すいません。
最近iPhoneでのセキュアなファイルのやりとりについて色々考えています。
iPhoneにはデフォルトでVPN機能があるのですが、やや難がありそうです。
写真を撮ってみました。
ネットワークの設定にVPNがあります。
こちらをクリックしてみると、、、
プロトコールが表示されます。
L2TPとPPTPとIPsecがあります。
これらのプロトコールはやや難がありまして、、、
1 L2TPは機械縛りが強い/ポートの穴開けが必要
2 PPTPはセッションの張りが弱い、平文、暗号化がRC4しかない
3 IPsecは設計が古い、暗号化アルゴリズムが弱い/機械の敷居が高い
等の難があります。
詳しくは、
http://www.tatsuyababa.com/NW-VPN/
が詳細です。
PPTPについてはこちら
http://www.tatsuyababa.com/NW-VPN/NW-200406-VPN04.pdf
L2TPについてはこちら
http://www.tatsuyababa.com/NW-VPN/NW-200407-VPN05.pdf
が詳しいです。
現在最も主流なSSL-VPNの設定がないのですが、多分
「頑張ってつくってね」
ってことなのでしょうか。
通常のiPhoneのVPN機能ではセキュリティに難がありそうです。
そこで考えて見ました。
継ぐ径路です。
IXにはもっとたくさん中継サーバーがありそうですが、割愛です。
自サーバーのapacheにhttpsを用意してDBから認証をかけられるようにしておきます。
そこにscp(ssh)でファイルを送って認証でみてもらうやり方です。
もっとも汎用性がありそうですが、、、
「残念ながら、iPhoneではWebブラウザ使いづらい」
のが欠点です。
折角のiOSのユーザーインターフェースが台無しです。
iPhoneではやはりWebブラウザは
「使わない」
のが良い気がします。
次にメールでセキュアに送る方法を考えて見ます。
SMTPをSSL/TLSで送る場合送信は、秘匿的です。
IMAPでの受信ではSSLは基本的にOnなのでこちらも秘匿的です。
赤い径路が暗号化済です。
メールのドメインが違うと平文なので安全ではありません。
緑の部分はつつぬけです。
つまり、同じドメインでの
1 SMTP over SSL
2 IMAP with SSL
なら径路が全てセキュアになります。
これは自サーバーか安心の於るメールサーバーで運用する必要があるかもしれません。
(が一番良いです。PPTPなんかよりずっと安全です。)
クラウドを使うのも良策です。
ただクラウド経由ではリアルタイム性についてフォローが必要かもしれません。
(やったことありませんが、ツイッターとかiOSのメッセージとかが機能を補完するのでしょうか。)
ただ径路のSSLの強度や認証について情報が少ないかも知れません。
プライベートクラウドだと同期が遅いかもしれません。
結論としてスライド04の
「iPhoneにデータをセキュアに送る 04
メール編 2
SMTP over ssl and same domain」
がもっとも安全かつ迅速にiPhoneにファイルを送れる手段と考えました。
これを利用して、、、あんなことやこんなことをやる予定です。
乞ご期待で御座います。
横濱です。
返信削除大変、ご無沙汰しております。
アレやコレをiPhoneへ送ってゴニョゴニョするんですね。
仰るように、独自ドメインサーバのみでSMTP over SSLなどでやり取りする方法が、リアルタイムプッシュ、ライトウエイトで他の端末においても汎用性がアリ、でオススメですね。
うちのサーバもPostfixとdovecot、OpenSSLで、SMTP over SSLやIMAP or POP3 over SSLをやっています。
ただ、ユーザに取ってはややこしい設定の意義を理解してもらうのに、少々時間を有するのが難点でしょうか。
iOSのL2TP/IPSecの使い出ですが、僕は自宅のRTX経由で、LAN内マシンへのVNC接続やストリーミングに使っています。
Twitterやfacebookも、トランザクションがWebアプリが走っているクラスタマシンへ、リアルタイムに伝播しないことが多く見られることから、即時性に疑問が残ります。
新たなシステム開発、期待しております。
