20239月4日～2023年9月10日に読んだ中で気になったニュースとメモ書き（TLSらじお*1第122回の原稿）です。
全文を公開している投銭スタイルです。

• [TELNET over SSL/TLS (TCP Port 992)]
• [Bulletproof TLS and PKI翻訳予定]
• [その他のニュース]
  • ▼OpenSSHのデフォルトアルゴリズム変更
  • ▼BoringSSLのHandshake hints
  • ▼セミナー・シンポジウム情報
  • ▼Certainly構築の裏側
  • ▼CTの歴史
  • ▼CAAレコードのチェック順序
  • ▼FastlyのTLS脆弱性
• [暗認本：21 RSA暗号]
• [まとめ]

[TELNET over SSL/TLS (TCP Port 992)]

こちらのツイートから。

TELNET 電子公告は、「TELNET は暗号化されていないので危険だ」、という声に応えて、ついに本日 TELNETS (TELNET over SSL) 版が公開されたようです。

openssl s_client -connect https://t.co/FFDjjLWa3E

とすれば over SSL で接続できるようです。 pic.twitter.com/Lso2Zo68Xh

— Daiyuu Nobori (登 大遊) (@dnobori) 2023年9月6日

Firefoxでアクセスすると読めた。

TLS1.3が使われている。

おみくじbotもいるっぽい。

注記3「公告においてＴｅｌｎｅｔ方式を利用する必要がある具体的理由の申出書」とか、補足の数々が勉強になった。

補足6もインターネットの監視について触れられていて勉強になった。

ちゃんとIANAで予約されたTELNETSのポート番号らしい。世界初。

窓の杜でも記事になってた。

forest.watch.impress.co.jp

[Bulletproof TLS and PKI翻訳予定]

こちらのツイートから。

TLS 1.3の解説を付録としてPDFに収録したバージョンへは、2021年2月に更新いたしました。現在は、原書自体が改定されたことに伴い、その翻訳版（現在の版とは別の本になります）の制作を進めています（こちらは年内には出せるはず） https://t.co/IxZOXR3m6J https://t.co/qcZXDrP86E

— 専門性・売上・原稿 (@golden_lucky) 2023年9月7日

ありがとうございます。だいぶ秋も深まってしまいそうですが、なるべく早くお届けできるようがんばります…！

— 専門性・売上・原稿 (@golden_lucky) 2023年9月7日

確かにHPには、原書第2版（Bulletproof TLS and PKI）の翻訳は2023年秋予定と書かれている。

プロフェッショナルSSL/TLS – 技術書出版と販売のラムダノート

英語版は読んだけど、紙の日本語版も欲しいので楽しみ！

[その他のニュース]

▼OpenSSHのデフォルトアルゴリズム変更

こちらのツイートから。

In the next version of OpenSSH, the ssh-keygen(1) utility will generate an Ed25519 keypair by default, instead of RSA. https://t.co/2Tigs1h8CN

— Job Snijders (@JobSnijders) 2023年9月4日

リンク先はこちら。

github.com

ssh-keygenコマンドで、-tオプションでアルゴリズムを指定しない場合のデフォルトがRSAからEd25519に変更になるとのこと。TLSと直接は関係ないけど、RSAがちょっとずつ使われなくなっていっている気配。

次のOpenSSHのリリースは年内にあるだろうか。

www.openssh.com

▼BoringSSLのHandshake hints

こちらのツイートから。

[BoringSSL] Update the warnings on split handshakes and handshake hintshttps://t.co/NXHF0tZK3U
"split handshakes" と "handshake hints" ってなんだっけと毎回思うんだけど、BoringSSLの内部実装的な機能か

— ゆき (@flano_yuki) 2023年9月4日

リンク先はこちら。

boringssl.googlesource.com

なんかそういう機能があるらしい。うまく署名を予測できるとRPC呼び出しをスキップできる機能らしいけど何もわからん...。パフォーマンスが向上する系？

commondatastorage.googleapis.com

▼セミナー・シンポジウム情報

こちらのツイートから。

日本銀行金融研究所さまが「量子コンピュータが暗号を解読する日はくるのか？～耐量子計算機暗号（PQC）への移行に向けた取組み～」をテーマに情報セキュリティ・セミナーを開催します。

その中で、今回、PQCへの暗号移行に向けた技術動向についてお話しする機会をいただきました。… pic.twitter.com/TemckRkpof

— 菅野 哲 / GMOイエラエ 取締役CTO (@satorukanno) 2023年9月4日

リンク先はこちら。予定がちょっと合わないので、公開される資料待ち。

www.imes.boj.or.jp

こんなツイートも。

> TLS嘘発見器は作れるかhttps://t.co/u5xpOeMf3b
きになる

— ゆき (@flano_yuki) 2023年9月9日

リンク先はこちら。TLS嘘発見器...どういう話なのか気になる。

www.iwsec.org

▼Certainly構築の裏側

RSSで見つけたこちらの記事から。

www.fastly.com

our systems are designed to be self-destructing and ephemeralってのが凄そう。ストレージも頻繁に削除されるとのこと。毎日違うインスタンスってこと？

ルート証明書に署名する際の自動化とか、無線ネットワークハードウェアを削除された専用マシンの話とかも気になる。

▼CTの歴史

こちらのツイートから。

It took CT 5 years to go from standardization to being enforced by Chrome for all certificate types. Thats pretty amazing if you ask me. https://t.co/1X6ZIBcQAR pic.twitter.com/wH1OCEPgZP

