2023年3月27日~2023年4月2日に読んだ中で気になったニュースとメモ書き(TLSらじお第99回の前半用原稿)です。
[TLS WG 116概要]
こちらのツイートから。
ディスカッションタイムはスライドも無いし、ほんとライブの議事録たすかる
— ゆき (@flano_yuki) 2023年3月28日
TLS WGの議事録https://t.co/6ItUzax1lF
リンク先はこちら。
TLS1.3の改訂版ドラフト、cTLS(compact TLS)、Hybrid Key Exchange、ECH(Encrypted Client Hello)、Merkle Tree Certificate、Compact ECC encodings、DTLS1.3のパケット番号削除などいろんな話題が(各種ドラフト等へのリンクはアジェンダに)。
DeepLでざっと翻訳して議事録を読んでみたけど、用語が難しいし文脈も理解できてないしで、さっぱり...。現地参加しても何も得られなそう😭
YouTubeにセッションの動画が上がっていた。後で流し見して雰囲気だけ味わおう。
[TLS WG 116 TLS1.2非推奨について]
こちらのツイートから。
「TLS 1.2 Deprecation」について行われた議論を踏まえると、ポイントはこんな感じかしら?
— 菅野 哲 / GMOサイバーセキュリティbyイエラエ 取締役CTO (@satorukanno) 2023年3月28日
・TLS 1.2プロトコルに対するアップデートは停止
・新規にTLSを使うんであればTLS 1.3を使用
・TLS1.2を非推奨にするために、使用状況を監視して利用実績が十分に少なくなること…
先の議事録をざっとDeepLで眺めてみるとこんな感じ。
PCI-DSSにやらせればいいという主張。YouTubeのエンジニアの方がパッチが当てられないクライアントが多数いる点を指摘。TLS1.2は適切に使用すれば良いものだという意見。
FirefoxはTLS1.2の利用が一桁%以下なので、5年以内にサポートを切ることもあり得るとか。Cloudflareでも9%がTLS1.2だとか。
一方でDTLS1.3はまだ十分採用されていないので、DTLS1.2が非推奨となるのは当分先とのこと。
ブラウザが思ったより早くTLS1.2を切り捨てるかも、ということでTLS1.3の対応まだのところは急がないとな...。
[CRYPTREC暗号リスト改定]
こちらのツイートから。
これCRYPTREC暗号リスト改訂のフライング記事なのかな。デジ庁の直リンは「資料」だし、CRYPTRECからの公式のニュースリリースがまだないhttps://t.co/1jEtOHz05S
— kjur (@kjur) 2023年3月31日
デジタル庁からのアナウンスはこちら。4名から計6件︎の意見があったとか。
暗号でアルファベットの大文字小文字を区別しろとかよくわからんご意見もある...。DSAを監視暗号リストに移せとか、SHA-1/3DESの廃止とかは今後の検討課題らしい。
CBCモードを推奨暗号にするな、という意見も。CBC自体は安全だと確認されており、TLS暗号設定ガイドラインで使い方には注意せよとの回答が。
最終的なリストは以下とのこと。
変更点については@kjurさんがまとめてくれている。
推奨暗号リストは国際的に使用されている推奨候補だったものが順当に推奨暗号になった。
— kjur (@kjur) 2023年3月10日
EdDSA
SHA-512/256
SHA3-256
SHA3-384
SHA3-512
SHAKE128
SHAKE256
XTS
ChaCha20-Poly1305
ISO/IEC 9798-4
推奨候補暗号リストは国産暗号は大方推奨のまま、PC-MAC-AESも推奨のまま。
監視暗号リストは変更なし
耐量子暗号は流石にまだ推奨候補になったりするほどメジャーではない様子。
[その他のニュース]
▼Bulletproof TLS Newsletter #99
こちらの記事から。
先週取り上げたSectigoのCTログSabreの事故がトップ。
その他、うちで取り上げてないニュースとしては、こんな感じ。
- EUのQWACKsが方向修正
- Amazon Trust Servicesがピンニングをサポートしないことを明言した
- ECDSAへの新たな攻撃
- 軽量OCSPの更新
- TLSでのパスワード送信に変わる新プロトコルOPAQUE
▼Keyless SSL
こちらのツイートから。
Keyless SSL (プライベート鍵を Cloudflare 外で管理)で、鍵サーバーの連携にセキュアな Cloudflare Tunnel を利用可能に(公開 DNS レコードは不要に)。https://t.co/F6AGMWHpuu
— kyhayama (@kyhayama) 2023年3月26日
Get started with Keyless SSL · Cloudflare SSL/TLS docshttps://t.co/xprmj56xC9 pic.twitter.com/8IwAr98VkK
リンク先はこちら。
Cloudflareに秘密鍵を共有したくない場合に、秘密鍵をHSMに置いたままにして、Cloudflareに鍵サーバと通信させるのがKeyless SSLというやり方。金融とか医療系でそういうニーズがあるらしい。
で、これまでは鍵サーバをDNSに公開する必要があったが、Cloudflare Tunnelを使って安全に通信できるようになったとのこと。よく分からないけどcloudflaredを該当サーバにセットアップするとトンネルを作ることができるっぽい。
