先週に続き、2022年8月15日～8月21日に読んだ中で気になったニュースとメモ書き（TLSらじお第69回の前半用原稿）です。

 

• [Mozilla Root Store Policyアップデート予定]
• [SPHINCS+署名の脆弱性]
• [その他のニュース]
  • ▼SSL Pulse Trends 2022年8月
  • ▼RSA PKCS#1v1.5の問題@USENIX
  • ▼Bouncy CastleのPQC対応ベータ版
• [まとめ]

 

[Mozilla Root Store Policyアップデート予定]

こちらのツイートから。

'It typically takes 2 to 3 years for a root certificate to get included into the major root stores. ... Therefore, a 15-year term allows for approximately 10 years of root CA use within the Mozilla root store. " https://t.co/QUcs925KHb

— Ryan Hurst (@rmhrisk) 2022年8月15日

リンク先はこちら。

groups.google.com

 

Mozilla Root Store Policyのアップデートが議論されている。メインはセクション7.4 “Root CA Life Cycles”の追加に関する内容。

CAのキーマテリアルが15年以上経過している場合、ルート証明書を信頼しなくなる、という話らしい。

ツイートで引用されている通り、通常ルート証明書がルートストアに入って配布されるまで2-3年なのでルート証明書は約10年Mozilla Root Storeで利用可能ということになる。Mozilla Root Storeには2000年代以前に作られた、有効期限が2,30年の証明書が多く含まれている。これらのルート証明書は途中で売買されたものもあり、2012年以降のCAB ForumのBaseline Requirementsや現行のMozilla Root Store Policyを満たしていないものがある、というのが15年という期限設定の背景らしい。

 

[SPHINCS+署名の脆弱性]

こちらのツイートから。

Another post-quantum cybersecurity algorithm weakness found. This time, digital signature SPHINCS+. "... can sign arbitrary messages, yielding signatures that appear valid". I mean, this was supposed to replace current, secure systems. https://t.co/BFO6Aq7u6N pic.twitter.com/ZLr3nmhUpY

— Lukasz Olejnik (@lukOlejnik) 2022年8月17日

リンク先の論文はこちら。

 

2022年7月に、NISTの耐量子技術コンペがひと段落して、最終候補が出揃い、2年後の標準化を目指す、という段階に入った。しかし、直後に耐量子暗号のSIKEが破られて話題となり、今度は耐量子電子署名のSPHINCS+でも問題がでたようだ。

 

論文のタイトルにSHA-256が含まれていることからもわかるが、こちらのツイートによればSHA2との組み合わせによる問題で、SHA3を利用しているSPHINCS+の最新バージョンでは問題がない、とのこと。

Cool! It is mentioned even in the title, but to emphasize: This clever attack relies on the small internal state (hash chaining value) of SHA2. Does not work with SHA3 (Keccak has an enormous 1600-bit internal state). Sphincs+ has already been updated; don't use the R3 version. https://t.co/HeV12fEGRT

— mjos\dwez (@mjos_crypto) 2022年8月17日

Indeed, this is why we moved to (truncated) SHA2-512 in the latest version of SPHINCS+. Somehow the abstract of this paper forgot to mention that the latest specification is not concerned by the attack.

— Andreas Hülsing (@cr_yp_to) 2022年8月17日

 

もっとも、NISTの発表によれば耐量子暗号の本命はKYBERだし、デジタル署名も他にCRYSTALS-DilithiumとFALCONというアルゴリズムが候補として残っているので、大勢に影響はなさそう。

csrc.nist.gov

 

[その他のニュース]

▼SSL Pulse Trends 2022年8月

こちらのツイートから。

SSL Pulse Trends 2022年8月分のアップデートを反映しました。https://t.co/xk2sjKutB8#sslpulse

本家は8月3日に更新されてたっぽいのに遅れてすみません。

— kjur セキュリティ IT 開発の私的情報収集用＋少しつぶやき (@kjur) 2022年8月14日

リンク先はこちら。

kjur.github.io

 

傾向としては大きな変化はないものの、SPDYのサポート率がこれまで微増し続けていたのが減少に転じていた。HTTP/2の元になったSPDYがむしろなぜ増え続けていたのか謎。SPDY非対応サーバが減り続けていた、ということだろうか？

 

▼RSA PKCS#1v1.5の問題@USENIX

こちらのツイートから。

A really great research paper on the risks in TLS ... https://t.co/ykI6N2JCGW pic.twitter.com/P850XWN8KF

— Prof B Buchanan OBE (@billatnapier) 2022年8月16日

リンク先の論文はこちら。

 

8月前半に開催されたUSENIXセキュリティシンポジウムで発表された内容。

デジタル署名（RSA PKCS#1v1.5）の計算中に発生する障害によって秘密鍵が漏洩する問題があり、WebサイトやVPN製品、ネットワークデバイスなどで問題が確認できたらしい。

詳細は読めていないのでまたいずれ...。

 

▼Bouncy CastleのPQC対応ベータ版

こちらのツイートから。

Next version of Bouncy Castle will also include CRYSTALS-Kyber, CRYSTALS-Dilithium, Falcon, and other algorithms! It is available as beta right now at https://t.co/eCO9dydNrV 🎉. A great way to experiment (with care!) with the schemes being standardized by NIST. https://t.co/V8aG5ZtZuD pic.twitter.com/duiGW9HSU6

— Tancrède Lepoint (@Leptan) 2022年8月17日

Javaの暗号ライブラリであるBouncy Castleのベータ版で、NISTが選定した耐量子アルゴリズムの最終候補が利用できるようになったとのこと。

 

[まとめ]

Bouncy Castleちょっと使ってみたい。