2024年3月25日~2024年3月31日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第150回分。
今回からタイトルをナンバリングしてみることにしてみました。
[FacebookのIAAPプログラム]
こちらのツイートから。
Facebook: We install a root CA on the device and MitM all SSL traffic https://t.co/fQrlAQmNv8
— 雑u Bot (@matsuu_zatsu) 2024年3月30日
リンク先はこちらのPDF。
2016-2019年ごろに、SnapchatやYouTube、Amazonといった競争相手への通信をMitMで傍受して、分析して意思決定に利用していたらしい。VPNの会社も絡んでいるということだが、攻撃の詳細がよくわからない...。
通信傍受法(Wiretap Act)違反で裁判中...なのかな?日本語でも記事が出ていた。
[Cryptography & Security Newsletter #111]
こちらのツイートから。
Cryptography & Security Newsletter is out! In the March issue:
— Feisty Duck (@feistyduck) 2024年3月28日
- European Union Starts to Confront Digital Platforms’ Dominance
- Plus lots of short news, it's been another busy monthhttps://t.co/B3RRQX0S3e pic.twitter.com/P32xL7Um6j
リンク先はこちら。
トップニュースはEUのデジタル市場法(DMA)。独占禁止法的なやつっぽい。AWSが外部プラットフォームへの引越し時のデータ転送料金を無料にしたのもこれの影響だとか。
未ピックアップの気になるショートニュースは以下。
- AppleのM1プロセッサのGoGetch脆弱性:DH、RSA、Kyber、Dilithiumなどの暗号化実装から秘密キーを抽出できるらしい
- HID globalがZeroSSLを買収
- MSのCTLMポリシーはCTをコード署名証明書への拡大と関連している可能性があるらしい
- 証明書管理プロトコルの歴史:ACMEくらいしか知らなかったけど1990年代から歴史がある
- Bertie:Rustのサブセットhacspecで実装されたTLS1.3クライアント、サーバ
- CSRの秘密鍵リモート証明のRFCドラフト:HSM使ってるかどうかとかを示す属性が追加されるとか
- Metaのメッセンジャーの証明書ピンニング
- 2024/4/16のChrome 124でハイブリッド鍵交換がデフォルト有効化予定
[その他のニュース]
▼KyberのCPUサイクル@RWPQC2024
こちらのツイートから。
One in every two thousand CPU cycles of Meta is used for X25519. pic.twitter.com/LyOyzZwDlA
— Bas Westerbaan (@bwesterb) 2024年3月24日
Real World PQC 2024というイベントがあったらしい。
Meta(Facebook)のデータセンターのCPU利用のうち、0.05%がX25519の鍵交換に利用されているとの報告が。十分に速いので、PQCの標準を定める際の参考にしてくれ、とのこと。
スレッドの返信で、Kyber768の鍵カプセル化はX25519よりもCPUサイクル数が少ないという話も。PQCの方が遅いのかな、と思っていたのでちょっと意外。
Most. Check out https://t.co/0O491JY5wt
— Bas Westerbaan (@bwesterb) 2024年3月25日
Example: Kyber768 encapsulation is about 70,000 cycles on Haswell. X25519 is 160,000.
同じイベントでKyber768はAES-256と同じくらい安全と考えて良いのではないか、という発表もあった様子。
Great talks. John argues that for a resource realist Kyber768 is at least as hard to break as AES-256. https://t.co/bLEnKJhXlA
— Bas Westerbaan (@bwesterb) 2024年3月25日
▼Levchin Prize 2024@RWC2024
こちらのツイートから。
🥁🥁🥁 The Second Levchin Prize in 2024 goes to 🥁🥁🥁
— Real World Crypto (@RealWorldCrypto) 2024年3月25日
Emilia Kasper, Adam Langley, Ben Laurie, Al Cutter for creating and deploying Certificate Transparency at Scale
Real World Crypt 2024にて、2024年のLevchin賞がAdam Langley氏らに授与された。CT(証明書の透明性)の仕組みを作り上げたことによる表彰。
2011年のDigiNotarなど複数の認証局でのインシデントを受けて、CTによるインターネットセキュリティの改善が始まり、2013年以降多くの証明書の異常を検知し修正してきた。
▼Quantum-Accelerated AIとPQC
こちらのツイートから。
Looks like Whitfield Diffie is arguing for a more urgent transition to PQC-resistant cryptography. https://t.co/r0XszuD50C
— Ryan Hurst (@rmhrisk) 2024年3月25日
リンク先はこちら。
特に具体的なタイムラインが明示されている訳ではなかったが...量子コンピュータとAI/MLの組み合わせによって、暗号分析の進化、高速なブルートフォース攻撃、効率的なサイドチャネル攻撃、ハッシュ関数の突破、PKIの基盤アルゴリズムへの攻撃、などなどが実現する危険性がある、とのこと。
▼osdn.dl.osdn.netの証明書有効期限切れ
こちらのツイートから。
実を言うとOSDNはもうだめです。突然こんなこと言ってごめんね。でも本当です。164日前に証明書の期限が切れます。それが終わりの合図です。
— いわもと こういち (@ttdoda) 2024年3月26日
という事でGitHub https://t.co/Mex9vqv5ck からダウンロードしてください。 https://t.co/WMvBWSOeBf
Open Source Development Networkのサイトの一部で証明書の有効期限が切れているらしい。中国に買収されて繋がりにくい状態が続いているとの報道があったあと、証明書がメンテされなくなって5ヶ月以上が経過した模様。ACMEの利用も盛んな昨今、証明書有効期限切れなんてせいぜい数日の事例しかみたことなかった気がするが...。
これを書いている2024/03/31現在も、有効期限は切れたままだった。
▼31ラウンドのSHA-256衝突@FSE2024
こちらのツイートから。
First practical SHA-256 collision for 31 steps. #fse2024 pic.twitter.com/qBo3tOLPGB
— Frank ⚡ (@jedisct1) 2024年3月26日
Don’t panic, folks. This is very good work, especially given the low memory complexity of this attack. But there are 33 steps left. Your bitcoins are safe.
