Logitech TrackMan Wheelを買った

新しいトラックボールを購入した。今まで使っていたトラックボールは使い始めてから15年。そろそろ新機種を買ってもいいかなと。今まで使っていたのはコレ。機種はLogitechの初代Trackman Marble。LogitechがLogicoolのブランドを日本で展開する前に買っているので、ロゴがLogitechになっているのはご愛嬌。たしか買ったのは95年で、LogitechがLogicoolのブランドを使い始めたのは97年くらいではなかったかと。

さすがに10年以上使っているとあちらこちらにガタが出てくる。センサー系は光学式なのでローラー等の劣化は無いが、ボールを支持する球が摩耗する。これは東急ハンズで買ったルビー球に交換済み。ボタンのスイッチ類は4年くらい使うとヘタってくるけど、他のマウスから移植して延命してしのいで来た。

ちなみに、職場ではTrackMan Marbleの進化系であるTrackMan Marble+を使っている。コイツは99年に買ったのでもうすぐ10年目。
両方ともまだまだ現役で使えるんだけど、インターフェースがPS/2でしかもUSB<->PS/2変換ケーブルとの相性もあまり良くないのが弱点。

で、買ったのはTrackMan Wheel。お値段5000円。今は「TrackMan Marble」という製品名は別の製品で使われているのでちょっと混乱した。
旧機種（14000円）と比べると、価格が安くなった分いろいろな所に影響が出ている。特に旧機種よりもボールの動きが重く感じられるのには参った。支持球の直径が大きくなっているようでボールとの接地面積が増えているためと思われる。とりあえず支持球にキーボードマニア必携のスムースエイドKTを塗ってみたけどあまり変わらないし。もう少し様子をみてダメなら支持球を交換するしかないか。

正直、Logitechには頭が下がる。15年も基本コンセプトが変わらない製品を売り続けるってのはすごく大変な事。これは初期のコンセプトや設計がしっかりしていたおかげだろう。今後もこのシリーズは継続してほしいな。

Windows Server 2008 R2 Datacenter Editionの価格が安すぎる件

Windows Server 2008 R2の価格が気になったので調べてみた。マイクロソフトはエンタープライズ向けの価格表はパートナー向けにしか出さないので調べるのも面倒だ。とりあえずググって見つけたのはこちら。

ボリュームライセンスの価格体系がすごいことになっているので以下に抜粋する。

• Windows Server 2008 R2 Datacenter： 463000円
  
• Windows Server 2008 R2 Enterprise ： 454000円
• Windows Server 2008 R2 Standard ： 140000円
• Windows Server 2008 R2 Foundation ： OEMのみ
• Windows Server 2008 R2 for Itanium-based Systems： 463000円
• Windows Web Server 2008 R2 ： 77500円

Datacenter Editionの価格が46万円。しかもEnterprise Editionとの価格差が9000円。これ見たときマジで"0"の数を数えてしまったよ。Datacenter Editionは付属してくる仮想インスタンスのライセンス数が無制限なので、Datacenter Editionを1本とチョー早いマシンを1台買うだけで、そのマシン上では何台もの仮想Windowsマシンを動かす事ができてしまう。仮想マシン用に追加のWindowsのライセンスは買う必要はない。

私の周りでは仮想化関連はイマイチ盛り上がりに欠けている ー認証局はHSMの制限で仮想化できない事が多いー が、これだけコストパフォーマンスが良いと、お客さんから「仮想化に対応できないの？」とか普通に言われてしまう日も近そうだ。ちょっとだけ覚悟しておこう。なお、Datacenter Editionはボリュームライセンスのみで提供され、パッケージでは購入できないので注意すべし。

つーか、まだItanium版もあるのか。x86版を廃止してItanium版を残すってのはどうなんよ。

Windows展開サービス（WDS）を使ってWindows Server 2008をPXE bootインストールする

前々からやりたかったWindows Server 2008のネットワークインストールをやってみた。Windows系でPXEブートインストールするには、Windows Server 2008に標準で付属する「Windows 展開サービス（以下、WDS）」を使う。セットアップは簡単なので省略。とりあえずハマった点などをメモ。

• WDSを実行するサーバーは、ドメインのメンバーサーバーか、ドメインコントローラーになる必要がある。ドメインコントローラーになる場合は、ADDS, DNS, DHCPをセットアップする必要がある（面倒だ！！）
  
• 用意するイメージは2つ。標準で用意されているのは以下の2つ。
  インストールイメージ：Windowsのインストールディスクの\sources\install.wim。Windowsのインストーラーのイメージ。
  ブートイメージ：Windowsのインストールディスクの\source\boot.wim。Windows PEのイメージ。
  
• Windows PEにドライバを組み込んだり、インストールを完全に自動化する場合は、Windows Advanced Installation Kit (AIK)を使う。MSからダウンロード可能。
• PXE bootでセットアップしたマシンは自動的にドメインのメンバになる。（余計なお世話だ！）
  

実際にPXE bootでインストールする手順は以下の通り。

1. インストール対象のマシン（以下クライアント）がPXE BootのDHCPシーケンスでIPアドレスを入手。
2. クライアントがWDSを実行するマシンから、TFTPでpxeboot.comをダウンロード
   （その後、タイミング良くF12キーを入力しないと先に進まないので注意！！）
   
