2011/06/23 IEEE-SP2011勉強会

DRokuboX @drokubo

TCS IEEE SP勉強会。幹事のお許しをいただいたのでtsudaります。一件目、寺村さん。authentication and protection mechanisms

DRokuboX @drokubo

暗号化されたVOIP通信を解読。IEEE SPのBest paper

DRokuboX @drokubo

VOIPの暗号化はストリーム暗号です。暗号化の前後でパケット長は不変

DRokuboX @drokubo

VOIPのセキュリティについては既存研究が結構ある

DRokuboX @drokubo

言語が特定可能な研究があるが、重大な脅威にはならない

DRokuboX @drokubo

この研究の目標は、暗号化されたパケットから会話内容を再構築

DRokuboX @drokubo

音素を使う。日本語に置き換えるとそれは、母音、子音と考えれば良い。

DRokuboX @drokubo

最大エントロピーモデルとは。機械学習法の一つ

DRokuboX @drokubo

アプローチ。1暗号パケットを音素ごとに分割し、2分割パケットを音素ごとに解読3解読した音素を言葉ごとに集合4音素から言葉に復元

DRokuboX @drokubo

音素への分解の仕方。音が激しく変化するとき情報量が増える。最大エントロピーモデルを使い学習。

DRokuboX @drokubo

音素の解読は最大エントロピーまたは隠れマルコフモデル。音素を言葉ごとに集合するのは、既存手法＋辞書による推測を行う

ざとぅ @za_to

ちょっと変な風にしゃべったら回避できそうだなぁ．無理なのかな？

DRokuboX @drokubo

質問：回避する方法として何かあるか?パディングなど

DRokuboX @drokubo

2件目吉濱さん：Browsing security and privacy

ざとぅ @za_to

次あたりは紹介側に挑戦してみようかしら．

DRokuboX @drokubo

Verified security for Browser Exrensions ブラウザ拡張機能はSame Origin Policyの外にある→危険

DRokuboX @drokubo

提案：ブラウザ非依存のExtension、権限を記述するポリシー言語、安全性を静的検証、可視化ツール。

DRokuboX @drokubo

GalleryがExtensionを検証する。ユーザはGalleryを信頼する。

DRokuboX @drokubo

例：Facebookのfriend listから名前とwebsiteをとってきてアドレス帳に追加

DRokuboX @drokubo

二本目?Content personalizationの問題。サイトトラッキングなど。提案：ブラウザ側でユーザの履歴、好みを収集

DRokuboX @drokubo

サイトからトピックをクエリ、ユーザの同意に基づいて公開

DRokuboX @drokubo

三本目。ブラウザのヒストリースニッフィング。どのサイトを訪れたかが分かる。それを防ぐ手法(Baron)があるが、本提案はそれを打ち破る手法。

DRokuboX @drokubo

sniffingの手法。Direct/indirect/side channel attack。最後のは、cacheされてるかどうかをロード時間で判定など。Baronの手法はこれらを全て防ぐもの。

ざとぅ @za_to

た，た，単純な！

Akira Kanaoka (金岡 晃) @akirakanaoka

これおもしれー。