kdnakt blog

hello there.

今週気になったTLS関連のニュース

2023年11月20日~2023年11月26日に読んだ中で気になったニュースとメモ書き(TLSらじお*1第133回の原稿)です。
全文を公開している投銭スタイルです。

[OpenSSL 3.2.0リリース]

こちらのツイートから。

リンク先はこちら。

www.openssl.org

3.1の時と比べると何だか新機能がたくさん。

  • クライアントQUICのサポート(RFC 9000)
  • TLS証明書圧縮(RFC 8879)
  • 決定論的ECDSA(RFC 6979)
  • Ed25519ctx, Ed25519phのサポート(RFC 8032)
  • AES-GCM-SIVRFC 8452)
  • Argon2サポート(RFC 9106)
  • HPKE(RFC 9180)
  • TLSの生公開鍵(RFC 7250)
  • TCP Fast Open(RFC 7413)
  • プラガブルな署名スキーマのサポート(サードパーティ耐量子暗号が可能に)
  • TLS1.3でのBrainpool曲線サポート
  • SM4-XTS(多分中国の暗号アルゴリズム
  • Windowsのシステムトラストストアをサポート

最後のやつとか、サポートしてなかったのか...?と思った。そもそも何を使ってたんだろう。Mozilla?OpenSSL、分からないことだらけ過ぎる...。

[CVE-2023-40217:Pythonとクライアント認証]

こちらのページから。

ubuntu.com

リンク先はこちら。

ubuntu.com

クライアント認証を使用するサーバに影響する脆弱性で、認証されていないデータを認証されたものとして扱わせることができるらしい。クライアント認証、やはり難しいのだな...。

[その他のニュース]

IETF 118リモート参加

こちらのツイートから。

リンク先はこちら。

blog.unasuke.com

TLS関連のドラフトの議論の雰囲気なども紹介されていてすごい。アーカイブと議事録ちゃんと見るとこんなに分かるんだな...(ノールック勢)。

▼Mbed TLS

こちらのツイートから。

リンク先はこちら。

github.com

組み込み系向けのCライブラリであるMbed TLSというのがあるらしい。いろんな実装があるんだなあ。

▼セキュアなWeb APIの作り方

こちらのツイートから。

リンク先はこちら。

ACMEのクライアントであるcert-managerの説明。ACMEのHTTP-01チャレンジとかDNS-01チャレンジとかちゃんと分かってなかったので助かる...。

▼ChatGPTで読むeIDAS2.0

こちらのツイートから。

eIDAS 2.0はWebユーザのセキュリティを低下させ、将来のインターネットを弱める悪い前例になる、とChatGPTが指摘している。何となくこれまでに読んだ文章から、似たようなコメントを自分もできなくはないけど、全然かなわないなこれ...。

RFC 9498 The GNU Name System

こちらのツイートから。

リンク先はこちら。

www.rfc-editor.org

新しいRFCが出てきた。DNSのプライバシー強化...分散型ということで、グローバルに一意な名前はないらしい。TLSに絡んでくることがあるだろうか?何もわからない...

▼MastercardとROT13

こちらのツイートから。

Mastercardのサイトの通信でROT13による難読化(?)が行われているとのこと。本番運用されてるの初めて見た...。にしても、uggcf://は分かりやすすぎる。

▼暗号選択プロセスのリスクの定量

こちらのツイートから。

リンク先はこちら。

D. J. Bernstein / Papers

NISTの耐量子暗号コンペのラウンド1に提出された提案69件のうち、48%が現在までに破られているとのこと。NISTが選んだもののうちでも36%がダメ、ということなのでやはり新しい暗号を作るのって難しいんだな...。

ドメイン検証ベストプラクティス(2)

こちらのツイートから。

リンク先はこちら。

www.ietf.org

2023年7月に取り上げたドラフトがアップデートされてたっぽい。差分は未確認...。

kdnakt.hatenablog.com

[暗認本:32 ブロックチェーンビットコイン]

引き続き、ニュース以外のメインコンテンツとして『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』を読んでいく。
今週はChapter 5 認証から、セクション32をざっとまとめた。

[まとめ]

技術書典15で出したTLS季報vol.1、2週間ちょっとで230名以上の方にダウンロードしていただきました。ありがとうございます。

techbookfest.org

※以降に文章はありません。投銭スタイルです。

*1:TLSらじおは社内勉強会です。このブログを読み上げつつ弊社サービスの実情を語ったりします。

この続きはcodocで購入