今週気になったTLS関連のニュース

2022年11月14日~11月20日に読んだ中で気になったニュースとメモ書き(TLSらじお第81回の前半用原稿)です。

 

 

[EdgeのTLS証明書検証]

こちらのツイートから。

リンク先はこちら。

learn.microsoft.com

今のEdgeはOS独自のTLS基盤(多分Schannelのことだろう)を利用しているが、将来的にEdge独自のルートストアを持ち、証明書検証ロジックも独立するとのこと。証明書検証ロジックはmacOSAndroid上で動作するものも共通になるが、iOSについてはAppleのポリシーにより証明書ストアも検証ロジックもAppleのものが利用されるらしい。
ユーザーが独自にインストールした証明書も利用できるように、OSのトラストストアも参照してくれるらしい。あまり心配はなさそう...。
2022年12月にリリース予定のEdge 109以降でテスト可能になり、翌月リリースされるEdge 110でデフォルトがEdgeのルートストアに切り替わるとのこと。

参考:リリーススケジュール

learn.microsoft.com

 

[e-Tugra認証局]

こちらのツイートから。

リンク先はこちら。

ian.sh

認証局は色んな攻撃の対象になっているにも関わらず、セキュリティ対策が不十分なのでは?ということでトルコのe-TugraというCAを調査した結果色々と問題点が見つかったとのこと。同CAはAppleGoogleMozillaなどのルートストアで信頼されているらしい。でもまああと半年くらいならいいか...?

管理者ページやログは基本的にトルコ語で書かれているものの、各種ツールをWeb上で利用するためのデフォルトのパスワードが管理者用ホームページに堂々と記載されているらしい。admin123% って...。
なお悪いことに、管理者ページのくせにユーザーがサインアップ可能になっているものもあるらしい。サインアップすると、証明書発行を依頼した人の個人情報が閲覧できる状態だったとか。管理者とは...。
管理者画面がそういう状態ならエンドユーザー向け画面にも問題があり、アカウントを乗っ取って証明書の再発行ができる可能性が指摘されていた。再発行だけならあまり問題はない気もするが、失効させられてしまうとしたら辛い気がする。
現時点では管理者画面はインターネットからアクセスできなくなっており、e-Tugra CAは解決に向けて動いているとのこと。

 

[ZoomのE2E暗号ホワイトペーパー]

こちらのツイートから。

リンク先はこちら。

github.com

ホワイトペーパー自体はPDFとして公開されている。
暗号方式としてCake-AESというAES-GCMベースの独自の(?)暗号方式を利用しているらしい。暗号化可能なメッセージのサイズとして、AES-GCMが64GiB、Chacha20-Poly1305が256GiBという制限があるのに対し、Cake-AESは2^109バイトまでいけるらしい。いくつ...?
2022年11月18日にパリ郊外で開催された第27回国際度量衡総会(General Conference on Weights and Measures)で、ヨタバイト(yotta, 2^80)の上のロナバイト(ronna, 2^90)とその上のケタバイト(quetta, 2^100)が定義されたので、512ケタバイトということになるのだろうか。全然想像がつかないけど、当面十分な量だろうとは思う。

www.nature.com

バイスごとの暗号鍵管理のセクションも気になるけど読めていない...。デバイスに保管されている鍵が紛失した場合は、デバイスの新規追加時と同じプロセスを踏む必要がある、というポイントだけは理解できた。

 

[その他のニュース]

▼CA/B Forum meeting: October 2022

こちらのツイートから。

リンク先はこちら。

www.digicert.com

 

CA/B Forumのミーティングがドイツで開催されたとのこと。
S/MIME証明書のBaseline Requirementsの初版が承認されたらしい。それよりはOCSPのチェックからの移行の話が気になる。CRLSetsやCRLiteの話だとは思うがどのような議論だったのだろうか。

 

▼古いOpenSSL

こちらのツイートから。

リンク先はこちら。

https://www.binarly.io/posts/OpenSSL_Usage_in_UEFI_Firmware_Exposes_Weakness_in_SBOMs/index.html

ファームウェアで利用されているOpenSSLについてSBOM(Software Bill of Materials, ソフトウェア部品表)を元に調査したところ、Lenovo Thinkpadでは、1.0.0a (2014), 1.0.2j (2018), 0.9.8zb (2014)と3つの異なるバージョンの古いOpenSSLが利用されていたらしい。
OpenSSLってそんなところでも使われているんだな...バージョンを上げるのも難しそう。

 

▼IANAのTLSパラメータ最新版

こちらのツイートから。

リンク先はこちら。

www.iana.org

暗号スイートとして新しくTLS_AEGIS_256_SHA384、TLS_AEGIS_128L_SHA256が追加された模様。AEGISというのは新しい認証付き暗号アルゴリズムで、2021年からドラフトが出ている。

datatracker.ietf.org

2013年の論文によると、AEGISはAESをベースにしており、AESの計算コストの半分程度のため高速、とのこと。

 

▼Fastlyのブログ

こちらのツイートから。

リンク先はこちら。

www.fastly.com

www.fastly.com

TLSハンドシェイクのラウンドトリップを少なくするためにECDSAで鍵サイズを小さくした方がいい、と思っていたけど署名検証は微妙に遅いらしい。場合によっては5倍近い差がある(20ms vs 100ms)とのこと。
将来的に短い期間の証明書がたくさん必要になるとすると、鍵生成時間の短いECDSAの方が有利なのだろうか。2030年までにはRSA-2048が弱くなってしまうらしいので、今のうちに考えておかねば...。

 

[まとめ]

最近Twitterさんの挙動が色々怪しそうだけど、なるほどと思った(2022年11月20日現在では問題の表示はなくなった模様)。