2022年11月14日~11月20日に読んだ中で気になったニュースとメモ書き(TLSらじお第81回の前半用原稿)です。
[EdgeのTLS証明書検証]
こちらのツイートから。
Changes to TLS Certificate Verification in Edge
— 🎻 (@ericlaw) 2022年11月18日
tl;dr: New verifier (you shouldn't notice any difference), same Windows trusted root list, carried within the browser itself.https://t.co/oP078kELa9
リンク先はこちら。
今のEdgeはOS独自のTLS基盤(多分Schannelのことだろう)を利用しているが、将来的にEdge独自のルートストアを持ち、証明書検証ロジックも独立するとのこと。証明書検証ロジックはmacOSやAndroid上で動作するものも共通になるが、iOSについてはAppleのポリシーにより証明書ストアも検証ロジックもAppleのものが利用されるらしい。
ユーザーが独自にインストールした証明書も利用できるように、OSのトラストストアも参照してくれるらしい。あまり心配はなさそう...。
2022年12月にリリース予定のEdge 109以降でテスト可能になり、翌月リリースされるEdge 110でデフォルトがEdgeのルートストアに切り替わるとのこと。
参考:リリーススケジュール
[e-Tugra認証局]
こちらのツイートから。
— Ryan Hurst (@rmhrisk) 2022年11月17日
リンク先はこちら。
認証局は色んな攻撃の対象になっているにも関わらず、セキュリティ対策が不十分なのでは?ということでトルコのe-TugraというCAを調査した結果色々と問題点が見つかったとのこと。同CAはApple、Google、Mozillaなどのルートストアで信頼されているらしい。でもまああと半年くらいならいいか...?
管理者ページやログは基本的にトルコ語で書かれているものの、各種ツールをWeb上で利用するためのデフォルトのパスワードが管理者用ホームページに堂々と記載されているらしい。admin123% って...。
なお悪いことに、管理者ページのくせにユーザーがサインアップ可能になっているものもあるらしい。サインアップすると、証明書発行を依頼した人の個人情報が閲覧できる状態だったとか。管理者とは...。
管理者画面がそういう状態ならエンドユーザー向け画面にも問題があり、アカウントを乗っ取って証明書の再発行ができる可能性が指摘されていた。再発行だけならあまり問題はない気もするが、失効させられてしまうとしたら辛い気がする。
現時点では管理者画面はインターネットからアクセスできなくなっており、e-Tugra CAは解決に向けて動いているとのこと。
[ZoomのE2E暗号ホワイトペーパー]
こちらのツイートから。
Multi-device has a lot of corner cases when considering that devices break, attackers might break in, etc.
— Lea Kissner (@LeaKissner) 2022年11月16日
I recommend Key Transparency or something like the fancier version from the Zoom whitepaper.https://t.co/p8yXXV3uiG
リンク先はこちら。
ホワイトペーパー自体はPDFとして公開されている。
暗号方式としてCake-AESというAES-GCMベースの独自の(?)暗号方式を利用しているらしい。暗号化可能なメッセージのサイズとして、AES-GCMが64GiB、Chacha20-Poly1305が256GiBという制限があるのに対し、Cake-AESは2^109バイトまでいけるらしい。いくつ...?
2022年11月18日にパリ郊外で開催された第27回国際度量衡総会(General Conference on Weights and Measures)で、ヨタバイト(yotta, 2^80)の上のロナバイト(ronna, 2^90)とその上のケタバイト(quetta, 2^100)が定義されたので、512ケタバイトということになるのだろうか。全然想像がつかないけど、当面十分な量だろうとは思う。
デバイスごとの暗号鍵管理のセクションも気になるけど読めていない...。デバイスに保管されている鍵が紛失した場合は、デバイスの新規追加時と同じプロセスを踏む必要がある、というポイントだけは理解できた。
[その他のニュース]
▼CA/B Forum meeting: October 2022
こちらのツイートから。
The CA/B Forum made progress on some key initiatives: discussing the first S/MIME Baseline Requirements, discussing code signing token changes and discussing a proposal to move away from checking OCSP for revocation.
