今週気になったTLS関連のニュース

先週に続き、2022年5月16日~5月22日に読んだ中で気になったニュースとメモ書き(TLSらじお第57回の前半用原稿)です。

 

 

[QUIC v2:Working Group Last Call]

こちらのツイートから。

ドラフトはこちら。

www.ietf.org

 

v1をそもそも理解していないのにv2か...と思ったら、

QUIC version 2, which is identical to QUIC version 1 except for some trivial details

なのであまり変更はなさそう?

 

こちらの資料によると、Working Group Last Callの次はIETFの全体レビューを経て、最終的にRFCになるらしい。なるほど。

https://jprs.jp/related-info/guide/022.pdf

 

TLS関連ではセッションチケットをQUICの別バージョンで使い回してはいけない、という指定があった。

また、2022年4月18日のニュースで取り上げた、最初のメッセージから暗号化(というか難読化)を行うための初期ソルトが0x38762cf7f55934b34d179ae6a4c80cadccbb7f0aから0xa707c203a59b47184a1d62ca570406ea7ae3e5d3に変更になるらしい。SHA-1の衝突ハッシュから何の値になったんだろう...?

 

QUIC v2に関して日本語の参考記事を見つけた。

asnokaze.hatenablog.com

 

[Mozillaルートストアポリシー公式ブログ更新]

こちらのツイートから。

参照先の記事はこちら。

blog.mozilla.org

 

Mozillaのルートストアポリシーの変更点については2022年5月4日のニュースで軽く確認していたが、Common CA Database(CCADB )にてCRLURLを提供する必要がある部分とかは読み取れていなかった。

CCADBから完全な証明書失効データをプリロードできるようになるため、TLS接続の証明書検証時にCAのインフラへの依存がなくなる、というのがメリットらしい。なるほど。

 

[CTログ:Google & Let's Encrypt]

こちらのツイートから。

 

2022年5月9日のニュースで取り上げたGoogleのCTログサービス廃止がキャンセルになったらしい。

ツイートではindefinitelyと書かれているが、メーリスの方では特にそのようなことは書かれておらず、5/16に404を返すようにするのは止める、ということか。どうせまたそのうちやっぱり止めるの止めた、とか言い出すんじゃなかろうか...。

 

それから、CTログ関連でLet's Encryptのブログにはこんな記事が。

letsencrypt.org

 

CTログを支えるデータベース(Amazon RDS)の構成とか、GoogleOSS Trillianの運用に関する知見がたくさん。

Let's Encryptを運営するISRGの年次レポートによると、2021年は一日最大320万件の証明書を発行していたらしい。そりゃ物凄いペースでCTログも増えるわ...。

 

[その他のニュース]

▼ECDSA vs RSA

少し前のブログ記事を見つけた。

sectigostore.com

 

大まかには『プロフェッショナルSSL/TLS』8章に書いてあった内容だけど、自分的に新しい情報もちらほら。

量子コンピュータによって解読されるのはRSAだけかと思ってたけどECDSAもダメなのか...。2020年の記事でもECDSAはまだあまり使われていない扱いらしい。ECCの証明書、github.comとかhatena.ne.jpで使われてはいるんだけども、割合でいうとまだまだなんだろうか。

 

▼Client Helloブラウザ

こちらのツイートから。

 

こちらのサイトにアクセスすると、TLSのClientHelloメッセージを表示してくれるらしい。Go言語でTCP/IPのコネクションを捕まえてClientHelloを捕まえてHTTPハンドラに渡すような感じで実装されているとのこと。

アクセスするとたとえばこんな感じで表示される。

 

▼Ghidra

こちらのツイートから。

これもまた少し前のブログ記事。

raphaeldenipotti.medium.com

 

GhidraというのはNSAアメリカ国家安全保障局)が開発したOSSリバースエンジニアリングツールらしい。この文脈では、SREはSoftware Reverse Engineeringの略らしい。Site Reliability Engineeringだけじゃなかったのね...。

ghidra-sre.org

 

▼Terraform v1.2

知人の紹介で見かけたこちらの記事。

www.terraform.io

 

2022年5月19日にリリースされた構成管理ツールTerraformのv1.2で、以下のサポートを廃止する変更が入ったようだ。

 

あくまでTerraform本体の話で、AWSなどの各種プラグインは別とのこと。

 

HashiCorp繋がりで、同社のVaultが証明書管理ツールとして紹介されていた。シークレット値の保管だけじゃなかったのね...理解不足。

www.csoonline.com

 

[まとめ]

そろそろQUICちゃんと勉強しなきゃ...その前にTLS1.3か。