先週に続き、2022年3月14日～3月20日に読んだ中で気になったニュースとメモ書きです。

 

• [フェルマーアタック]
• [Cloudflareの証明書バックアップ]
• [TLS1.3イラスト解説]
• [OpenSSLのDoS脆弱性(CVE-2022-0778)]
• [ロシア情勢]
• [AWS KMSと第3ラウンド耐量子暗号]
• [その他のニュース]
  • ▼Azure DevOpsがTLS1.0/1.1をロールバック
  • ▼厚生労働省の証明書期限切れ
  • ▼PKCS#11のv3.1
  • ▼DTLS1.2のコネクションID
• [まとめ]

 

[フェルマーアタック]

このツイートで見つけたニュース。

More RSA public keys factored in the wild: https://t.co/mY5uTDFKxp

— Matthew Green (@matthew_d_green) 2022年3月14日

元のサイトはこちら。

fermatattack.secvuln.info

 

RSAでは、素数pとqを生成し、これらの積をNとし、65537×v+(p-1)(q-1)×u=1*1を満たすvの値（とついでにuの値）を拡張ユークリッドの互助法を用いて求め、Nと65537を公開鍵、dの値を秘密鍵とする。

このとき、pとqの値が近いと、pとqの中央の値をa、そこからの距離をbとして、N=(a+b)(a-b)と書けるため、Nの平方根から始めてaの値を推測していくことが可能、らしい。

 

日本語の翻訳記事がデモつきで公開されていた。

qiita.com

 

富士フィルムのプリンタのTLS証明書で見つかった問題ということで、プリンタとの通信内容が盗聴される感じの脆弱性になりそう。

富士フィルムのサイトでは、回避策としてファイアウォールの中でプリンタを使え、とあるが、LANでの攻撃はできてしまうのであまり意味がないのでは...。

www.fujifilm.com

 

[Cloudflareの証明書バックアップ]

こちらのツイートより。

こりゃすごいな。私のような古いPKI屋は理解できないだろうな。Cloudflareでは何か大量に問題があったとき証明書をすぐ再発行、利用できるように事前に別の証明書をバックアップで発行しておくそうだ。https://t.co/oIdWwOHpyu

— kjur セキュリティ IT 開発の私的情報収集用＋少しつぶやき (@kjur) 2022年3月14日

Scottさんも言及している。

I regularly talk about the potential value of backup certificates in our @feistyduck TLS/PKI training! It's awesome to see that you now get this without any additional effort on @Cloudflare 💪 https://t.co/EfHICqP4CB

— Scott Helme (@Scott_Helme) 2022年3月14日

 

元の記事はこちら。秘密鍵も認証局も異なる証明書がバックアップとして用意されるらしい。認証局のルート証明書が危殆化した場合にも有効そう。

blog.cloudflare.com

 

[TLS1.3イラスト解説]

『暗認本』の作者herumiさんがzennの記事を書いていた。

zenn.dev

 

TLS1.2まで（しかも中途半端に）しか理解していないので、いきなりClientHelloでECDH鍵共有開始、と書かれていてびっくりした。ServerKeyExchangeハンドシェイクメッセージとか用無しになってしまったのか...。

 

[OpenSSLのDoS脆弱性(CVE-2022-0778)]

The Daily Swigのこちらの記事で知った。

portswigger.net

 

楕円曲線パラメータが不正な証明書を読み込んだ際に、BN_mod_sqrt()関数が無限ループしてしまうとのこと。Zennの記事が発生条件を詳細に解説してくれていた。

zenn.dev

 

Twitterで、Red Hat Enterprise Linuxでは楕円曲線を無効化しているので問題ない書かれているのを見かけたが、Red Hatのサイトを見る限りでは、無効化というよりは有効なパラメータかどうかチェックした上で問題の関数を呼び出しているので問題ない、ということのようだ。 

 

この問題によって、Node.jsのセキュリティリリースが行われたらしい。

nodejs.org

 

OpenSSLに脆弱性はあったが、機密情報の漏洩につながる可能性のあった2014年のHeartbleed脆弱性に比べるとまだまだのようだ。

 

[ロシア情勢]

先週も扱ったロシア情勢の続報。

 