— Frank ⚡ (@jedisct1) 2024年3月27日
Fast Software Encryption Conferenceというのがあって、そこで初の実用的なSHA-256のハッシュ値の衝突が示されたらしい。ただし、本来64ラウンド実行される処理のうち、31ラウンド分のみ実行した場合、という条件付き。とはいえ完全な衝突は時間の問題となるのだろうか...。
詳細はそのうちeprintのサイトで公開されるとのこと。
▼検索結果のURL偽装
こちらのツイートから。
検索結果の先頭が偽物ですが、次の本物と同じ公式サイトのURLが表示されてヤバさ倍増です。XのURLカード(URL付投稿に画像やURLを表示する奴)もそうですが、リダイレクタを介すと、転送先の情報を表示するようになっているようです。リダイレクタがアクセス元を識別し、偽サイトと公式サイトに振り分け… pic.twitter.com/RahNpyyVUl
— Naomi Suzuki (@NaomiSuzuki_) 2024年3月27日
これは気付けないなあ...偽サイトに飛んだあとにURLを見て気付けるかどうかが勝負、か。試しに開いてみると、当然Amazonではなくよくある感じのウイルスに感染しました的な画面を表示してくるサイトだった。
▼RFCのURL
こちらのツイートから。
これは素晴らしい記事。今後RFCを引用するときのURLは https://t.co/Hk2uA3tvZi を使おう。https://t.co/JjWqBv8S1h
— Kentaro Ebisawa (@ebiken) 2024年3月28日
リンク先はこちら。
あまり意識せずに、tools.ietf.orgやdatatracker.ietf.org、www.rfc-editor.orgのURLを混在させていた気がする。今後はwww.rfc-editor.orgに統一していこう。
▼What's wrong with Poly1305
こちらのツイートから。
What’s Wrong with Poly1305? https://t.co/Rn7Dts7Awo
— Frank ⚡ (@jedisct1) 2024年3月28日
リンク先はこちらのPDF。
メッセージ認証符号であるPoly1305で利用されている素数(2^130-5)の選択が、64ビットCPUに適した実装になっていないらしい。Poly1163 (2^116-3)またはPoly1503 (2^150-3)あたりが選択肢になるとか。
▼耐量子TLSの設計選択肢
こちらのツイートから。
New blog from @ekr____ on design choices for post-quantum TLS! https://t.co/baQ8nKVo9F
— Ryan Hurst (@rmhrisk) 2024年3月30日
リンク先はこちら。
先週のDavid Adrian氏の記事や、先々週のCloudflareの記事などを参照しつつ組み込みデバイスやIoT環境などプログラムの更新が難しいケースがあるので、完全な耐量子暗号のみのTLSへの移行は困難だろうとの見方を示している。
▼DoQのプライバシーリークと対策
こちらのツイートから。
Privacy Leakage of DNS over QUIC: Analysis and Countermeasurehttps://t.co/slR0NQPLOO
— ゆき (@flano_yuki) 2024年3月31日
日本の方々のペーパーだ#yuki_paper
リンク先はこちら。
https://ieeexplore.ieee.org/abstract/document/10463369
最近の研究ではDoH(DNS over HTTPS)、DoT(DNS over TLS)を使用していてもWebサイトのカテゴリを推測できることが示されていて、DoQでも同様の問題があるらしい。DNSクエリにパディングを追加したりランダムな遅延を追加することで、ユーザー体験に若干影響するが、ユーザーのプライバシーを守ることができるのではないか、とのこと。
[おわりに]
宇宙線によるビット反転でCTログサーバが影響を受けた事例は聞いたことあったけど、スーパーマリオ64というより(世代的に)身近な事例が出ていた。コワい。
SEEの各症状の影響について調べてたんだけど、過去に読んで面白いなと思えた記事を久々に見た。
— ぎーち(ブレイク兄) (@BREAK_BROTHER) 2024年3月27日
スーパーマリオ64のRTAプレイ中にマリオが急にワープしたってバグ技が8年の歳月を経て、人工衛星でも問題になる宇宙放射線によるSEU(Single Event Upset)が原因だったって話。https://t.co/Bwhyectx80