来月のパシフィコ横浜には演題を出してウロウロしているので、もしチャンスがあればご連絡いただければ幸いです。
横濱先生、こんばんは。
返信削除こちらこそ大変ご無沙汰しております。
「Postfixとdovecot、OpenSSLで、SMTP over SSLやIMAP or POP3 over SSL」、まさにやりたいことでした。
流石、横濱先生。
同じ結論で安心致しました。
有り難う御座います。
IPSecはヤマハのルーターでVNCがいいですよね。
同じことを考えていました。
こちらは自分用に、と考えていました。
まさに、流石、横濱先生です。
またしても同じ結論で有り難う御座います。
JRCにも出席予定なのですが、あいにく金曜日だけの参加の予定です。
(家族会議の多数決により、土日は「横浜」から「舞浜」になりました。恐るべし、数の論理。)
金曜日に先生とお茶をした後ITEM見に行きたいです。
如何でしょうか。
発表とかぶらなければ良いのですが、、、。
メールお待ち申し上げております。
もし金曜日に合流可能なら是非御紹介させて頂きたい方がいらっしゃいます。
昨日も一緒にご飯を食べてきたのですが、いわゆる、天才です。
多分先生とすごく合うタイプの方だと思います。
(先生と似た雰囲気だなあ、と思っていたら京都の出身とのことでした。有り難い事に、京都の方とはとても気が合う人が多いです。)
Linuxの達人で、ネットワークとセキュリティの知識に長けており、加えてボロンのBNCTにトライしており、親切で、ハンサムな方です。
昔はナイジェリアで石油パイプラインを引いていたとのことです。
(まさに、多才な天才です。)
これから多分iPhone周りはこの方とやると思います。
是非是非、紹介させて下さい。
JRC、お会いできるのを楽しみにしております。
もし都合が良さそうであれば、メールお待ち申し上げております。
ありがとうございます。
削除先生は相変わらずお忙しいですね。
舞浜案件、最重要案件だと思います。
発表は木曜日ですが、金曜日の午後であれば大丈夫です。
BNCTをされているなら、熊取の京大原子炉にいらっしゃった方でしょうか。
先方にご迷惑でなければ、お茶とITEM、ぜひご一緒させていただければと思います。
またメールさせて頂きます。
横濱先生、こんばんは。
返信削除金曜日の午後、有り難う御座います。
ばっちりの時間です。
こちらは金曜日の11時の飛行機で行く予定なので、会場には午後2字に到着予定です。
2時に先生と落ち合う予定でどうでしょうか。
とても楽しみにしております。
何か案件あれば資料も準備していきますので、気軽にメールして頂ければ幸いです。
当日とても楽しみにしております。
午後二時、了解しました。
返信削除大変、楽しみにしております。
今年はパブリッククラウドへの医用画像アーカイブが、各社からアナウンスが出てきており、中止したいと思っています。
当日は宜しくお願い致します。
横濱先生、こんにちは。
削除金曜日の午後二時、有り難う御座います。
こちらこそ、とても楽しみにしております。
技術学会の発表、なるほどドビンゴだったのですね。
二人はいつも世界の先っちょなので、気にせずドッカンドッカンと行きたいところですが、、、ややおっかなびっくりなのでこちらも対策しておきたいと思います。
こっちのSMTP-SSLものでもクラウドは使わず、自社サーバーに切り替えおきます。(多分ITEMでちらっとお見せ出来ると思います。)
演題139の立石先生は、国立函館病院時代にお世話になった先生でした。
世の中狭いものですねえ。
当日楽しみにしております。
中止->注視、でした。
返信削除クラウド、ガッツリです。
スイマセン・・・。
SMTP-SSLもの成果物のご披露、楽しみにしております。
立石先生は国立函館で、テラリコンの3D遠隔配信をされていましたよね。
勘違いしてまして、僕は立石先生から二人ほど後の演題142になります。
僕はあいかわらず、空気を読まずにやっています(笑)。
中止、、、注視だったのですね。
返信削除御指摘有り難う御座います。
ちょっと日和って、SMTL over SSL/IMAP over SSLサーバーを自ドメインで取り直して作ってしまいました。
やっぱり横濱先生はがっつんがっつんですね。
心折れない自分でいたいものです。
立石先生はテラリコンな著明な先生です。
