kdnakt blog

hello there.

今週気になったTLS関連のニュース

2022年11月21日~11月27日に読んだ中で気になったニュースとメモ書き(TLSらじお第82回の前半用原稿)です。

 

 

[プログラミング言語Rune]

こちらのツイートから。

Runeリポジトリはこちら。

github.com

Runeという新しい言語があるっぽい(最初のコミットは2021年11月、2022年11月現在未完成)。
Pythonにインスパイアされた、とあるがパッと見はRustとかGoっぽい気もする。

func checkMac(macSecret: secret(string), message: string, mac: string) -> bool {
    computedMac = computeMac(macSecret, message)
    return mac == computedMac
}

他にも、シークレットに対する処理を一定時間で行なってくれてサイドチャネル攻撃を防いだり、SpectorやMeltdownのような投機的実行の脆弱性にも耐性があるとのこと。
C言語よりもメモリ、速度面で良い結果が出ているらしい。気になる。

 

[OpenSSLのkTLS zerocopy sendfile]

こちらのツイートから。

リンク先はこちら。

github.com

プルリクが最近マージされた様子。
sendfile()はLinuxシステムコールで、ファイルディスクリプター間でデータをコピーしてくれるやつ。カーネル内で処理が完了するので、read()とwrite()を使うよりも高速とのこと。ただ、TCPの再送時点でファイルの内容が変わっていると新旧データが入り混じった状態で到達するという問題があったらしい。

manpages.ubuntu.com

kernelメーリスの投稿によると、zerocopy sendfileはsendfileよりさらに高速化している一方で、再送時にデータが変更されているとTLSレコードレイヤーで不整合が起こりbad signatureアラートでTLSコネクションがクローズされてしまうらしい。変更の少ない静的ファイル向けとのこと。なるほど。

lore.kernel.org

 

[eIDAS規制とQWACs]

こちらのツイートから。

リンク先はこちら。

educatedguesswork.org

EUがeIDAS規制というのをやろうとしている話は前に軽く取り上げた。ポイントをあまり理解できていなかったのだけど、どうやらこういうことらしい。

  • QWACのIDをブラウザ上に表示する必要がある
  • ブラウザのルートプログラムに受け入れられてなくてもEU加盟国が許可したCAの証明書を受け入れる必要がある

めちゃくちゃだな...。ドメイン認証で発行された証明書のサイトに情報を送信する際に警告を表示せよ、みたいな話もあるらしい。

 

[その他のニュース]

TwitterTLSを廃止?

こちらのツイートから。

TLSを今週廃止するってなんのことかと思ったら、TLS APIとGraphQL APIがあって、レガシーなRest APIのことをTLS APIって呼んでるっぽい。紛らわしい...。

 

HTTPSは不完全?

こちらのツイートから。

BASE64で暗号化って、ネタですよね...?
テレグラムってロシア製のE2EEチャットだっけか。先週取り上げたZoomのホワイトペーパーでも読めばいいんじゃないかしら。鍵管理の方法とかもしっかり書かれてるし。

kdnakt.hatenablog.com

 

WikiLeaks

こちらのツイートから。

11月27日深夜に証明書が更新されたっぽい。日付が変わったタイミングでアクセスしたら問題なくアクセスできた。

 

▼OpenSSLとHPKE

こちらのツイートから。

これもプルリクがマージされたっぽい。

github.com

HPKEはEncrypted Client Helloなどの基盤になっている。既にOpenSSLはECHをサポートしているけど、今後新しい暗号スイートが追加された時のために、ということらしい。

blog.jxck.io

 

楕円曲線jq255

こちらのツイートから。

jq?と思ったらjsonのやつじゃなくて、Community Cryptography Specification Projectのリポジトリで新しい楕円曲線の仕様が提案されているらしい。

research.nccgroup.com

github.com

他の楕円曲線よりも高速で、電子署名のサイズも小さく(通常64バイトのところ48バイト)、実装も容易らしい。すごい。
そのうちTLSでもsupported groupに追加されるのだろうか...。

www.iana.org

 

[まとめ]

アドベントカレンダーに何か書こうかなあ...。