今週気になったTLS関連のニュース

先週に続き、2022年4月18日~4月24日に読んだ中で気になったニュースとメモ書き(TLSらじお第54回 の前半用原稿)です。

 

 

[CVE-2022-21449:サイキック・シグネチャ]

こちらのツイートから。暗号バグ・オブ・ザ・イヤーて。

リンク先の記事はこちら。

neilmadden.blog

 

年末のLog4jに始まり、Spring4Shellもあったし、Java関連の脆弱性が最近目に付く。今回のサイキック・シグネチャJava脆弱性である。

 

Java15〜18で、ECDSAというデジタル署名の検証にバグがあり、メッセージmに対する署名値(r,s)が、本来であればそれぞれ1以上の値でなければならないところ、0で有効な署名と見做されてしまうらしい。

なぜ急にJava15からそんなバグが?と思ったら、古いネイティブコード(Cによる実装)を置き換えようとした結果、デグレードが発生したらしい。

 

kjurさんが色々と検証してくださっていた。

サーバー証明書に使ってみたり、クライアント認証を突破したり、他のライブラリでのJWT検証を確認したり。なるほど、JREのECDSA検証処理を使わず自前で実装してるライブラリを使ってる場合は影響がなさそう。

 

こちらのツイートによると、ECDSAでなく、EdDSA(エドワーズ曲線DSA)やSchnorrといった新しい署名方式を利用するとよい、とのこと。

 

Rustの暗号チームのツイートによると、RustではNonZeroScalarという型を定義することで同種のバグを防いでいるらしい。

 

日本語でも記事が出ていた。

forest.watch.impress.co.jp

 

[Google Transparency Reportサービス終了予定]

久しぶりにCT(証明書の透明性)ログを確認しようとして、Googleのサイトを表示したところ、2022年5月15日サービス終了予定と表示されていた。

transparencyreport.google.com

 

Googleが証明書の透明性の維持にパワーを割かなくなる、ということではなく、画面上でログを検索できなくなるということらしい。APIとしては引き続き提供されるのだろうか。

検索できるの便利だったのにな...。5月以降はcrt.shとかを使うことになりそう。

 

[TLSチェックツール]

こちらのツイートから。

testssl.sh

QualysのSSL Server Testだとサーバー側にテストした記録が残ってしまうので、コマンドラインで実行できるのは良さそう。

 

証明書チェックのためのコマンドラインツールもあるらしい。良さげ。

github.com

 

[DTLS1.3]

こちらのツイートから。

www.rfc-editor.org

 

TLSは2018年に1.3が出ていたけど、DTLSはまだ1.3になっていなかったようだ。

初版から数えると5年以上かかっている模様。

 

そういえばQUICもUDPだった気がするけど、同じUDPのDTLSとはどういう棲み分けなんだろう...。

 

RFCのナンバリングに関するトリビアもあった。

 

QUICといえば、バイトごとに解説してくれるサイトがあるとのこと。

quic.ulfheim.net

 

[その他のニュース]

▼続々kTLS

こちらのツイートから。

速度のためにカーネルにオフロードしてると思ってたんだけど、意外とそうでもないらしい。ハードウェアじゃなくてソフトウェア実装だから?

 

▼t.coの証明書エラー

こちらのツイートから。

 

こういうPKI運用上のエラーは意外とよくあるみたい。先週もあったし...。

 

Firefox Telemetry

こちらのサイト。

telemetry.mozilla.org

Firefoxのbeta/nightlyバージョンに関する色々な統計データが見れるのを見つけた。SSLコネクションが利用可能になるまでのミリ秒とか、OCSPステープリングの利用回数などが見られる。

 

▼Bulletproof TLS and PKIの無料サンプル

こちらのツイートから。

『プロフェッショナルSSL/TLS』のバージョンアップ版にあたるBulletproof TLS and PKIの第1章 SSL, TLS, and Cryptographyが無料で読める。変更点も多そうなので読んでみるか...。

 

GMO代表のツイート

こちらのツイートから。

 

ちょっと何いってるかわからない...。こちらのツイートにもあるように他社も認証局を運営している。ロシアみたいに国営の認証局を設置せよということなのだろうか?

 

[まとめ]

サイキック・シグネチャBBCのSFドラマが元ネタらしい。カッコいいから見てみようかな。