなるということだ。

ちなみに、同ページには2003のサポート期限も記載されていた。2003のメインストリームサポートは後１年半後に終了する。

• メインストリーム サポート終了日：2010/7/13
• 延長サポート終了日：2015/7/14

先日、仕事でWindows 2000 ServerとWindows Server 2003混ざった環境を相手にしてたばかりなのにもうサポート終了か。他の案件でもWindows 2000の要件はしぶとく残っていたし、酷い場合はNT4とかが平気で出てくる。Microsoftが悪い訳じゃないが、これじゃあサポートプラットフォームが続々増えていくばかりになってしまうような気がする。なんとかならんもんかね。

XenでTPM(Trusted Platform Module)がサポートされていた

XenのDomUにCentOS 5.2を入れようとしてハマってしまったので、Xenのオフィシャルのドキュメントを流し読みしていたら、XenがTPM(Trusted Platform Module)をサポートしていると書かれていた。チョイとググってみたところ、複数のDomainUからのTPMのアクセスをDomain0がTPMのプロキシーのように動作して代替するらしい。

Xenはサーバー等で使用されることが多いが、TPMではこういった用途では弱いような気がする。速度もそんなに出ないだろうし、高可用性が必要な運用には向かないし。

時間があるときにもうちょっとらべて見よう。

Windows Server 2008 SP2のHyper-Vとゲストのライセンス

2009年前半にWindows Server 2008のService Pack2がリリースされる。先日、RCの発表があったため、リリースノートを読んでいたらHyper-Vのライセンスについて以下のような記述があった。

SP2 provides the Hyper-V virtualization environment as a fully integrated feature of Windows Server 2008, including one free daughter OS with Windows Server 2008 Standard, four free licenses with Windows Server 2008 Enterprise and an unlimited number of free licenses with Windows Server 2008 Datacenter.

どうやらWindowsを買うと標準でHyper-VのゲストOSのライセンスがついてくるようだ。

• Standard Edition : 1つ
  
• Enterprise Edition : 4つ
  
• Datacenter Edition : 制限なし
  

先日の仮想化に関する本の無料公開といいMicrosoftの気合を感じるな。

追記：

ライセンスについては、ここに詳しく出ていた。SP2でなくともゲストのライセンスはついてくるようだ。

Citrix XenServerがフリーになった

Citrix XenServer Enterprise Editionがフリーになった。くわしくはこちら。ESXiなんかよりも遥かに高機能なものがフリーで使用できるようになるとは、すごい世の中だ。

仮想化のコア部分は既にコモディティ化が進んでおり、Xenを使おうがHyper-Vを使おうがESXiを使おうができることは似たり寄ったりになってきている。今後はデスクトップ仮想化やエンタープライズ向けの製品の「ソリューション」としての完成度が製品を選定する上でのキーとなってくるんだろう。

そういえばCiscoによるVMwareの買収の話はどうなったんだろう。

UPKIフォーラム2009に行ってきた

国立情報学研究所主催UPKIフォーラム2009に行ってきた。講演内容はこちら。

今回の公演はUPKIが行ってきた3年間に渡るプロジェクトの締めとも言える内容だった。話はSSO関連が中心で、7大学＋αにおけるSSOの取り組みについて面白い話が聞けた。

UPKIではSSO製品として、Sibbolethを用いている。SibbolethはInternet2の成果物の一つで、海外ではよく使われている製品だ。でも、日本での知名度はイマイチ。この他に、このジャンルの製品としてはLiberty Aliance, OpenID, Windows Cardspaceなどがあるが、これらの製品の話は全く出てこなかった。現在のところ、UPKIはSSOの相互運用の実験をしているといったところで、本格的な運用段階はしていないようだ。各大学のパネルによる展示もあったが、大学ごとに導入レベルが異なっていたり、セキュリティドメインの定義の仕方がまちまちのため、相互運用を行なうのはまだ先になるような気がした。

NetBSD 5をDOM0に使う場合のPAEサポート

NetBSD 5 RC2にXen 3を入れて遊んでいたのだがハマってしまった。どうやらDOM0にNetBSDを使うときは、PAEなしのXenを使わなければならないようだ。Port-xenのメーリングリストによると、DOM0のNetBSD + PAEは先週にcurrentにコミットがあったばかりだそうで、まだ実用には耐えないだろうな。くわしくはこちら。

その他の解決策としては、i386からamd64に移行してしまうというのもある。amd64ならば、PAEの有無は関係ないので。うーむ、またDOM0をビルドし直しか。こうやってハマるのも楽しいからいいんだけどね。

