2023年5月8日～2023年5月14日に読んだ中で気になったニュースとメモ書き（TLSらじお*1第105回の原稿）です。
いくつか拾いきれなかったニュースもあるので、次週のお楽しみということで...。

• [フリーWi-Fiの危険性]
• [Bulletproof TLS Newsletter #100]
• [e-Tugra認証局のその後2]
• [その他のニュース]
  • ▼Certbot2.0の仕様変更
  • ▼Kyberのhash of shame
  • ▼CRYPTREC暗号鍵管理ガイダンス
  • ▼Erlangのクライアント証明書検証バグ（CVE-2022-37026）
  • ▼MS Edgeの証明書失効チェック
  • ▼FastlyのmTLS
• [暗認本：05アルゴリズム]
• [まとめ]

[フリーWi-Fiの危険性]

こちらのツイートから。

答え合わせ: フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか https://t.co/RFeWLvfJC4 #Qiita @ockeghemより https://t.co/eQBP9JivLw

— 徳丸 浩 (@ockeghem) 2023年5月8日

リンク先はこちら。

qiita.com

TLS関連で言うと、以下のあたりが関連する。

• HTTPでの接続
• 証明書の警告無視
• アプリの証明書検証不足
• サーバが脆弱なアルゴリズムを許可
• CookieのSecure属性欠落

上記はプロフェッショナルSSL/TLSでも触れられている内容。あとはショルダーハッキングくらいしか思いついてなかったけど、セッション固定化とかファイル共有は考えられてなかった。
個人的にはこういうの怖いのといちいち対策するのが面倒なので、フリーWi-Fiは繋がずキャリアのWi-Fiかテザリングを使うようにしている。

[Bulletproof TLS Newsletter #100]

こちらのツイートから。

From the TLS newsletter: Chromium will deprecate SHA-1 signatures in the TLS handshake. (Not to be confused with SHA-1 signatures in certificates, which were deprecated a while ago.) https://t.co/skqw2BXnav

Issue 100: https://t.co/NxfAPwHuiS

— Feisty Duck (@feistyduck) 2023年5月10日

そういえば本家のニュースレターが先月末に発行されたのを見逃していたorz

www.feistyduck.com

既に本ニュースで言及済みのものを除いて、いくつかのニュースをピックアップしておく。

• ChromiumがSHA1署名をTLSハンドシェイクで非推奨化予定(RFC 9155, 2021 Dec)
• トランスミッションキューを操作してWi-Fi暗号化をバイパス
• crt.shの証明書リンタ(502でアクセスできず詳細不明...)

毎週書いてる記事のいくつかは、本家のニュースレターでも取り上げられている。毎月ベンチマークというか答え合わせというか、便利に利用させていただいている。

[e-Tugra認証局のその後2]

こちらのツイートから。

"The above set of concerns introduces doubt in the reliability of the information provided by e-Tugra, and fails to demonstrate why continued trust is justified. "https://t.co/8wYys91oR4

— Ryan Hurst (@rmhrisk) 2023年5月11日

リンク先はこちら。

bugzilla.mozilla.org

2022年11月、2023年4月に取り上げたトルコのe-Tugra認証局の管理者ページがハックされた件の続報。あいかわらず、事後対応として実施されたはずのペネトレーションテストのレポートはちゃんとしたやつが出てきてない様子。

2023/05/11にはChromeルートプログラムポリシーに違反(in violation of the Chrome Root Program policy.)しているとの指摘も出ている。
タイムリーな報告がない、アーキテクチャや実装、運用に透明性がない、インシデントの根本原因や影響範囲への理解不足、などなど散々な言われよう。真面目にやっててこんなこと言われたら泣いちゃう...。

[その他のニュース]

▼Certbot2.0の仕様変更

こちらのツイートから。

Let's Encryptで自動で発行される秘密鍵を見ていると、今年の春ぐらいからなぜか秘密鍵の文字数がめっちゃ短くなっている。Let's Encryptの仕様でも変わったんだろうか？
これ大丈夫なのかな...。
たぶんUAGでの証明書がうまく動作しない問題もこれ起因しているぽい...。 pic.twitter.com/1dtV9Mm70l

— Shadowhat (@shadowhat) 2023年5月7日

鍵サイズが変わってるのはRSAがECDSAにでも変わったんだろうな、と思ったら案の定だった。

調べているとこの短い文字列は、ECDSA形式というみたいだ。
openssl ec -text < privkey.pem
で見ると正しい鍵であることが分る。
どうやらLet's EncryptでRSAで取得するためには、
「--key-type rsa」を付ける必要があるらしい。
(昔は、指定しなくてもRSAだったのに)https://t.co/46qKlzRqoZ

— Shadowhat (@shadowhat) 2023年5月7日

Certbot2.0での仕様変更が原因とのこと。

なるほど、Certbot2.0からデフォルトがECDSAになっと書いているので、certbotをバージョンアップした際に気にしてなかったけど実はECDSAに変わったんだろうな..。
ApacheとかだとECDSAで普通に動いちゃうので。
（certbot 2.0リリースは2022年11月）https://t.co/yDrojumn2r

— Shadowhat (@shadowhat) 2023年5月7日

community.letsencrypt.org

CertbotってLet's Encryptの出してるツールだったのね...よく分かってなかったorz
Certbot最新版は2023/05/10にリリースされた2.6.0の模様。

