kdnakt blog

hello there.

今週気になったTLS関連のニュース

2023年9月18日~2023年9月24日に読んだ中で気になったニュースとメモ書き(TLSらじお*1第124回の原稿)です。
全文を公開している投銭スタイルです。

[BalancerのBGPハイジャック?]

こちらのツイートから。

リンク先はこちら。

slowmist.medium.com

イーサリアムの取引所の1つであるBalancerのサイトが、BGPハイジャックと思われる攻撃を受け、TLS証明書を偽造される事故が発生した。Cloudflare側でフィッシング警告が表示される場合もあったため、あまり大きな問題にはならなかったのだろうか。

最終的には本件はBGPハイジャックではなく、DNSに対するソーシャルエンジニアリングだった、と報告されている。それはそれでどんな風にDNS管理してたのか気になるけど...。

BGPハイジャックといえば過去に中国なども実施していたと言われている。ネットワークの大元を乗っ取られるとつらい。証明書のピンニングとかで対策はできるけど運用が複雑になるし...。

japan.cnet.com

 

[その他のニュース]

▼Secondary Certificate (HTTP/3)

こちらのツイートから。

リンク先はこちら。

asnokaze.hatenablog.com

7月にチラッと紹介されてたやつの詳細が記事になった。
HTTPのコネクションを使い回すのに別ドメインの証明書がいるって話。CDNだと確かにそういう例があるのかも。

RFC 9261: Exported Authenticators in TLSも関係あるっぽい。既存のハンドシェイクメッセージを暗号化して認証に利用する仕組みで、TLS1.2以前の再ネゴシエーションの代わりになるやつ、とRFCには書かれていた。

▼Let's Encrypt以前/以後

こちらのツイートから。

先週見た通り、Let's Encryptは最近8周年を迎えた。8年前はHTTPSの割合は30%以下だったが、今では世界で80%を超えているとのこと。

▼スノーデン文書の新リーク

こちらのツイートから。

VPNで利用される暗号用プロセッサの、Diffie-Hellman秘密鍵を生成するための内部の乱数生成器にNSAによるバックドアが仕込まれていた可能性が指摘されている。

今もこういうのあるんだろうか...。

▼PQXDH: Post-Quantum Extended Diffie-Hellman

こちらのツイートから。

リンク先はこちら。

signal.org

メッセンジャーアプリのSignalで、Chromeで最近始まったのと同じように、楕円曲線暗号X25519と耐量子暗号CRYSTALS-Kyberの組み合わせによるハイブリッド暗号PQXDHを今後のバージョンアップで提供する予定とのこと。仕様も公開されている。

ハイブリッド暗号がデファクトスタンダードになっていきそう...。

GoogleのATLS

こちらのツイートから。

リンク先はこちら。

www.slideshare.net

存在は知っていたが、詳細はよく知らなかったGoogleのATLSについて説明されている。TLS1.1では不十分だったので、2007年に開発された、とか時代背景が書かれていて面白い。公式ドキュメントも紹介されていた。

cloud.google.com

証明書のデータなども、TLSのASN.1は使わずにプロトコルバッファを利用しているらしい。プロトコルバッファってそんな前からあったのか...。

Chrome DTLS ClientHello拡張ランダム化

こちらのツイートから。

リンク先はこちら。

groups.google.com

DTLSってよく分かってなかったけどWebRTCで使うのか...。
DTLSのClientHelloでTLS拡張を送る際に、拡張の順序をランダムにする予定、とのこと。プロトコルの拡張性を維持するための試み。
通常のTLSの方は、2023年の初めにすでにランダム化がリリースされている。

kdnakt.hatenablog.com

Firefoxの方も、Chromeに続いてすぐにTLS側の対応を行った様子。DTLSの方もChromeに続くのだろうか。

bugzilla.mozilla.org

▼Areion on QUIC

こちらのツイートから。

リンク先はこちら。

gmo-cybersecurity.com

次回はOpenSSLをフォークしたquictlsにAreionを組み込む話らしい。QUICちゃんと勉強しないとな...。
QUICの実装としては、Quicheもおすすめらしい。

Internet Week 2023: C8 PKIのこのごろ

こちらのツイートから。

リンク先はこちら。

internetweek.jp

2030年問題とかPQCの話題が出るらしい。気になる。

[暗認本:23 楕円曲線暗号]

引き続き、ニュース以外のメインコンテンツとして『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』を読んでいく。
今週はChapter 4 公開鍵暗号から、セクション23をざっとまとめた。

  • 楕円曲線
    • DH鍵共有の有限体のおさらい
      • 整数を素数pで割ったあまり
      • 円周上に0,1,2,...,p-1と点を打つのと同じ
    • これを二次元にしたものが楕円曲線(どちらかというと曲面)
      • さらに浮き輪のような立体(トーラス)にすることも
  • 楕円曲線場の演算
    • 楕円曲線上の点Pの2倍、3倍...は頂点Oから点Pの矢印を2倍、3倍するのと同じ
    • 正確には頂点Oをゼロまたは無限遠点という(整数でいうゼロ)
  • 楕円曲線の加算公式
    • コンピュータで計算しやすいように楕円曲線Eを有限体Fpを使って表現する
    • Eの点はy^2 = x^3 + ax  +bを満たすFpの組(x, y)として与えられる
    • E = { (x,y) ∈ (Fp) ^2 | y^2 = x^3 + ax + b} ∪ {O}
    • P=(x1,y1)のマイナスを-P=(x1,-y1)とし、P+(-P)=0
    • 有限体の性質を持つので、{0, P, 2P, ..., (r-1)P}という集合
      • rP = 0となる
  • ECDHPとECDLP
    • ECDHP:P, aP, bPが与えられたときにabPを求めよ 
    • 離散対数問題DLPの代わりに楕円離散対数問題ECDLPを使う(べき乗の代わりに点の整数倍を考える)
  • ECDH鍵共有
    • 楕円曲線と点Pをあらかじめ決めておく
    • アリス、ボブがそれぞれ秘密の値a,bを決めてA=aP,B=bPを計算し相手に渡す
    • もらった値を元にs=aB=bA=abPを計算し秘密鍵とする
  • 楕円曲線暗号の特長
    • 鍵共有以外にも公開鍵暗号や署名にも利用できる
    • 楕円曲線暗号RSA暗号やDH鍵共有に比べて鍵が小さい、ゆえに暗号処理も高速
      • RSA暗号やDH鍵交友を解く効率の良い方法:数体ふるい法 ↔︎ ECDHP/ECDLPを解く効率の良い方法は未発見
      • 楕円曲線暗号でnビットセキュリティを確保するには2nビットの秘密鍵で十分(今の標準は256ビット楕円曲線暗号
      • RSA暗号の場合128ビットセキュリティには2832ビットの鍵が必要

[まとめ]

なるほど、と思ってしまった。進行形はhttpingかな(そのまま)。

1年ちょっと続けてきたこのニュースをまとめて技術書典に出してみることにしました。よろしくお願いします。

※以降に文章はありません。投銭スタイルです。

*1:TLSらじおは社内勉強会です。このブログを読み上げつつ弊社サービスの実情を語ったりします。

この続きはcodocで購入