— DigiCert, Inc. (@digicert) 2022年11月16日
Read the recap: https://t.co/DMI29bN6qN pic.twitter.com/DVum4toPfX
リンク先はこちら。
CA/B Forumのミーティングがドイツで開催されたとのこと。
S/MIME証明書のBaseline Requirementsの初版が承認されたらしい。それよりはOCSPのチェックからの移行の話が気になる。CRLSetsやCRLiteの話だとは思うがどのような議論だったのだろうか。
▼古いOpenSSL
こちらのツイートから。
🔥Infineon, the major supplier of TPM chips, uses an 8-year-old version of OpenSSL for the InfineonTpmUpdate module inside UEFI firmware on the newest devices (include major enterprise vendors). https://t.co/iQBMKpruxQ
— Alex Matrosov (@matrosov) 2022年11月17日
リンク先はこちら。
https://www.binarly.io/posts/OpenSSL_Usage_in_UEFI_Firmware_Exposes_Weakness_in_SBOMs/index.html
ファームウェアで利用されているOpenSSLについてSBOM(Software Bill of Materials, ソフトウェア部品表)を元に調査したところ、Lenovo Thinkpadでは、1.0.0a (2014), 1.0.2j (2018), 0.9.8zb (2014)と3つの異なるバージョンの古いOpenSSLが利用されていたらしい。
OpenSSLってそんなところでも使われているんだな...バージョンを上げるのも難しそう。
▼IANAのTLSパラメータ最新版
こちらのツイートから。
https://t.co/MoAxCHPIwM 0x13,0x06
— Frank ⚡ (@jedisct1) 2022年11月18日
TLS_AEGIS_256_SHA384
- 0x13,0x07
TLS_AEGIS_128L_SHA256
😀
リンク先はこちら。
暗号スイートとして新しくTLS_AEGIS_256_SHA384、TLS_AEGIS_128L_SHA256が追加された模様。AEGISというのは新しい認証付き暗号アルゴリズムで、2021年からドラフトが出ている。
2013年の論文によると、AEGISはAESをベースにしており、AESの計算コストの半分程度のため高速、とのこと。
▼Fastlyのブログ
こちらのツイートから。
ECDSA-256とRSA-2048を比べると、署名生成はECDSAの方が高速だが、署名検証はRSAの方が高速。へーなるほど。 / “Is it Time for ECDSA Certificates?” https://t.co/h4cn2C3Q8t
— 年末u (@matsuu) 2022年11月20日
TLS証明書に4096bit RSAの鍵ペアを使用するぐらいならECDSAに移行しようぜ。せやな。256bit ECDSAは3072-bit RSA相当。 / “TLS Key Size: Why Bigger isn't Always Better | Fastly” https://t.co/Jk5KGVrNah
— 年末u (@matsuu) 2022年11月20日
リンク先はこちら。
TLSハンドシェイクのラウンドトリップを少なくするためにECDSAで鍵サイズを小さくした方がいい、と思っていたけど署名検証は微妙に遅いらしい。場合によっては5倍近い差がある(20ms vs 100ms)とのこと。
将来的に短い期間の証明書がたくさん必要になるとすると、鍵生成時間の短いECDSAの方が有利なのだろうか。2030年までにはRSA-2048が弱くなってしまうらしいので、今のうちに考えておかねば...。
[まとめ]
最近Twitterさんの挙動が色々怪しそうだけど、なるほどと思った(2022年11月20日現在では問題の表示はなくなった模様)。
証明書エラーの無視して続ける問題とちょっと似てる https://t.co/YVKVxMy6z9
— kjur セキュリティ IT 開発の私的情報収集用+少しつぶやき (@kjur) 2022年11月15日
