2023年6月26日～2023年7月2日に読んだ中で気になったニュースとメモ書き（TLSらじお*1第112回の原稿）です。
全文を公開している投銭スタイルです。

• [Bulletproof TLS Newsletter #102]
• [GitHub Actions OIDCの2つの中間証明書]
• [その他のニュース]
  • ▼IETF 117 Agenda
  • ▼ドメイン検証ベストプラクティス
  • ▼X25519Kyber768のハイブリッド鍵交換
  • ▼HTTPセカンダリ証明書認証
• [暗認本：11ワンタイムパッド]
• [まとめ]

[Bulletproof TLS Newsletter #102]

こちらのツイートから。

Bulletproof TLS Newsletter 102 is out! In this issue:
- Four CA Stories: The Good (Times Two), the Bad, and the Ugly
- Lots of short news from this monthhttps://t.co/7Z44a5KkD1

— Feisty Duck (@feistyduck) 2023年6月29日

リンク先はこちら。

www.feistyduck.com

トップニュースは、4つのCAに関するニュース。Google Trust ServicesのARI対応、Let's Encryptの重複シリアル番号、e-TugraのChrome Root Storeからの削除、HiCAの任意コード実行については。内容は既にうちでも取り上げた通り。

その他のニュースのうち、過去に取り上げていないものからいくつかピックアップしておく。

• 16ビットのWindows 3.1にWolfSSLを使ってTLS1.3を実装した話
• パディングオラクル攻撃のツールPadre
• 2023年9月リリース予定のJava 21でKEMサポート（JEP452）
• SHA256の長さ拡張攻撃

SHA1が破られたのは比較的最近な気もするけど、SHA256に対する攻撃も始まっているんだな...また2016年ごろにSHA256への移行が進んだみたいに、証明書の署名アルゴリズムをSHA384にしようとかいう話になるんだろうか。
RSA2048ビットの証明書からの移行も考えないといけないので、

[GitHub Actions OIDCの2つの中間証明書]

こちらの記事から。

github.blog

AWSからOIDCでGitHub Actionsに接続する際、接続先が正しいことを確認するために、通常のTLS接続のようにルートトラストストアがあるわけではないので、AWS IAMの設定に証明書のフィンガープリント(ハッシュ値)を含めてピンニングするらしい。

docs.aws.amazon.com

で、GitHub Actionsには中間証明書が2種類あるため、いずれかの中間証明書を指定した場合にエラーが発生するとのこと。どちらもDigiCertの証明書で、Baltimore CyberTrust Rootでクロス署名されているらしい。

crt.sh

crt.sh

証明書の発行時期によって中間証明書が異なるらしい。よくよく中間証明書を見てみると、2021年に発行された新しい中間証明書の方では、CRL配布ポイントのURLが減っていることがわかる。

knowledge.digicert.com

[その他のニュース]

▼IETF 117 Agenda

こちらのツイートから。

IETF 117 Meeting Preliminary Agenda が公開されておりますよ！
なんか今回BoFが少ない気がするけど、こんなもんだっけ？ 現在のBoFは以下の2つのみ。

・dult(Detecting Unwanted Location Trackers) BoF
・keytrans(Key Transparency) BoFhttps://t.co/pN1dCJv0hn

— 菅野 哲 / GMOイエラエ 取締役CTO (@satorukanno) 2023年6月26日

リンク先はこちら。

datatracker.ietf.org

2023年7月26日13時（日本時間だと27日午前5時？）にIETFのミーティングが開かれるらしい。
前回は3月に横浜で開催され、TLS1.2非推奨化などに関する議論がなされた。

今回はまだアジェンダが出ていないが、どんな話が出るか楽しみ。

▼ドメイン検証ベストプラクティス

こちらのツイートから。

【自分用メモ】Domain verification using DNS | APNIC Blog https://t.co/GXCQgzNtgp

— Yasuhiro Morishita (@OrangeMorishita) 2023年6月26日

リンク先はこちら。

blog.apnic.net

CAによる証明書発行時のドメイン検証について、基本的にはTXTレコード使うといいよって話でインターネットドラフトを提案中とのこと。

datatracker.ietf.org

▼X25519Kyber768のハイブリッド鍵交換

こちらのツイートから。

Blink: Intent to Prototype: X25519Kyber768 key encapsulation for TLS https://t.co/r0BSDLDItQ

— Intent To Ship (@intenttoship) 2023年6月26日

リンク先はこちら。

groups.google.com

TLS1.3のハイブリッド鍵交換（DH+耐量子暗号アルゴリズム）が現在提案中。

datatracker.ietf.org

これを具体化し、X25519のECDHE鍵交換と、KyberアルゴリズムのうちKyber768を組み合わせた鍵交換についてのドラフトが提案されている。

datatracker.ietf.org

この仕様にもとづき、2023年7月リリース予定のChrome 115にて、ベータ版として公開予定とのこと。

ちなみに、Kyberにはセキュリティレベルが3つあり、Kyber512がAES128相当、Kyber768はAES192相当、Kyber1024はAES256相当とのこと。

en.wikipedia.org

▼HTTPセカンダリ証明書認証

こちらのツイートから。

Secondary Certificate Authentication of HTTP Servershttps://t.co/WOE08MVDQ7
Secondary Certificate懐かしい。新しいdraftだ！#yuki_id

— ゆき (@flano_yuki) 2023年7月1日

リンク先はこちら。

www.ietf.org

HTTP/2やHTTP/3で同一サーバの複数オリジンへのTLS接続は、証明書が同じであれば使いまわされる。これを、別の証明書でも接続を使いまわせるようにセカンダリ証明書を持たせよう、と言う話らしい。
必要なユースケースがよくわからない...ワイルドカード証明書じゃダメなのかしら？

TLS Exported Authenticatorsも関係してくるらしいけど、Bulletproof TLS and PKIとかでもほとんど触れられていなくて理解できていない。ので一旦パス...orz

ゆきさんが「懐かしい」とおっしゃっているのはおそらく2015年から検討されていたドラフトを念頭に置いてのことか。

datatracker.ietf.org

[暗認本：11ワンタイムパッド]

引き続き、ニュース以外のメインコンテンツとして『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』を読んでいく。
今週はChapter 3 共通鍵暗号から、セクション11をざっとまとめた。

• 排他的論理和とワンタイムパッド
  • OTP：nビットの平文mをnビットの秘密鍵sで暗号化する(排他的論理和をとる)
  • sは一度しか使ってはいけない
• 情報理論的安全性
  • 秘密鍵が真の乱数であればスパコンや量子コンピュータでも破れないという性質
  • 真の乱数でなく偏りがあると、暗号文から平文の情報が漏れる
    • cf: RC4の2つ目のバイトは0になりやすいZZ
  • たまたま正解する確率は1/(2^n)
• ワンタイムパッドの欠点
  • 暗号文c = m (+) sなので、c (+) m = m (+) m (+) sとなり、c (+) m = s
    • 平文と暗号文から秘密鍵がわかる
    • なので秘密鍵は1回しか使えない
  • 平文が1ギガバイトなら秘密鍵も同じだけ必要
    • 転送(共有)が難しい

[まとめ]

そういえばHTTP/2とか3も（なんならHTTP/1.1も）よくわかってないので、そっちを攻めるのもアリかも？今の仕事でどれだけ役に立つかわからないけど...。

※以降に文章はありません。投銭スタイルです。