2024年5月13日~2024年5月19日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第157回分。
[Debian/OpenSSL16周年 (CVE-2008-0166)]
こちらのツイートから。
16年前、Debian版のOpenSSLに問題があり、予測可能な秘密鍵が生成されるといった脆弱性があり、SSLサーバー証明書の鍵の入れ替えが大量に発生したなど、大問題になりましたが、それが今も続いているそうで、本番DKIM、BIMIの解読可能な秘密鍵使ったサイトが結構あるとhttps://t.co/oUOaoCDlRP
— kjur (@kjur) 2024年5月13日
古いDebianで鍵生成してたんですかねぇ、、、メールサーバー管理者とセキュリティ管理者、情シスは別ですからねぇ、、、
— kjur (@kjur) 2024年5月13日
EntrustのDKIM、BIMIも影響ありだったそうで、
2008年5月に私はこんな記事を書いてました。なつい、、、
— kjur (@kjur) 2024年5月13日
Debian OpenSSL問題のまとめhttps://t.co/D5MzHcjUON
DebianのOpenSSLはどのように修正されたかhttps://t.co/4nw0MKgQs0
リンク先はこちら。
DebianのOpenSSLパッケージにおけるRNGの欠陥は、『プロフェッショナルTLS&PKI 改題第2版』でも取り上げられています(7.3.2)。重要な1行がコメントアウトされてしまったために、乱数生成器に十分なエントロピーが提供されず、予測可能な秘密鍵が生成されてしまう、という問題です。
この問題は2008年にOpenSSHの鍵やTLSのサーバー証明書の鍵について調査されましたが、16年たった2024年現在では、メールの認証で利用されるDKIMキーに影響しているとのことです。
記事によれば、cisco.com、oracle.com、skype.net、1password.comなどの著名なドメインにも問題があり、偽のDKIM署名を含む電子メールを送ってDMARCチェックを通過させることができたとのことです。結果として、DMARC認証をパスしたメールにロゴを表示する技術であるBIMIにも影響があるようです。
長期間問題が放置されていた原因として、問題のバグが混入したのが2006年、DKIMの仕様が固まったのが2007年というタイミングと、DKIMのキーがローテーション不要であるというDKIMの仕様の問題が組み合わさった結果ではないかと推察されています。
今回の件の調査では、badkeysというツールが使われています(下記のサイトで利用できるほか、Python製のコマンドも提供されています)。Debian OpenSSLの脆弱性だけでなく、不十分なビット安全性、Fermat Attack、ROCA(Return of Coppersmith's Attack)などの脆弱性もチェックできるようです。
[その他のニュース]
▼bash_tls:bashでTLS1.2クライアント
こちらのツイートから。
I’m both impressed and disgusted by this. https://t.co/yLwWe0q73v #tls #bash #omg
— Ryan Hurst (@rmhrisk) 2024年5月13日
リンク先はこちら。
bashスクリプトでTLS1.2のクライアントを実装したリポジトリです。
TLSのハンドシェイクだけでなく、ASN1とかAESのロジックを自前で実装してるようです。
TLS_RSA_WITH_AES_128_GCM_SHA256しか暗号スイートをサポートしていない、証明書チェーンを検証していない、など色々問題はありそうです。
▼Rustls OpenSSL互換レイヤ
こちらのツイートから。
Rust実装のTLSライブラリRustlsがOpenSSL互換レイヤーを実装、nginxと組み合わせて動作するようになったらしい。RustlsはOpenSSLに比べて性能がよくメモリ使用量も少ないらしいのでOpenSSLの代替として良い選択肢になるかも / “Rustls Gains OpenSSL and Nginx Compatibility” https://t.co/svQtz5QD0A
— matsuu (@matsuu) 2024年5月12日
リンク先はこちら。
OpenSSL互換レイヤを提供することで、結果としてNginxでRustlsを利用できるようになったようです。ISRG(Internet Security Research Group)はメモリセーフなソフトウェアを推進するProssimoプログラムでrustlsを開発しています。同じくISRGが開発しているLet's Encryptでも、2024年後半にOpenSSLをRustlsに置き換え始める予定とのことです。
2024年2月にはホワイトハウスもソフトウェアをメモリセーフにしなさい!とプレスリリースを出しているくらい注目を集めています。
▼ひとくちPKI第66回
こちらのツイートから。
趣味でやってるPKIのポッドキャスト #ひとくちPKI
— Yurika (@EurekaBerry) 2024年5月15日
第66回 公開しました🚀BGMがわりにぜひ📻
66: 中間CAもローテートする時代らしいhttps://t.co/6foHYhTOX8
リンク先はこちら。
トピックは先日とりあげたLet's Encryptの新中間証明書の件。Let's Encryptがピンニングを嫌ってて〜とかちゃんと記事から読み取れてない話があって勉強になりました。
そういえば6/6切替予定だからもうすぐか。
▼OpenSSLとDSAキー(CVE-2024-4603)
こちらのツイートから。
Yet another OpenSSL Security Advisory https://t.co/M1dChU690b
— Frank ⚡ (@jedisct1) 2024年5月16日
リンク先はこちら。
過度に長いDSAキーを利用すると長時間の遅延が発生する場合があるとのこと。
OpenSSLが直接内部的に問題がある、というわけではなくて、特定のメソッドを利用するアプリケーションに影響があるようです。ECDSAは証明書で使われているけど、そうじゃないDSA鍵って使われてるんだろうか...。
DH鍵でも似た事例があったようです。
[おわりに]
技術書典16、果たして間に合うのだろうか...。週刊連載しながら単行本作業してる漫画家さんの気持ちがちょっと分かる...。
以下、ニュースのネタに集めてみたもののうまく取り上げられなかったツイート。
Just whipped up AVX, AVX2 and AVX512 implementations of EliMAC to get a rough idea of its performance on x86_64. As expected, that thing is pretty damn fast. Why are non-cryptographic MACs still in use? https://t.co/HpAQiD9ueK pic.twitter.com/teKm09mvXN
— Frank ⚡ (@jedisct1) 2024年5月14日