D945GCLF2でNetBSDを使う

G945GCLF2にNetBSD 5.0 RC2 + Xen を入れてみた。XenカーネルではD945GCLF2に載っているイーサーネットカードが認識しなかったので、チョイと手を入れてみた。チップは通称ギガニのRealtek 81x9シリーズ。症状は、

• Xenカーネル使用時のみ不安定になる
  
• 起動時に「re0: Unknown revision (0x3c4000000)」
  
• ifconfig re0 upとすると、「re0: reset never completed!」とコンソールに出る。
• 認識してもパケットロスが多すぎて使い物にならない。
  

と、といったところ。

NetBSD -currentのソースを見てみると、currentのドライバーならばsrc/sys/dev/ic/rtl81x9reg.hに0x3c4000000が記載されている。5.0 RC2に始めから入っているバージョンはダメっぽいので、currentのrtl81*をコピーしてカーネルをリビルド＆インストールしたらOKだった。

Linux系, Solaris, OpenBSD, FreeBSDなど、いろいろいじって来たが、NetBSDが一番使っていて自分に合ってような感じがする。ソースツリーの配置、pkgsrc、ドキュメントとかがマルチプラットフォーム対応という思想を元に一貫して作られていて、その一貫性がシプルさと信頼につながっているように思える。

CRYPTRECシンポジウム2009の記事

Nikkei IT ProでCRYPTRECシンポジウム2009のネタが投降されていた。日経の記者さん、私の代わりに聞いておいてくれてありがとう。
記事はこちら。「電子政府推奨暗号」は２つで十分？, シンポジウムで専門家が検討
http://itpro.nikkeibp.co.jp/article/NEWS/20090218/324974/?ST=security

サイドチャンネル攻撃についても話があったとは。仕事放り出してでもいくべきだったかな。サイドチャンネル攻撃というのは、HSM（ハードウェアセキュリティモジュール）などの耐タンパー性のあるハードウェアが演算するときに出る電磁波や、電源ラインの揺らぎを見て、内部で行なわれていることを推測する手法。当然、暗号鍵が漏洩してしまうこともあり得る。この手法はIPA暗号フォーラム2008でも話題になっていて、そのときは評価基準を制定するためのテストベットを作っていた。結局、「どのような試験をしたら安全と言えるか」といったコンセンサスが無いもんだから、使う側としては製品の選定のしようがない状態になっている。

IPA暗号フォーラム2008でDr.Shamr先生（RSAのSの人ね）が、暗号アルゴリズムの脆弱性も重要だけど実装による脆弱性も重要なんだ、と言っていた。たしかにそうだ。実装がヘボければいくらよいアルゴリズムを使ったとしても意味が無い。ソフトウェアならばオープンソースを使って多数の目による評価が可能だが、ハードウェアはそういったアプローチが取れないし...そのうち、「X社のHSMには、AES-128を使った暗号演算を行なう場合の電源ラインの揺らぎパターンが解析された。」なんていうセキュリティアラートが発生するのかもしれない。

VMware Fusion 2.0.2リリース

いつの間にかVMware Fusion 2.0.2がリリースされていた。VMwareのサイトよりダウンロードできる。ダウンロードの際には、McAfee VirusScan付きか無しのどちらかのパッケージを選択する事ができる。私は迷わずVirusScan無しを選択した。余計な物はいらない。

今回のアップデートで追加された新機能は、以下の通り。

• Allows importing Windows virtual machines from both Parallels Desktop 4.0 and Parallels Server for Mac.
• Supports mounting unencrypted .dmg file format as a CD/DVD disk image, in addition to .iso file format.
• Supports Mac OS X 10.5.6 as a host operating system.
• Provides experimental support for Mac OS X Server 10.5.6 as a guest operating system.
• Supports Ubuntu 8.10 as a guest operating system, including features such as VMware Tools with prebuilt kernel modules, Easy Install, and Unity.
• Ships with a 12-month complimentary subscription to McAfee VirusScan Plus 2009 antivirus software, with localization support for French, German, Italian, Spanish, Simplified Chinese, and Japanese.
• Provides performance improvements when browsing mirrored folders and shared folders in Windows virtual machines.
• Supports display of Windows applications in Unity view as 48 pixel x 48 pixel icons.
• Resolves issues with "Optimize for Mac OS application performance" preference option for Mac OS X 10.5.5 and later

この中で一番注目すべきはMac OS X Server 10.5.6のサポートでしょう。Experimental(正式じゃない)サポートだが、かなり遊べそうな機能になっている。どうせだったら、Server版ではない普通のMac OS Xのサポートをしてくれた方がユーザーとしてはうれしいのだが。