1週空いてしまいましたが、2022年9月12日~9月25日に読んだ中で気になったニュースとメモ書き(TLSらじお第73回の前半用原稿)です。
[Chrome Certificate Verifier]
こちらのツイートから。
Chrome独自のRoot Store (信頼するルートCA一覧)と証明書検証が開始したよというブログhttps://t.co/Gq24iMcc6r
— Yurika (@EurekaBerry) 2022年9月20日
105.0.5122.0以降OSやシステムではなくChromeのストアを利用。互換性のために従来通りシステムストアを見る設定ChromeRootStoreEnabled の用意あり。ただしChrome111で削除予定
リンク先の記事はこちら。
詳細はFAQにも:https://t.co/f7SSF1nimf
— Yurika (@EurekaBerry) 2022年9月20日
Chromeルートストア参照になっても、システムが明示的に信頼しているルートストアは引き続き参照するので、組織でポリシーで配布しているCA証明書も信頼されるものとして利用しつづけられるはず。
FAQの内容を読んでいると、そもそも証明書の検証に使われるのがプラットフォームのものから、Chrome Certificate Verifierに変更になっているらしい。
組織ポリシーの話はこの辺りに書いてあった。
Chrome Root Storeの動作確認方法は、こちらの通りhttps://t.co/812RLKgnPO
— ゆき (@flano_yuki) 2022年9月20日
動作確認には、Windowsではこのサイトに、Macではこのサイトにアクセスすれば良いらしい。OSのトラストストアとChrome Root Storeで差分がある証明書を使っているサイトでテストするとのこと。
本記事を執筆しているM1 Mac + Google Chrome 105.0.5195.125(Official Build)(arm64)では、まだChrome Root Storeが有効になっていないのが確認できた。
[ACMの動的中間証明書]
こちらのツイートから。
2022年10月11日より、Amazon AWSで発行する証明書はルートは固定なものの、中間CAは固定されずに動的に選択されて証明書を発行するように変更になるそうです。 https://t.co/eelhJ7nvKl
— kjur セキュリティ IT 開発の私的情報収集用+少しつぶやき (@kjur) 2022年9月15日
AWSのアナウンスはこちら。
PDTで2022年10月11日午前9時なので、JSTだと10月12日午前1時に変更。ルート証明書はAmazon Trust Services root CAで変更なし。中間CAの証明書でピンニングしていなければ、まず問題はなさそう。
下位CAの失効が遅れたので、それを改善するのが目的とのこと。
[その他のニュース]
▼RFC9295公開
こちらのツイートから。
RFC 9295はざっくりEd25519,Ed448,X25519,X448の証明書のkeyUsageの値の至極当たり前な話。
— kjur セキュリティ IT 開発の私的情報収集用+少しつぶやき (@kjur) 2022年9月14日
・X*は鍵交換用なのでkeyAgreement,encipher/decipherOnlyがつけられるが他はダメ
・Ed*は署名用なのでnonRep,digSig,cRLSig,keyCertSignがつけられるが他はダメ
でもなぜEE証明書でcRLSignつけていいの? https://t.co/dS3dhoOqZP
RFC9295の本文はこちら。
2018年のRFC 8410を更新する形。何がだめか明確に書いてなかったので明示した、と。
▼ACM+AWS Nitro Enclaves
こちらの記事から。Nginxはもともと使えたけどApacheに対応したと。
Nitro Enclavesはこういう機能でEC2の一部らしい。知らなかった。
▼TLS鍵導出のラベルの意味
こちらのツイートから。
仰る通り暗号強度ではなくて、(ラベル付した)目的外利用のリスクを低減するためではないですかね。 https://t.co/aSRkMUluSx
— Takamichi Saito, 齋藤孝道 (@saitolab_org) 2022年9月14日
大津さんのリプも勉強になる。
ラベルで用途ごとに鍵を分離し、HKDF自体破られてなければ、仮に一つの鍵が漏洩等で危殆化しても他に影響が及ぶことを防ぐためです。仰るとおり暗号強度自体変わらないですが将来的に色んな合わせ技による攻撃があってもその影響を限定的にしたいという意図があります。
— Shigeki Ohtsu (@jovi0608) 2022年9月14日