3. クライアントがWDSを実行するマシンから、Windows PE（下記、boot.wim）をダウンロード＆起動
4. クライアントで、WDSの動作するサーバーのユーザー名＆パスワードを入力。これはCIFSでインストールイメージをマウントするため。
5. あとは、普通のインストールと同じ。

WDSは他にも色々なオプションがあって便利と言えば便利なんだが、ADDSの環境が必須になる点やセットアップしたOSがドメインに参加してしまう点（AIKでカスタマイズすれば回避できるかも）などは不便を感じた。単なるCD-ROMの代替として考えているならば、ちょっとお勧めできないかも。

参考URL：

• Windows Server 2008 Help -- Windows展開サービス

HSMと秘密分散技術 (Secret Sharing Scheme)

仕事で使っているnCipherのHSMには、OCS (Operator Card Set) protected keyという、ICカードを使用した認証を行なわないと鍵を使用出来ないようにする機能がある。前々から実装に使われている理論が気になっていたので軽く調査してみた。

まずは、簡単にOCS protected keyの説明。OCS protected keyは鍵を使用する際にICカードによる認証を強制する機能だ。nCipherのHSMではOCS protected keyを作成するときに、K of Nというパラメーターを指定する。Kは認証時に必要なICカードの数を表しており、NはICカードの総数を示している。

例えば、あるOCS保護鍵を作成したときに2 of 3のパラメーターを指定したとする。この場合、その鍵を使用する際は３枚（N=3のため）のうち最低２枚のICカードによる認証をパスする必要がある（K=2のため）。カードが1枚しか無い場合は鍵を使用する事ができない。実際の用途としては、「ある書類にデジタル署名を行なうには、担当者2名による承認が必要。予備カードが1枚必要」といった用途に使用できる。

で、実際にどのような理論を用いているのか調べてみると、どうやら「秘密分散技術」 (Secret Sharing Scheme: SSSと略される）というジャンルの技術を使っているらしいことが解った。ちなみに、この分野のブレイクスルーは1979年にShamir大先生（RSAの"S"の人ね）とBlakleyと言う人が別々の論文を発表したことによって起こったそうな。Shamirは多項式補完に基づいており、Blakleyはベクトル空間に基づいているらしい。nCipherのHSMが実際にどんなアルゴリズムを使っているかは解らないが、振る舞いから推測するに、「(k, n)しきい値法」に属するアルゴリズムを使っているのは間違いなさそうだ。

理論の中身もチェックしてみたが、サッパリ解らなかった（ガロア理論とか初等整数論とか出て来ちゃってさ...orz）。でも、情報理論的安全性が確認されているらしいので安心して使っていいとのこと。

やっぱり暗号関連は真面目に勉強して行くと初等整数論にぶつかるなぁ。なんとかしないと思いつつも、手を出しにくい分野だよ。

Globalsignの「パブリックルート署名サービス」がウハウハな件

体調を崩していたので久しぶりの更新。最近はダルくてダルくてBlogどころではなかった。今は完全復活です。

さて、今回もPKIネタ。9月1日よりグローバルサインが「パブリックルート 署名サービス」というサービスを開始した。このサービスは、グローバルサインのCAが、一般の会社の社内などに設置してあるプライベートCAのCA証明書に署名を打ってくれるサービスだ。米国ではずいぶん前から提供されていたので、やっと日本でも使えると考えるとウハウハしてしまう。

で、このサービスの何が嬉しいのかというと、「自前プライベートCAがマイクロソフトのルート証明書更新プログラムでCA証明書が配布されているCAの下位CAになる事ができる」という点に尽きる。グローバルサインのルート証明書はIEの信頼できるルート証明期間の一覧に始めから入っているので、このサービスを使用したCAが発行した証明書は世界中のどのWindowsマシンでも自動的に信頼できる証明書として取り扱ってもらえる。しかも、特に発行できる証明書の制限は無さそうなので、自前のCAで個人向けの証明書やコードサイニング証明書などもバンバン発行できる。これはウハウハするでしょう。用途広すぎ。

1点だけ気になるのが、このサービスをやる事によってグローバルサインのルートCAが、WebTrust for CAの認定とMSのルート証明書の配布要件に抵触してしまい、ルート証明書の配布が行なわれなくなってしまうのではないかということ。米国ではずいぶん前から提供しているので問題はないとは思うのだが、、、うーん微妙にグレーゾーンな気がする。

たぶん下位のCAには、CP/CPSの要件やHSM (Hardware Security Module)を使った鍵の管理の義務、監査を受ける義務、サーバーの設置場所に関する要件などのそれなりのヘビーな内容が求められる可能性はある。まぁ、得られる利点を考えると納得はできるのだが、お手軽にパブリックCAを構築できるサービスであるとは言えなさそうだ。

これ、あまりにも便利すぎるので自社でも真面目に検討してみることにする。残る問題は価格だよな。課金体制がよくわからないので、実はものすごーーーく高かったりするオチがあるかもしれない。