2025-12-28 の一覧へ戻るホーム
GPGの実行に失敗しました。

2025/12/28 2:05

GPGの実行に失敗しました。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

要約:
本書は、GnuPG およびその他の OpenPGP ツールにいくつかの重大なセキュリティ脆弱性が発見されたことを警告しています。これらの欠陥により、攻撃者はデジタル署名を偽造したり、隠されたプレーンテキストを復元したり、検出されずに悪意あるサブキーをキーリングに追加したりできるようになります。主な問題点は次のとおりです。

  • 切離型 PGP 署名へのプレーンテキスト攻撃で、クリアテキスト署名を切り捨てることで偽造署名が可能になる。
  • リテラルデータにおけるパスセパレータの不適切な処理により、ディレクトリトラバーサルとファイル上書きが実行できる。
  • 暗号化マレイビリティチェックの誤った適用で、メッセージ内容が漏洩する可能性がある。
  • ASCII アーマー解析における脆弱性がメモリ破壊を引き起こす。
  • MiniSign が信頼コメントを受け入れることで注入攻撃が許容される。
  • ダッシュでエスケープされていないヘッダーの誤処理により、クリアテキスト署名の偽造が可能になる。
  • OpenPGP クリアテキスト署名フレームワークへのフォーマット混乱攻撃と radix64 行切り捨てがポリグロット攻撃を生むことがある。
  • キー署名検証中に SHA‑1 へダウングレードするパスがトリガーされ、整合性チェックが弱体化する。

これらの問題を修正しない場合、GnuPG を安全通信、コード署名、文書認証に依存しているユーザーは脅威にさらされます。報告書では、検証ロジックの更新とパス処理の厳格化によって OpenPGP 実装への信頼を回復するよう促しています。

本文

メッセージ

出発の慌ただしさに、サイトのソースコードを家に忘れてしまいました。申し訳ありません—全てを書き直す必要がありました。明日にはもっと素敵なサイトをご用意します。話しながらパッチを当てています。

GnuPG の脆弱性(リスト化)

  • 分離型 PGP 署名に対する複数のプレーンテキスト攻撃
  • GnuPG がリテラルデータ「Filename」フィールドでパス区切り文字とパストラバーサルを受け付ける
  • ハッシュ計算用にクリアテキスト署名が途中で切られる
  • 暗号化メッセージの改ざんチェックが不正確に実装され、プレーンテキスト復元攻撃を可能にする
  • ASCII‑Armor パーシング時のメモリ破損
  • Trusted Comment Injection(minisign)
  • NotDashEscaped ヘッダー実装でクリアテキスト署名偽造が起こる
  • OpenPGP クリアテキスト署名フレームワークがフォーマット混乱に脆弱
  • GnuPG の出力は署名検証成功とメッセージ内容を区別できない
  • Radix64 行切断でポリグロット攻撃を可能にするクリアテキスト署名偽造(GnuPG)
  • キー署名チェック時に GnuPG がダイジェストアルゴリズムを SHA1 に降格させる可能性がある
  • GnuPG 信頼パケット解析で任意のサブキーを追加できる

(VOD:)

同じ日のほかのニュース

一覧に戻る →

2025/12/28 5:15

**エンターテインメントでのコミュニケーション喪失の理由** 近年、観客がエンターテインメントに関わる形態は劇的に変化しました。 - **デジタル分散**:コンテンツは無数のプラットフォームに拡散され、クリエイターが統一したオーディエンスへ到達しにくくなっています。 - **アルゴリズムによるゲートキーピング**:推奨システムは深みよりもクリックベイトを優先し、アーティストとファンの間で意味ある対話が薄れています。 - **収益化圧力**:広告収入モデルはプロデューサーにセンセーション志向を促し、思慮深い物語よりも衝撃的な内容へ傾斜させます。 これらの要因が重なり合い、かつてクリエイターと観客が直接交流できたコメント欄・ライブチャット・ファンフォーラムなどの伝統的コミュニケーション手段を侵食しています。