はい。もともとは鍵分離することで分析範囲が限定され形式証明とかやりやすくなる、という安全性解析側からの要請で導入されることになったようです。
— Shigeki Ohtsu (@jovi0608) 2022年9月14日
▼mTLS@Cloudflare
こちらの記事。
クライアント証明書をCloudflareの画面でサクッと用意できるのが便利そう。
Amazon WorkSpacesのアクセスにクライアント証明書を使ったことがあるけどなかなか面倒だった記憶。
▼中国のTLS1.3/ESNIブロック(2020年)
こちらのツイートから。
目論見通り機能したから遮断されたということか→TLS 1.3とESNIを使用した全てのHTTPSトラフィックをブロックしており、それらの接続に使用されたIPアドレス間のほかのトラフィックも、2~3分の短いインターバルでブロック / “中国がTLS 1.3とESNIを使用するHTTPSトラフィ…” https://t.co/XaL8KbjcdG
— Masanori Kusunoki / 楠 正憲 (@masanork) 2022年9月15日
記事自体は2年前のもの。
▼台湾マイナンバーカード(2013年)
こちらのツイートから。
"Factoring RSA keys from certified smart cards: Coppersmith in the wild"(拙訳:認証されたスマートカードのRSA鍵を素因数分解する:野生のCoppersmith) という2013年の論文があって、これメチャクチャ面白いと思うんだけどあまり知られてない気がするので連ツイで紹介 https://t.co/rzkmvrwRlD
— hnw (@hnw) 2022年9月11日
リンク先の論文はこちら。
この論文でいきなり面白いのが、1st authorがqmailやdjbdnsの作者、またEd25519の提案者としておなじみのDJB氏であること。相変わらず仕事しすぎである。
— hnw (@hnw) 2022年9月11日
内容としてはRSA公開鍵に対して擬似乱数生成器(PRNG)の偏りを利用して攻撃する話で、攻撃対象は台湾政府発行のマイナンバーカード的なICカードのRSA鍵。ICカードはRSA秘密鍵が外部に漏れずIC内でRSA署名を行うから安全なはずなのに、公開鍵を素因数分解されて秘密鍵が作られたら大問題。
— hnw (@hnw) 2022年9月11日
面白いのが、攻撃に使った公開鍵は国営のLDAPサーバから取得したという話。全国民のRSA公開鍵が公開されているとマイナンバーカードを利用するアプリケーションを民間でも作れるのがメリットだが、本論文のように攻撃のきっかけにもなってしまう。エストニアも同様に公開しているらしい。
— hnw (@hnw) 2022年9月11日
肝心の攻撃内容は、LDAPサーバから1024bit RSA公開鍵を200万個集め、同じ素因数を共有している鍵を高速に見つける攻撃(Coppersmith's attack)で103個の鍵の素因数p,qが判明。さらに判明した素数の偏りを手がかりに最終的に184個の鍵が素因数分解された、とのこと。
— hnw (@hnw) 2022年9月11日
DJBたちがこの内容を台湾政府に報告したところ、脆弱な184個の鍵全てを失効させて新しいカードを発行したとのこと。DJBはこの対応を非難しており、同時期に同じハードウェアで作られた全ての鍵ペアは危険であり交換すべきだと主張している。個人的には184個を再発行しただけでも偉いと思ってしまうが…
— hnw (@hnw) 2022年9月11日
本件、1024bit鍵だから攻撃が可能だった可能性もありそうですね(候補となる素数の総量の観点で)。2013年当時から新規発行分は2048bit鍵になっていたようで、同様の攻撃が成立する可能性は当時より下がっている気がします。
— hnw (@hnw) 2022年9月11日
日本のマイナンバーカードで同様の攻撃が成立したら面白いですが、後発なので十分検討されているんじゃないでしょうか。そもそも日本では公開鍵が公開されていない分だけ安全というのもありますしね。ちなみに日本のマイナンバーカードも2048bit RSA鍵です。
— hnw (@hnw) 2022年9月11日
[まとめ]
こんなツイートもあった。最近TLS自作してるのでとりあえず参加はしてみたものの、Discordを見る習慣がないのでどうなることやら...。
プロトコルスタック自作勢のコミュニティが見当たらなかったので作りました!既に自前の実装を持っている方も、これから自作するために情報収集したい方も是非!TLS自作勢とQUIC自作勢も大歓迎です!!https://t.co/Vulq0eWIXM
— YAMAMOTO Masaya (@pandax381) 2022年9月24日
