2023年12月11日~2023年12月17日に読んだ中で気になったニュースとメモ書き(TLSらじお*1第136回の原稿)です。
全文を公開している投銭スタイルです。
[Cloudflareと耐量子暗号]
こちらのツイートから。
About ~1.7% of all TLS 1.3 connections with Cloudflare are secured with post-quantum key agreement.
— Bas Westerbaan (@bwesterb) 2023年12月12日
( From our 2023 year in review. https://t.co/ojDWWkGDWS ) pic.twitter.com/ICamayCFu6
We enabled support back in 2022 ( https://t.co/EtBZABpuGL ), but it takes two to tango.
— Bas Westerbaan (@bwesterb) 2023年12月12日
The increase we saw the last few months, is @googlechrome ramping up support, which they announced last August in https://t.co/6QZuKziWlK
— Bas Westerbaan (@bwesterb) 2023年12月12日
And it's a success now with >90% using TLS 1.3. (QUIC is TLS 1.3 under the hood.) https://t.co/wyK6Yzu7fA pic.twitter.com/Uvh2bWjATR
— Bas Westerbaan (@bwesterb) 2023年12月12日
1.7% is very promising, but it's not quite a done deal. 🤞 If all goes well, we will see ~30% PQC next year. 2024 will be the year of the post-quantum Internet.
— Bas Westerbaan (@bwesterb) 2023年12月12日
リンク先はこちら。
今や全通信の90%以上がTLS1.3を利用している。そのうちで、10月には0.5%未満だったTLS1.3接続中の耐量子鍵交換利用率が、11月には1.7%程度に伸びたが、Google Chromeが対応したからだろうとのこと。
うまくいけば、来年には30%程度に伸びるのではないかとの予測。
他にもCloudflare 2023 Year in Reviewでは、インドでは世界平均よりIPv6の利用率が高いとか、HTTP/3の利用率が20%くらいとかいう話も。
[QUICでSSH、HTTP/3でSSH]
こちらのツイートから。
新幹線でもQUICで快適にSSHするhttps://t.co/GEQMKOrgmg
— ゆき (@flano_yuki) 2023年12月16日
リンク先はこちら。
以前紹介したquicsshのRust版実装であるquickssh-rsを実際に利用したレポート(新幹線には乗っていないらしい)。
とのこと。QUICでIPアドレス変更に強くなるのは良さそう。仕様化の提案自体は3年前にあったらしい。その後期限切れになってしまった模様。良さそうなのに勿体無い...。
さらに似たような話題が。
It's alive! https://t.co/iFWxJmDEH6 pic.twitter.com/cFzOSYGh2i
— Mihail Fedorov 🐝 (@2mf) 2023年12月17日
リンク先はこちら。
Goで実装されたHTTP/3を利用したSSHのサーバとクライアントの実装。論文もある。HTTP/3を利用するので、パスワード認証以外にOAuth 2.0なども利用できる点が優れているとのこと。
QUIC単体でも十分メリットがありそうだけど、HTTP/3だとさらに高機能になりそう。
[その他のニュース]
▼CT 解説シリーズ
こちらのツイートから。
📝Certificate Transparency(CT)の解説シリーズ
— Yurika (@EurekaBerry) 2023年12月14日
A hard look at Certificate Transparency, Part I: Transparency Systemshttps://t.co/2Zz0vxSlVA
リンク先はこちら。
みんな大好きMerkle木。そうかな...?ともあれ、背景にあるパーティション攻撃への対策としてMerkle木が利用されている、という説明がわかりやすかった。
▼Azureのドメインフロンティング禁止
こちらのツイートから。
📢注意
— Yurika (@EurekaBerry) 2023年12月14日
2024年1月22日からAzure Front Door とAzure CDN Standard でドメインフロンティング禁止になります
Azure Front Doorは、2023年12月25日の週に、ドメインフロンティングの挙動を検出するための2つの新しいログフィールド(ResultとSni)を導入予定https://t.co/0ph8sru19T
リンク先はこちら。
先週のニュースで取り上げた検閲の対策として上がっていたドメインフロンティング。Azureはこれを禁止する方向ということで、TLSとHTTPでホストが異なるのはやはり攻撃扱いになるのだなあ。
▼CBOM
こちらのツイートから。
Neat post on PQC readiness and CBOMs. I’m not a huge fan of CBOMs as defined, it’s just missing too much context to be actionable. That said still useful and interesting to at least inventory cryptographic library use. https://t.co/ZfX8L2gJM3
— Ryan Hurst (@rmhrisk) 2023年12月13日
リンク先はこちら。
最近、OSSなどのライセンス管理や脆弱性管理などの文脈で、SBOM(Software Bill of Materials)が話題になっている。
それと同じような感じで、CBOM(Cryptography Bill of Materials)というのがあるらしい。ソフトウェアシステム内で利用される暗号コンポーネントの詳細(初期化ベクトル、キーサイズ、アルゴリズムなど)を記録したもの。そのCBOMの生成にGitHubのスキャンツールCodeQLを活用した、という話らしい。
2030年問題もあるし、こういうの作っておくと良いのかもしれない。
▼ボイジャー1号のデバッグ
こちらのツイートから。
かなりクリティカルな障害っぽいけど、まだ直す気満々なところがすごい。。。てか、電波でさえ往復45時間かかるリモートのバグ修正とか、応答待ってる間に胃に穴があきそうw😅 https://t.co/219JHm9jpM
— やまねこ⚙楢ノ木技研 (@felis_silv) 2023年12月13日
リンク先はこちら。
片道22時間以上、往復で45時間以上かかる通信で問題を解決しないといけないらしい。つらい...。暗号化とかどうしてるんだろう?わざわざ45時間のラウンドトリップのところに割り込む攻撃者はいないだろうけど...。
▼QUIC Kernel and Device Offload
こちらのツイートから。
『QUIC Kernel and Device Offload』https://t.co/YKY5umMGv4
— ゆき (@flano_yuki) 2023年12月17日
👀 pic.twitter.com/hotdFUDIKD
リンク先はこちらのPDF。
2023年10月にカリフォルニアで開催されたイベントで、Broadcomのアーキテクトとエンジニアの人が発表したらしい。
kTLS(kernel TLS)があるんだからQUICも同じようにCPUの暗号命令をオフロードしようって話。いろんな実装があるなあ...。
[暗認本:35 公開鍵証明書と電子証明書の発行方法]
『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』より、Chapter 6 公開鍵基盤のセクション35をまとめた。
- ドメイン名
- ドメイン認証Domain Validation
- ドメイン認証の問題点
- 組織認証Organization Validation
- ドメイン管理者が法人であることを示す証明書
- 企業認証ともいう
- 書類や電話での審査
- 拡張認証Extended Validation
- 署名の電子証明書
[まとめ]
2022年の年末はRSA暗号を破ったかも話で盛り上がったが、2023年は何が出てくるかな...。
※以降に文章はありません。投銭スタイルです。