## Japanese Translation: (incorporating all key points):** > 2025年12月15日のプルームのブログ投稿では、Pixelfed が Fediverse 実装からメッセージ配信を削除したことを批判し、信頼できる通信はあらゆるソーシャルプロトコルの基本機能であるべきだと主張しています。著者は Pixelfed の創設者 Dansup を引用し、ActivityPub は保証されたメッセージングではなくコンテンツ消費を目的としていると述べ、また Manuel Moreale もプロトコルが通信の信頼性を確保するためではなくプラットフォーム構築のために設計されていたと指摘しています。 > > プルームは、多くの Fediverse ユーザーが Mastodon と Pixelfed のアカウントを別々に保持している点を指摘し、これは大手ソーシャルメディア独占企業によって推奨される「一つのプラットフォーム、一つのアカウント」というマインドセットを反映しています。また、doomscrolling 中に人々が閲覧したコンテンツのほとんどを忘れてしまうという研究結果を挙げ、信頼できる通信としてのソーシャルメディアの有用性を疑問視しています。 > > 著者はメールが非同期媒体として衰退していることを嘆き、自身の Inbox 0 とワンタイムアドレス使用経験を挙げ、現代の「退屈」プロトコル(メール、RSS、XMPP)とエンターテインメント重視のプラットフォームが依存症や収益性を推進していることを対比しています。 > > Pixelfed は近々「ドロップなし」のオプションテキストメッセージを提供する予定ですが、プルームは読者に対し、Offpunk や Gemini などのオフラインファーストな代替手段で簡潔かつ信頼できる通信を検討するよう促しています。彼は最後に、興味があるユーザーに対して、シンプルで非商業的なコミュニケーション専用のメール、RSS、および Gemini コミュニティ「保護されたリザーブ」に参加することを勧めています。

2025/12/28 3:22

ウィンドウズ 2(Apricot PC / Xi 用)

## Japanese Translation: ## Summary: 著者は、古いApricot PCにWindows 2を成功裏に導入しました。この実現にはカスタムドライバの作成と機械のハードウェア制限を克服するためのRAM拡張ボードが必要でした。Microsoft DDKでスタブドライバを書き、WIN100.BIN/OVLからHerculesビデオコードをパッチし、互換性のないWindows 1用ドライバをApricotのIntel 8086 CPUと9インチモノクロディスプレイに適した新しいSYSTEM.DRVで置き換えました。プロジェクトには、著者の婚約者が設計したRAMアップグレードも含まれ、Windows 2のメモリ要件を満たしました。 この成果は、1987年にWindows 1をポートした以前の取り組み(マージドライバを使用していたが新機能の完全サポートがなかった)を踏襲しています。現在、Windows 2が稼働することで、Word、Excel、PC Paintbrushなどのアプリケーションをレガシー硬件上で利用できるようになり、古いシステムでも適度なアップグレードで再活性化できることを示しています。著者はMastodonスレッドでフィードバックを歓迎し、リトロコンピューティングコミュニティ内でさらなる改善や議論が行われる可能性を示唆しています。 ## Summary Skeleton **What the text is mainly trying to say (main message)** 著者はWindows 2を古いApricot PCにポートし、カスタムドライバとRAM拡張ボードでハードウェア制限を克服しました。 **Evidence / reasoning (why this is said)** - 著者はMicrosoft DDKを使ってスタブドライバを書き、WIN100.BIN/OVLからHerculesビデオコードをパッチしました。 - Windows 1のドライバが互換性がなかったため、新しいSYSTEM.DRVを実装しました。 - ポートには著者の婚約者が設計したRAM拡張が必要でした。 **Related cases / background (context, past events, surrounding info)** - Apricot PCはIntel 8086と9インチモノクロ画面でVGAグラフィックスを持たなかった。 - Windows 1は1987年にApricotへポートされ、ブートファイルにはマージドライバが含まれていた。 - 以前の試みでは高速起動WIN100.BIN/OVLに依存していたが、完全なドライバサポートは欠如していた。 **What may happen next (future developments / projections written in the text)** 著者はMastodonスレッドでコメントを募集し、貢献者への感謝と共に継続的な議論やさらに微調整の可能性を示唆しています。 **What impacts this could have (users / companies / industry)** - レガシー硬件上でWord、Excel、PC PaintbrushなどのモダンWindowsアプリケーションが動作できるようになる。 - 最小限のハードウェアアップグレードでレガシーシステムを復活させる方法を示し、リトロコンピューティング愛好家に教育的価値を提供する。

