2023年11月20日~2023年11月26日に読んだ中で気になったニュースとメモ書き(TLSらじお*1第133回の原稿)です。
全文を公開している投銭スタイルです。
[OpenSSL 3.2.0リリース]
こちらのツイートから。
OpenSSL Announces Final Release of OpenSSL 3.2.0 https://t.co/qYewAZALxS
— Frank ⚡ (@jedisct1) 2023年11月23日
リンク先はこちら。
3.1の時と比べると何だか新機能がたくさん。
- クライアントQUICのサポート(RFC 9000)
- TLS証明書圧縮(RFC 8879)
- 決定論的ECDSA(RFC 6979)
- Ed25519ctx, Ed25519phのサポート(RFC 8032)
- AES-GCM-SIV(RFC 8452)
- Argon2サポート(RFC 9106)
- HPKE(RFC 9180)
- TLSの生公開鍵(RFC 7250)
- TCP Fast Open(RFC 7413)
- プラガブルな署名スキーマのサポート(サードパーティ耐量子暗号が可能に)
- TLS1.3でのBrainpool曲線サポート
- SM4-XTS(多分中国の暗号アルゴリズム)
- Windowsのシステムトラストストアをサポート
最後のやつとか、サポートしてなかったのか...?と思った。そもそも何を使ってたんだろう。Mozilla?OpenSSL、分からないことだらけ過ぎる...。
OpenSSL 3.3.0 は半年後の 2024 年 4 月リリース(11 月リリースは今回のみで、4 月 / 10 月の定期リリースに切り替わる)。OpenSSL 3.3.0 で QUIC サーバー実装が入る。
— V (@voluntas) 2023年11月24日
[CVE-2023-40217:Pythonとクライアント認証]
こちらのページから。
リンク先はこちら。
クライアント認証を使用するサーバに影響する脆弱性で、認証されていないデータを認証されたものとして扱わせることができるらしい。クライアント認証、やはり難しいのだな...。
[その他のニュース]
▼IETF 118リモート参加
こちらのツイートから。
書きました
— うなすけ (@yu_suke1994) 2023年11月19日
IETF 118 Pragueにリモート参加しました | うなすけとあれこれ https://t.co/JGNlZjafuO
リンク先はこちら。
TLS関連のドラフトの議論の雰囲気なども紹介されていてすごい。アーカイブと議事録ちゃんと見るとこんなに分かるんだな...(ノールック勢)。
▼Mbed TLS
こちらのツイートから。
Set SNI for MbedTLS by melpon · Pull Request #1041 · paullouisageneau/libdatachannel https://t.co/ciUFMA88k4 libdatachannel 貢献マン @melponn 、今回は Mbed TLS の SNI 対応です。仕事です。
— V (@voluntas) 2023年11月20日
リンク先はこちら。
組み込み系向けのCライブラリであるMbed TLSというのがあるらしい。いろんな実装があるんだなあ。
▼セキュアなWeb APIの作り方
こちらのツイートから。
cert-manager の処理フローわかりやすいし、デモも実践的で重宝しているhttps://t.co/GfnsErCWod
— 逆井(さかさい) (@k6s4i53rx) 2023年11月20日
リンク先はこちら。
ACMEのクライアントであるcert-managerの説明。ACMEのHTTP-01チャレンジとかDNS-01チャレンジとかちゃんと分かってなかったので助かる...。
▼ChatGPTで読むeIDAS2.0
こちらのツイートから。
I decided to act ChatGPT 4 questions on what it thinks the consequences of eIDAS 2.0 will be based on the text and context provided in my notes document on the provisional agreement, the questions:
— Ryan Hurst (@rmhrisk) 2023年11月21日
1) Does this treat all countries that benefit from the internet in a consistent… pic.twitter.com/Xc6Yu90hIX
eIDAS 2.0はWebユーザのセキュリティを低下させ、将来のインターネットを弱める悪い前例になる、とChatGPTが指摘している。何となくこれまでに読んだ文章から、似たようなコメントを自分もできなくはないけど、全然かなわないなこれ...。
▼RFC 9498 The GNU Name System
こちらのツイートから。
RFC 9498
— ゆき (@flano_yuki) 2023年11月22日
The GNU Name Systemhttps://t.co/y771c1tj2Y
> GNU ネーム システム (GNS) の技術仕様を提供します。 GNS は、ドメイン ネーム システム (DNS) プロトコルのプライバシーを強化する代替手段を提供する、分散型の検閲耐性のあるドメイン名解決プロトコルです。
リンク先はこちら。
新しいRFCが出てきた。DNSのプライバシー強化...分散型ということで、グローバルに一意な名前はないらしい。TLSに絡んでくることがあるだろうか?何もわからない...
▼MastercardとROT13
こちらのツイートから。
Just caught https://t.co/OmmbI15fhh using ROT13 for god knows what reason
— Karl (RIP ) (@supersat) 2023年11月23日
I do not want to hear about PCI-DSS ever again until the PCI cleans up their own shit
Mastercardのサイトの通信でROT13による難読化(?)が行われているとのこと。本番運用されてるの初めて見た...。にしても、uggcf://は分かりやすすぎる。
▼暗号選択プロセスのリスクの定量化
こちらのツイートから。
New paper "Quantifying risks in cryptographic selection processes": of the 69 round-1 post-quantum submissions, 48% are broken by now (smallest parameters known easier to break than AES-128); of those unbroken in round 1, 25%; of those picked by NIST, 36%. https://t.co/RrBFB1HP82
— Daniel J. Bernstein (@hashbreaker) 2023年11月23日
リンク先はこちら。
NISTの耐量子暗号コンペのラウンド1に提出された提案69件のうち、48%が現在までに破られているとのこと。NISTが選んだもののうちでも36%がダメ、ということなのでやはり新しい暗号を作るのって難しいんだな...。
▼ドメイン検証ベストプラクティス(2)
こちらのツイートから。
『Domain Control Validation using DNS』https://t.co/uPctT0kqCM
— ゆき (@flano_yuki) 2023年11月24日
読みたい
リンク先はこちら。
2023年7月に取り上げたドラフトがアップデートされてたっぽい。差分は未確認...。
[暗認本:32 ブロックチェーンとビットコイン]
引き続き、ニュース以外のメインコンテンツとして『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』を読んでいく。
今週はChapter 5 認証から、セクション32をざっとまとめた。
[まとめ]
技術書典15で出したTLS季報vol.1、2週間ちょっとで230名以上の方にダウンロードしていただきました。ありがとうございます。
※以降に文章はありません。投銭スタイルです。