2022年10月24日~10月30日に読んだ中で気になったニュースとメモ書き(TLSらじお第78回の前半用原稿)です。
[CRITICAL: OpenSSL 3.0.7]
こちらのツイートから。
OpenSSL pic.twitter.com/i40BOxUDoP
— Ryan Naraine (@ryanaraine) 2022年10月25日
OpenSSLのCriticalなパッチ3.0.7が2022/11/01にリリースされる予定とのこと。UTCで13-17時なので日本時間だと11月2日になりそう。2021年にリリースされた最新の3.0.X系のみなので、影響範囲はそれほどでもないかも。
PortSwiggerの記事によると、2014年のHeartbleed脆弱性以来の重大度だとか。先日取り上げたDHEat攻撃への修正の可能性もあるが、専門家曰く未知の脆弱性ではないかとのこと。ドキドキ。
[Ivan Ristic氏のAMA]
こちらのツイートから。
Good morning! Our Twitter AMA with @ivanristic starts in one hour, at 10 am Central Time! pic.twitter.com/bnxrPvOvDZ
— Let's Encrypt (@letsencrypt) 2022年10月24日
TLSの実装でよくある問題は?と言う質問。
What are common TLS implementation issues? @ivanristic
— Let's Encrypt (@letsencrypt) 2022年10月24日
TLS1.3では全てが安全だが、証明書チェーンの問題があるサーバが2%ほどあるとのこと。
I dare say we know how to do these things now, and most tools come with sensible defaults. With TLS 1.3, it’s all secure. We’re still seeing just under 2% of servers with incorrectly configured certificate chains, which is a problem that’s usually difficult to notice.
— Ivan Ristic (@ivanristic) 2022年10月24日
ライブラリという点では、証明書検証に関するドキュメントが少なく最も問題があるらしい。
If we take “implementation” to refer to libraries and such, I think the most common issues will be related to certificate (PKI) validation, which is a very dense and poorly documented topic.
— Ivan Ristic (@ivanristic) 2022年10月24日
TLS1.3は安全というが将来的に安全でなくなる可能性は?という質問。
Here’s a question from Twitter user @ChrFolini: For years we have seen ciphers and TLS protocols being phased out in favor of newer ones. Do you see this slowing down in the future? Will we ever achieve a secure-enough-level that will last? @ivanristic
— Let's Encrypt (@letsencrypt) 2022年10月24日
これまでは多数の暗号スイートが定義されており問題を起こしてきたが、TLS1.3では実質3つのスイートしかなく心配が少ない、とのこと。
TLS 1.3 defines only five cipher suites and only 3 are used in practice. (The other two are designed for low-power devices.) The best thing about TLS 1.3 is that you don’t have to worry about the cipher suites that much. Finally.
— Ivan Ristic (@ivanristic) 2022年10月24日
RFC 8446を読むと確かにTLS_AES_128_GCM_SHA256が必須、TLS_AES_256_GCM_SHA384とTLS_CHACHA20_POLY1305_SHA256が推奨となっている。
TLS_AES_128_CCM_SHA256とTLS_AES_128_CCM_8_SHA256がローパワーのデバイス用ということか。知らなかった...。
[その他のニュース]
▼HTTP/3とQUIC
こちらのツイートから。
We've published an in-depth explanation of HTTP/3 and how it can make the web faster and more secure.https://t.co/9X7OtPg9rP
— DebugBear (@DebugBear) 2022年10月25日
リンク先はこちら。
QUICがTCPと比べてプロトコルの硬直化に強い理由として、OSのカーネルではなくユーザースペースでQUICが実装されている点が挙げられていた。TLS1.3部分はkTLSとかでカーネルでの実装の話も進んでいるはずなので、純粋にQUICの部分だけの話なのかな。
HTTP/2の図でh2cが触れられていないのが気になった。
▼SSLKEYLOGFILE Format for TLS
こちらのツイートから。
The SSLKEYLOGFILE Format for TLShttps://t.co/qMJ14DzMKP
— ゆき (@flano_yuki) 2022年10月25日
TLSのKEYLOGFILEのフォーマットを定義するdraft出てる!!大事なヤツだ#yuki_id
リンク先はこちら。
ブログにもまとめてくださっている。
Wiresharkなどにログファイルを渡すと、該当の通信を復号できるらしい。なるほど。
▼JDK暗号ロードマップ
こちらのツイートから。
JDKの暗号関連のロードマップだそうだ。ちゃんとこんなの出してくれてJavaは本当に誠実だなぁと思う。2022年10月18日リリースでいくつか影響がありそうなアップデートがあるようだ。
— kjur セキュリティ IT 開発の私的情報収集用+少しつぶやき (@kjur) 2022年10月24日
・PKCS12の保護アルゴリズムをHmacPBESHA256MACに変更、イテレーション1万
・SHA1コード署名されたjarの無効化 https://t.co/VkFtvCz40Q
リンク先はこちら。
https://www.java.com/en/jre-jdk-cryptoroadmap.html
ロードマップ知らなかった。2023年4月にはSSLv2/SSLv3を有効化するのをさらに難しくしようとしているとか。
関連して、最近のリリースでKerberos認証での3DES/RC4暗号化が無効化されたらしい。どちらもTLSでは廃止の方向で進んでいたので*1、むしろまだKerberosで使えたことに驚き...。
3DES and RC4 encryption types are now disabled by default in Kerberos. This change is now in Oracle JDK 11.0.17 and 8u351. This change was originally integrated in JDK 17.
— Sean Mullan (@seanjmullan) 2022年10月24日
[まとめ]
OpenSSLどうなるんだろう...。