2025/12/28 8:16

**Waycore – オープンソース・オフラインファースト型モジュラー現場用コンピュータ** - **目的** 遠隔地や通信環境が限られた場所でのフィールドワークを想定した、軽量かつモジュール式のコンピュータです。 - **主な特徴** - **オフラインファースト構成** – インターネット接続なしでもすべてのコア機能が動作します。 - **モジュラーハードウェア** – センサー、ストレージ、電源などを任意に組み替えられ、ミッションごとに最適化できます。 - **オープンソースファームウェア・ソフトウェア** – コミュニティ主導で開発され、セキュリティも透明性があります。 - **低消費電力** – バッテリーや太陽光発電に最適化されています。 - **頑丈な設計** – 耐衝撃・防塵/防水ケースで過酷環境にも耐えます。 - **利用例** - 環境モニタリング(気象ステーション、野生動物追跡) - 農業データ収集(土壌センサー、作物健全度評価) - 災害対応・緊急現場オペレーション - 遠隔地での科学研究 - **はじめ方** 1. GitHub公式リポジトリから最新版ファームウェアをダウンロードします。 2. ミッションプロファイルに合わせてハードウェアモジュールを組み立てます。 3. 提供されるツールでデバイスへファームウェアを書き込みます。 4. コマンドラインインターフェースまたは連携モバイルアプリから設定します。 - **コミュニティとサポート** - GitHub 上に活発なディスカッションフォーラムとイシュー追跡が用意されています。 - ドキュメントはリポジトリ内の Markdown 形式で公開されています。 - コントリビューション歓迎:コード、ハードウェア設計、翻訳、テストなど ---

## Japanese Translation: --- ## サマリー Waycoreは、アウトドア・サバイバル・オフグリッド用途向けに設計された柔軟でオフライン優先のフィールドコンピュータを構築するオープンソースプロジェクトです。そのデザインは適応性・レジリエンス・モジュラーハードウェア(外部センサー/ツールモジュール)と、外部アプリを実行可能な拡張可能なOSに重点を置いています。システムはインターネット接続不要で動作することを想定しており、必要に応じてユーザーがLTE/Wi‑Fi接続を有効化できるようになっています。 Waycoreの主要機能は、デバイス内で動作するエージェント型AIです。GPS・コンパス・環境センサーなどのライブセンサーデータを読み取り、オフライン知識に基づいて推論し、ナビゲーション、安全チェック、ログ記録、通信といった機能をサポートします。この全ては完全にオフラインで機能します。メインリポジトリにはOSアーキテクチャが https://github.com/dmitry-grechko/waycore にホストされており、別のリポジトリではオフライン参照用に無料ダウンロード可能なサバイバル・アウトドアPDFを https://github.com/dmitry-grechko/waycore‑knowledge で管理しています。 著者は現在、堅牢なタッチデバイス向けUI/UXの改善、ハードウェアモジュラリティとインターフェースの向上、ローカルで動作する効率的なエッジAIモデルの開発、および高品質なパブリックドメインまたは許容可能なサバイバル知識ソースのキュレーションに関してコミュニティからのフィードバックを求めています。外部アプリをサポートする拡張可能OSのガイドラインは現在進行中です。成功裏に実装されれば、ハイカーや緊急対応者、遠隔環境で頑丈かつインターネット非依存型コンピューティングツールを必要とするすべての人々に有用となります。