▼Kyberのhash of shame

こちらのツイートから。Hall of Fameみたいなネーミング。

If NIST keeps line 2, SHA3-256 hash of the 256-bit random number generated on line 1, I'll just call it "the hash of shame."
It's there because the designers of Kyber think that RNGs (or NIST RBGs) are so bad that they need post-processing like this. You know, just in case. pic.twitter.com/f7xsvlzisx

— mjos\dwez (@mjos_crypto) 2023年4月29日

耐量子暗号アルゴリズムとして知られるKyberの鍵カプセル化のアルゴリズム中に、乱数生成器(Random Number Generator)で生成された乱数を、さらにハッシュ化する手順が含まれている、とのこと。設計者が乱数生成器の安全性を信頼していないからこうなっているらしい。

直前のツイートでプロフェッショナルSSL/TLSのp.248で解説されているDual EC DRBG(Dual Elliptic Curve Deterministic Random Bit Generator)への言及がある。NSAがバックドアを仕込んだこのアルゴリズムが、10年近く経ってもKyberの設計に影響を与えている、とのこと。

Wow, people really don't trust their RNGs. The damage done by that NSA Dual EC s**t can still be felt, almost 10 years after the fact.
I have a little bit more faith as I build those. Really not a nation-state mystery to me how they work.

— mjos\dwez (@mjos_crypto) 2023年4月29日

 

▼CRYPTREC暗号鍵管理ガイダンス

こちらのツイートから。

CRYPTREC WGの委員として参加させていただいた、暗号鍵管理ガイダンス が公開されました🎉
鍵の管理は重要ですがなかなか難しい.. といったところにこのガイダンスがお役に立てれば嬉しいです。ぜひごらんくださいませ 🙏
「暗号鍵管理ガイダンス」https://t.co/dv3ckNTx4g

— Yurika (@EurekaBerry) 2023年5月9日

リンク先はこちらのPDF。ボリューミーなので全然読めてない...。
ガイダンスはあくまで副読本で、大元の暗号鍵管理システム設計指針の方が重要とのこと。

2020年公開「暗号鍵管理システム設計指針」はSP800-130に準拠した技術的設計指針であり、本日公開された「暗号鍵管理ガイダンス」は「検討する際の有用な副読本となる」とのこと。さらに理解が促進されることを期待。https://t.co/z3VOcKM6Ow

— Ichihara Hajime / 市原創 (@haj18) 2023年5月9日

ガイダンスの前半はS/MIME関連で、61ページ目以降がTLS関係。
79ページで、Webサーバで利用する証明書の話の中で、common nameの話が出てきている。2022年9月の本ニュースでも取り上げたように、コモンネームの検証は禁止されたと思っていたのだけど違うのだろうか...。

▼Erlangのクライアント証明書検証バグ（CVE-2022-37026）

こちらの記事から。

ubuntu.com

元のCVE自体は2022年9月に公開されたものらしい。Ubuntuにその修正が適用されたとのこと。

バグの詳細は調べてもよく分からなかったけど、やはり証明書検証は難しいのだろうな...と言う印象。

▼MS Edgeの証明書失効チェック

こちらのツイートから。

Certificate Revocation in Microsoft Edgehttps://t.co/O8XHQJHWmA

この記事はありがたい

— kjur (@kjur) 2023年5月9日

リンク先はこちら。

textslashplain.com

Edgeだけでなく、ベースとなっているChromiumの動向についてもまとめられている。
2022年10月の本ニュースで取り上げたけど、ChromiumがEV証明書の失効チェック廃止した話とかすっかり忘れていた...。

▼FastlyのmTLS

こちらのブログから。

www.fastly.com

むしろ、mTLS(mutual TLS)実装されてなかったんだな...くらいの驚き。Fastly全然使ったことないので、なんとも言えないけど。
ちゃんとセキュリティ規制調べたことないけど、医療系規制のHIPAAとか金融系規制のPCI DSSでもmTLSが要求されているようなことが上記記事では書かれている。なるほどな〜。

ドメイン2つまではmTLSを無料で利用できるらしい。

[暗認本：05アルゴリズム]

引き続き、ニュース以外のメインコンテンツとして『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』を読んでいく。
今週はセクション05をざっとまとめた。

• 今週から、2章 アルゴリズムと安全性に入る
• アルゴリズムとは
  • 複数の意味にとれる曖昧な説明をなくす
  • 特別なパターンも漏れなく記す
  • 詳細な説明が必要かは場合による
    • b/aの結果は切り捨て?小数?有効数字何桁?
• アルゴリズムのステップ数
  • アルゴリズムの良し悪しを判断する
  • 例）1からnまでの整数の和を求める
    • 1からnまで順に足す：nが増加するとステップ数も増加
    • n(n+1)/2で計算：nの大きさに関わらず一定のステップ数
• 効率のよい探索
  • 例）1から16までの数字1つを当てる
    • 順番に聞く：最大15回の質問
    • 半分ずつ絞る：最大4回の質問

今回の範囲もまだ難しくなかった...助かった。

[まとめ]

1万人以上もフォロワのいる@voluntasさんに拡散してもらえた。ありがたや〜🙏

毎週TLS関連のニュースをまとめてるのか … 凄すぎる。RSS リーダーに追加させていただいた。 https://t.co/Dtro4gAWY9

— V (@voluntas) 2023年5月9日