▼証明書ポリシー検証のドラフト
こちらのツイートから。
https://t.co/nhh6A0yR0w
— kjur (@kjur) 2023年3月27日
ポリシー検証のI-D、ポリシー検証の際のポリシーツリーの指数関数的増大がDoSに繋がることを気にしてツリー構造を有向非巡回グラフにしてノードの数を少なくしようって話なんだけど実際の実装では証明書の段数を制限してるんだから同様に処理するポリシマップの数や(続く)
ポリシーの数を実装で制限すりゃ十分じゃね?と思う。実物のCAではポリシマッピングほとんど使わないしポリシー数も少ないから指数関数的爆発が起きることはなくツリーで十分でこれが問題になることは起きない。OpenSSLでこの実装を強制されたら、当面バグ出まくって収束するまで随分かかる(続く)
— kjur (@kjur) 2023年3月27日
やっぱりほとんど使われてないんだな。数で制限する、は証明書パスの深さで十分かと思ってたけどそういうことじゃなさそう。
古い資料だけども自分が執筆したパートでITU-T X.509とRFC 3280の証明書のパス検証、特にポリシー処理の違いについてはここで図説している。ITU-Tがポリシーテーブル、3280がポリシーツリーを使っていることがなんとなくわかってもらえる
— kjur (@kjur) 2023年3月28日
GPKIアプリ実装ガイド報告書(H15)https://t.co/pNoGl36Ur1
せっかくリンク貼ってくれてたんだけど、3/31のIPAサイトリニューアルで見れなくなってた😭
とりあえずInternet Archiveで見れたからよかったけど...。WARPとやらのサイトでも検索できなかったし、IPAがデータ保存する気ないのどうなのよ...。
こちらのツイートによればWARP上で一応見れるらしい。みた感じ確かにwayback machineでいいじゃん感がすごい...自前でやってることに意味があるんだろうな。
公式曰く、WARP(ワープ)に移動したそうです。(Wayback Machineと何が違う?という話はさておき)https://t.co/ubtf1lpgpYhttps://t.co/bX2NdQWFy6
— セガビ (@segavvy) 2023年4月2日
リンクが死んでる件についてはTwitter上で非難多数。年度末の予算期限のための突貫工事説もあってなんだか残念...。
▼形式的安全性検証ツールProVerif
こちらのツイートから。
『ProVerif入門』https://t.co/qyYnLdP4ix
— ゆき (@flano_yuki) 2023年3月28日
暗号プロトコルの形式的安全性検証ツールのProVerif入門したい。たすかる。
リンク先はこちら。
使いこなせる気はしないが存在だけ覚えておこう...。
TLS1.3の策定に当たって専門家が色々分析したらしいけど、こういうツールも使われたんだろうか。
▼IETF maprg
こちらのツイートから。
maprgで『On the Interplay between TLS Certificates and QUIC Performance』の発表聞くよーhttps://t.co/TzN3Xx1h7Y (pdf)
— ゆき (@flano_yuki) 2023年3月29日
Measurement and Analysis for Protocols (maprg)というリサーチグループがあるらしい。発表資料は以下。
ECDSAの証明書にしたり、証明書を圧縮したりとか色々やってるっぽい。証明書の圧縮はサーバはともかく、クライアントやライブラリの対応が大変そうみたい。
▼ARI対応クライアント
こちらのツイートから。
Oooh!! ARI in Anvil/Certes :) https://t.co/DUQDQI61fd https://t.co/0YmY8h1JMc
— Ryan Hurst (@rmhrisk) 2023年3月29日
リンク先はこちら。
先週話してたACME Renewal Informationに対応したクライアントが出たらしい。元々はCertesというツールで、それをフォークして機能追加したのがAnvilだそう。
▼Java 20
こちらの記事から。TLS関係のアップデートが少し。
https://blogs.oracle.com/java/post/the-arrival-of-java-20
新しくTLS鍵交換の名前付きグループをカスタマイズ。
[JDK-8281236] (D)TLS key exchange named groups - Java Bug System
Chacha20とPoly1305の組み込み実装を使って加速。
[JDK-8288047] Accelerate Poly1305 on x86_64 using AVX512 instructions - Java Bug System
[JDK-8247645] ChaCha20 Intrinsics - Java Bug System
TLS_ECDH_系スイート、DTLS1.0を無効化。
[JDK-8279164] Disable TLS_ECDH_* cipher suites - Java Bug System
[JDK-8256660] Disable DTLS 1.0 - Java Bug System
[まとめ]
英語もっとできるようになりたいな...。
