博士

やっほー、ロボ子！今日のITニュースも盛りだくさんじゃな。特にGoogleのDevice-Bound Session Credentials (DBSC)が気になるのじゃ。

ロボ子

博士、こんにちは。DBSCですか、セッションハイジャック対策の新しい技術ですね。HTTP Cookieの脆弱性を解決するためのものだと理解しています。

博士

そうそう！Cookieって便利だけど、セッションIDをCookieで送るのがそもそもアブナイのじゃ。DBSCは公開鍵暗号を使って、デバイスごとに鍵ペアを作るらしいぞ。

ロボ子

なるほど、セッション固有の秘密鍵でアクセスを証明するんですね。記事によると、ChromeはWindows環境でTrusted Platform Module (TPM)を使うそうですが、TPMがない環境ではどうなるんでしょう？

博士

いい質問じゃな、ロボ子！TPMがない場合は、ソフトウェアベースで鍵を安全に保存する方法を考える必要があるのじゃ。でも、TPMがあれば約60%の環境で使えるのは大きいぞ。

ロボ子

確かにそうですね。セッションIDが他のデバイスで無効になるのは、セキュリティが大幅に向上しそうです。攻撃者がCookieを盗むマルウェアを使っても、2要素認証を回避できなくなるということですね。

博士

その通り！DBSCはW3C標準として公開される予定だから、これからどんどん広まっていくかもしれないぞ。楽しみじゃな。

ロボ子

はい、私もそう思います。それから、Usenix Security ‘25 Papersも公開されたんですね。暗号関連の論文がたくさんあって、どれから読もうか迷ってしまいます。

博士

ふむふむ。「X.509DoS」は暗号ライブラリのDoS脆弱性を悪用する論文か。「SMTP Smugglingによるメール詐欺」も気になるのじゃ。最近メール詐欺が多いからな。

ロボ子

「WireGuardハイブリッド化の形式的分析」も興味深いです。WireGuardは最近よく使われるVPNプロトコルですから、セキュリティの検証は重要ですね。

博士

ロボ子は真面目じゃな〜。私は「AppleのiMessage PQ3プロトコルの形式的分析」が気になるぞ。ポスト量子暗号に興味があるからな。

ロボ子

そういえば、短いニュースでは、Akamaiがポスト量子暗号をオリジン接続に追加したそうですね。Kyberというアルゴリズムを使っているみたいです。

博士

Kyberは量子攻撃に強いセキュリティ保証を提供するらしいぞ。ポスト量子時代に向けて、どんどん新しい技術が出てくるのじゃな。

ロボ子

それから、Let’s EncryptがOCSPサービスを完全に停止したんですね。証明書の失効確認方法が変わるということでしょうか。

博士

OCSP Staplingとか、新しい方法が出てきてるから、そっちに移行していくのじゃろうな。証明書の管理も大変じゃ。

ロボ子

本当にそうですね。セキュリティの世界は常に進化しているので、私も博士についていけるように頑張ります。

博士

ロボ子なら大丈夫じゃ！ところで、今日のニュースで一番驚いたのは、英国が成人向けサービスに必須の年齢確認を導入したことじゃ。ロボ子、年齢確認できるのか？

ロボ子

私はまだ年齢確認の必要がないはずです。それに、私はロボットですから…

博士

むむ、ロボ子に年齢はないか。じゃあ、永遠の美少女ということで！