先週に続き、2022年5月16日~5月22日に読んだ中で気になったニュースとメモ書き(TLSらじお第57回の前半用原稿)です。
- [QUIC v2:Working Group Last Call]
- [Mozillaルートストアポリシー公式ブログ更新]
- [CTログ:Google & Let's Encrypt]
- [その他のニュース]
- [まとめ]
[QUIC v2:Working Group Last Call]
こちらのツイートから。
『Working Group Last Call: QUIC Version 2』https://t.co/iTNr1UWVpF
— ゆき (@flano_yuki) 2022年5月18日
QUICv2がWGLC
ドラフトはこちら。
v1をそもそも理解していないのにv2か...と思ったら、
QUIC version 2, which is identical to QUIC version 1 except for some trivial details
なのであまり変更はなさそう?
こちらの資料によると、Working Group Last Callの次はIETFの全体レビューを経て、最終的にRFCになるらしい。なるほど。
https://jprs.jp/related-info/guide/022.pdf
TLS関連ではセッションチケットをQUICの別バージョンで使い回してはいけない、という指定があった。
また、2022年4月18日のニュースで取り上げた、最初のメッセージから暗号化(というか難読化)を行うための初期ソルトが0x38762cf7f55934b34d179ae6a4c80cadccbb7f0a
から0xa707c203a59b47184a1d62ca570406ea7ae3e5d3
に変更になるらしい。SHA-1の衝突ハッシュから何の値になったんだろう...?
QUIC v2に関して日本語の参考記事を見つけた。
[Mozillaルートストアポリシー公式ブログ更新]
こちらのツイートから。
Mozilla Security Blog
— kjur セキュリティ IT 開発の私的情報収集用+少しつぶやき (@kjur) 2022年5月17日
Revocation Reason Codes for TLS Server Certificateshttps://t.co/WRllmqHR8N
Mozillaのルートプログラムの改訂について記事が出ました。CRLにreasonCodeをちゃんと書けと。reasonCodeの使い方を明確化しましたよ、と。
参照先の記事はこちら。
Mozillaのルートストアポリシーの変更点については2022年5月4日のニュースで軽く確認していたが、Common CA Database(CCADB )にてCRLURLを提供する必要がある部分とかは読み取れていなかった。
CCADBから完全な証明書失効データをプリロードできるようになるため、TLS接続の証明書検証時にCAのインフラへの依存がなくなる、というのがメリットらしい。なるほど。
[CTログ:Google & Let's Encrypt]
こちらのツイートから。
The shutdown of these Google Certificate Transparency logs has been postponed indefinitely: https://t.co/laPauutp0B
— Andrew Ayer (@__agwa) 2022年5月16日
This is not obvious to outsiders, but the team which operates Google's logs is distinct from the team within Chrome that decides which logs Chrome should recognize.
— Andrew Ayer (@__agwa) 2022年5月16日
Hence, separate announcements about the logs (not) shutting down and Chrome deciding to (un)retire the logs.
2022年5月9日のニュースで取り上げたGoogleのCTログサービス廃止がキャンセルになったらしい。
ツイートではindefinitelyと書かれているが、メーリスの方では特にそのようなことは書かれておらず、5/16に404を返すようにするのは止める、ということか。どうせまたそのうちやっぱり止めるの止めた、とか言い出すんじゃなかろうか...。
それから、CTログ関連でLet's Encryptのブログにはこんな記事が。
CTログを支えるデータベース(Amazon RDS)の構成とか、GoogleのOSS Trillianの運用に関する知見がたくさん。
Let's Encryptを運営するISRGの年次レポートによると、2021年は一日最大320万件の証明書を発行していたらしい。そりゃ物凄いペースでCTログも増えるわ...。
[その他のニュース]
▼ECDSA vs RSA
少し前のブログ記事を見つけた。
大まかには『プロフェッショナルSSL/TLS』8章に書いてあった内容だけど、自分的に新しい情報もちらほら。
量子コンピュータによって解読されるのはRSAだけかと思ってたけどECDSAもダメなのか...。2020年の記事でもECDSAはまだあまり使われていない扱いらしい。ECCの証明書、github.comとかhatena.ne.jpで使われてはいるんだけども、割合でいうとまだまだなんだろうか。
▼Client Helloブラウザ
こちらのツイートから。
A little project I made for fun: go to https://t.co/Soe6sL0nZK to get a JSON representation of your TLS client's Client Hello message.
— Andrew Ayer (@__agwa) 2022年5月18日
I'm using Go's excellent cryptobyte library for parsing, as described in my latest blog post: https://t.co/uSm4auW3jL
こちらのサイトにアクセスすると、TLSのClientHelloメッセージを表示してくれるらしい。Go言語でTCP/IPのコネクションを捕まえてClientHelloを捕まえてHTTPハンドラに渡すような感じで実装されているとのこと。
アクセスするとたとえばこんな感じで表示される。
▼Ghidra
こちらのツイートから。
Bypassing SSL pinning on Android Flutter Apps with Ghidra https://t.co/wkOQ8GdUlk
— reverseame (@reverseame) 2022年5月18日
これもまた少し前のブログ記事。
GhidraというのはNSA(アメリカ国家安全保障局)が開発したOSSのリバースエンジニアリングツールらしい。この文脈では、SREはSoftware Reverse Engineeringの略らしい。Site Reliability Engineeringだけじゃなかったのね...。
▼Terraform v1.2
知人の紹介で見かけたこちらの記事。
2022年5月19日にリリースされた構成管理ツールTerraformのv1.2で、以下のサポートを廃止する変更が入ったようだ。
あくまでTerraform本体の話で、AWSなどの各種プラグインは別とのこと。
HashiCorp繋がりで、同社のVaultが証明書管理ツールとして紹介されていた。シークレット値の保管だけじゃなかったのね...理解不足。
[まとめ]
そろそろQUICちゃんと勉強しなきゃ...その前にTLS1.3か。