Helme氏によると、ロシアの.ruドメイン以外にも、.suドメイン（ソビエト連邦*2）、.byドメイン（ベラルーシ）に対しても証明書発行を停止する認証局が出てきたとのこと。

It's now clear in the issuance patterns that some CAs have ceased issuance to .ru, .su and .by domains. I've highlighted in green -> orange where there was a clear cessation of issuance to those domains, and highlighted in blue where issuance seem to have spiked for other CAs. pic.twitter.com/XUAM61ezIp

— Scott Helme (@Scott_Helme) 2022年3月16日

元データはこちらで公開されている。

WebPKI Issuance and CRL Revocation of Russian/Belarusian subjectAltName:dNSNames (.ru, .su, .by) · GitHub

 

関連するツイートで知ったが、Let's EncryptはCRLによる失効情報を提供していないらしい。そういう認証局もあるんだ。

There are also some fairly apparent patterns in the revocation of certificates issued to those domains too. Note that revocation data is only from CRLs, so CAs that do not provide a CRL will always show 0, like ISRG (Let's Encrypt). pic.twitter.com/v6OVvahQ3a

— Scott Helme (@Scott_Helme) 2022年3月16日

 

[AWS KMSと第3ラウンド耐量子暗号]

AWS KMSおよびACMが、NISTが進めている耐量子暗号標準化プロセスの第3ラウンドで提案されている暗号方式に対応したとの情報。

aws.amazon.com

 

第2ラウンドに対応したのが2020年11月だったので、1年4ヶ月ぶりのアップデートとなる。

aws.amazon.com

 

耐量子暗号についてはTLSらじお第23回で取り上げた。

github.com

 

予定では、2022-2024年の間に標準のドラフトが公開されるようだ。

csrc.nist.gov

 

耐量子暗号とTLSについては、最近Post-Quantum Networks WorkshopやCloudflare.tvの動画が公開されていた。

Around TLS and post-quantum, @dstebila talks about the research around the matter: https://t.co/XNTpkGzwYY

— sofía celi (@claucece) 2022年3月18日

Then, we have the TLS pair Chris Wood and @dstebila talking about TLS and post-quantum: https://t.co/ql4wIZJQmz

— sofía celi (@claucece) 2022年3月18日

 

[その他のニュース]

▼Azure DevOpsがTLS1.0/1.1をロールバック

IPv6ではうまくいったが、IPv4で問題があったため、TLS1.0/1.1の無効化を取り消したとのこと。

www.theregister.com

最新のOSを適用していない、特定の暗号スイートを無効化しているといったクライアントが原因らしい。

devblogs.microsoft.com

 

▼厚生労働省の証明書期限切れ

こちらのツイートより。

厚労省さん、証明書切れてますよ…https://t.co/tbViXBUNHc

— kyogoku (@kyogoku3) 2022年3月17日

 

切れていた時の証明書がこちら（3/17深夜に確認）。

その後すぐに新しい証明書がデプロイされたらしい。デプロイのタイミング次第だが、最低でも3月16日17時49分から3月18日10時30分までの40時間以上に渡ってサイトに接続できなかったものと見られる。

 

▼PKCS#11のv3.1

パブリックレビュー中とのこと。

PKCS#11 Specification v3.1 and PKCS#11 Profiles v3.1 are now available for public review and comment 👉 https://t.co/Y8uaY9aKI7

— Pkcs11Interop (@p11interop) 2022年3月17日

 

PKCS#11はスマートカードなどの暗号トークンにアクセスするAPIを提供しているらしい。TLSでもクライアント認証などで利用できるっぽい。

github.com

 

▼DTLS1.2のコネクションID

こちらのツイートより。

RFC 9146 on Connection Identifier for DTLS 1.2https://t.co/fX1XzB1oDT
おおー！！DTLS 1.2に コネクションID追加するやつがRFCになってた！

— ゆき (@flano_yuki) 2022年3月18日

 

普通のTLSですら追い切れてない、いわんやDTLSをや...。

 

[まとめ]

TLS1.3だ！耐量子暗号だ！と先進的な取り組みが見られる。

一方で、素因数分解されちゃいましたとか、TLS1.0廃止できませんでしたとか、証明書の有効期限切れちゃいましたとか、無限ループしちゃいましたとか、TLSを取り巻く様々な課題があり、安全な通信の難しさを痛感させられた。