自分などよりとても偉い先生なので恐縮で御座います。
自分は野武士のようにたくましく生きています。
(どんどん意味不明になっていきます。)
成果物ですが、ポチッとすると
SSLなデータ本体+iPhoneMMS通知+携帯通知(ダブルorトリプルorテトリス)
で予定しております。
一斉にピローンとなるイメージで作りました。
いらないシリーズを省けたり、一括送信出来たり、バックがかなり自動だったりしています。
また「先生に優しい」作りになっています。(僕が楽したいだけなのですが。)
SSLな本体は自ドメインにしました。
(日和ってすいません。ちょっと前までパブなクラウドでした。金曜日までパブでした。土曜日に自ドメインになりました。)
Jpegなライトな感じと、濃厚なDICOM/OsirixHD直呼び出しの二本立ての予定です。
Jpegが20倍/DICOMが6倍圧縮で作りました。
3Gで頭部の拡散強調画像とFLAIRでJpegが3秒/DICOMが10秒ぐらいになりました。
大手の手が届いていないかゆいところ、の部分に特化して、注力しました。
(いつもの如く、狙うところは斜め上です。圧倒的な簡単さと高速さで勝負です。)
OsirixiHD直呼び出しはちょいとした裏技が御座いまして、、、当日お見せ出来ればうれしいです。"(^_^;)"
今日、物品一式お相手様に発送しました。
評判良いといいのですが。
(社内的にも、ITEM的にも、、、。)
横浜でお会いできるのを楽しみにしております。
相変わらず、先生を迷わしてお手数をかけてしまい、大変申し訳ありません。
返信削除ガッツリとパブクラウド、大丈夫だと思います。
僕もパブクラウドで行きます。
先生の提案は「圧倒的に」本質を突いており、納得の仕様ですね。
OsiriXHD呼び出しの裏技もあわせて、ご披露期待しております。
Osirixと言えば、先日リリースされた日本語版翻訳をやりました。
現バージョンは中途半端になっていますが、次のバージョンでは完全版が入る予定です。
横濱先生、こんにちは。
返信削除やっぱりパブはありでしたかあ。
もしパブがOKそうなら、匿名化してPACSの全データをZIPしたものをクラウド内に自動装填される仕組みも作ってしまっていたかもしれません。
(というかcronで送りまくるだけなのですが。)
IMAPはサーバー側に検索を持たせられるのでクラスタでHPCしておけば、患者IDで該当患者の写真ずらり/JpegでもDICOMでも自由自在、の予定でした。
(ニッチな市場ですが、訪問診療などでiPadで全患者写真ごにょごにょ、等と愚考しておりました。)
流石、横濱先生はがっつんがっつんですね。
素晴らしい。
Osirixの日本語翻訳!
そんなお仕事もされていらっしゃったのですね。
次バージョンにて先生のお仕事、拝見させて頂きます。
いやはや、ノリがXOOPSの頃のようですね。"(^_^;)"
先生の仰るような仕込み、大変興味があります。
返信削除実は最近、AWSあたりを使ってそのへんのパフォーマンスなんぞ見てみたりしてます。
国内クラウドではニフクラが辛うじて技術的に追従しているように見えますが、運用コストではもう少し頑張って欲しいです。
OsiriXの日本語訳はニュートングラフィックスさんと一緒にやらせてもらってますが、完全にボランティアです。あちらで手直ししていただくことが多いので、あんまり僕がやっている意味があるのかどうか(^_^;
あれから、VTKとLinuxで3Dグリグリものとか、クラスタやGPGPU(CUDA)を使った特定画像の自動探索抽出(デジカメの顔検出モノの超高速版)とか、小物をあれこれやってました。
この動画はフルスクラッチで作ったGPUアクセラレートされたグリグリモノの一例です。4年ほど前のMacBookProにLinuxを載せてVTKライブラリをベースに作りました。なぜlinuxかというと、これを作った当時のMacのVTKはレイキャスティングのGPUアクセラレータが効かなかったからです。最新のOsiriXにリンクされているVTKライブラリはGPUアクセラレータが効くようになりましたね。
最初にMIP、その後ボリュームレンダリングですが、非力なGPUの割りに頑張っていると思います。
http://www.youtube.com/watch?v=14ATW7VOL40