— Ryan Hurst (@rmhrisk) 2023年9月7日

CTの歴史が1枚にまとまってて良さげ。

Ryan Hurst氏は最近CT関連の発表もされた様子。FirefoxはCTログ必須にしていないが全体の3%程度のシェアなのでエコシステム全体としてはセキュアだろう、とのこと。

Before I begin creating a presentation, I develop an outline to establish a coherent narrative arc, which allows me to avoid simply reading from the slides. Here is the outline I used for my recent talk at GA Tech https://t.co/KQUoiPWBAE pic.twitter.com/t1cMbvGFgO

— Ryan Hurst (@rmhrisk) 2023年9月10日

Binary Transparencyの方は全然知らなかったけど、サプライチェーン周りの安全性に関わる話っぽい。なるほど。

▼CAAレコードのチェック順序

こちらのツイートから。

Check out our new blog post to learn how to enhance your DNS security by adopting CAA and extensions for Account and Method Binding. Thanks to @WeAreFamedly for sharing your experience adopting CAA, and how easy it was. Read the blog post here: https://t.co/4B7uaBllzm pic.twitter.com/PnZZG8Kfwm

— Let's Encrypt (@letsencrypt) 2023年9月7日

リンク先はこちら。

letsencrypt.org

CAAレコードのチェック順序について触れられている。対象ドメインに最も近いCAAレコードが尊重されるとのこと。意識したことなかったけど、確かにそういう挙動じゃないと困りそう。

RFC8659にも確かにそう書いてあった。

datatracker.ietf.org

▼FastlyのTLS脆弱性

こちらのツイートから。

Just a short follow-up on my tweet about @fastly 's TLS vulnerability last week (https://t.co/1b8wlrMSHj); we had a call on Monday and were able to reproduce the patch, which was then deployed across all their servers. Will make some details available soon

— juraj somorovsky (@jurajsomorovsky) 2023年9月7日

Related to session tickets...but not the same issue as we presented at usenix (https://t.co/G5bmeiXB4g)
We will post some details once fixed, they finally got back to us. Thank you for retweeting as well :)

— juraj somorovsky (@jurajsomorovsky) 2023年9月2日

FastlyのTLSセッションを復号できるバグがあったらしい。TLSセッションチケット関連とのこと。修正がデプロイされたらしいので、詳細が公開されるのを待ちますか...。

[暗認本：21 RSA暗号]

引き続き、ニュース以外のメインコンテンツとして『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』を読んでいく。
今週はChapter 4 公開鍵暗号から、セクション21をざっとまとめた。

• RSA暗号の具体例
  • ベキ乗の余りの性質を利用した暗号
  • n=187, e=3とする（このペアが公開鍵）
  • f(x, y , n) = x^y mod nという関数を考える
    • 平文mを0からn-1まで計算する
    • f(0, e, n) = 0^3 mod 187 = 0
    • 0→0, 1→1, 2→8, 3→27→, 4→64, 5→125, 6→29, 7→156, ..., 186→186
  • d=107とする（秘密鍵）：復号はf(c, d, n)
    • f(27, d, n) = 27^107 mod 187 = 3
• RSA暗号の作り方
  • 二つの素数pとqからn = p * qとする
  • 整数eを選ぶ：65537とすることが多い
  • e * d mod (p-1)(q-1)が1となる整数dを探す
  • dが秘密鍵、nとeのペアが公開鍵
  • Enc(m) = f(m, e, n) = m^e mod n
  • Dec(c) = f(c, d, n) = c^d mod n
  • 暗号化と復号の関数が同じfで表される
  • フェルマーの小定理
    • pを素数、aをpの倍数でない整数とすると、a^(p-1) ≡ 1 (mod p)
    • m^(p-1)≡1、m^(q-1)≡1である
    • m^(p-1)(q-1)-1は、(m^(p-1))^(q-1)-1なので、p*qで割り切れる
    • よってm^(p-1)(q-1)≡1 (mod p*q)
    • 両辺にmをかけてm^((p-1)(q-1)+1)≡m (mod p*q)
    • e*d=((p-1)(q-1)+1)とすると(m^e)^d≡m (mod n)
      • Dec(Enc(m)) = m
• RSA暗号の安全性
  • RSA仮定：n=p*qが600桁以上なら元の平文を求められない
  • nの素因数分解ができれば話は別：大きなnを選ぶ必要
  • 落とし戸付き一方向性関数trapdoor function
    • 秘密鍵を知っている人だけ逆向きの計算ができる
  • RSAは強秘匿性を持たない：同じ平文は同じ暗号文になる
  • 広く使われているRSAはPKCS#1 v1.5方式
    • パディングオラクル攻撃が知られている
  • CRYPTRECの電子政府推奨暗号リストではRSA-OAEPを推奨
    • ハッシュ関数と乱数を組み合わせた安全性証明のある公開鍵暗号

[まとめ]

暗号はCPUっていうか電気食うしね...。

まあSSLはSDGsじゃないからな、隙あらば旧仕様動かなくなるし。やはり時代はtelenetd

— ますだまさる (@m_masaru) 2023年9月4日

※以降に文章はありません。投銭スタイルです。