2024年5月27日~2024年6月2日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第159回分。
[Secure HTTP (RFC 2660)]
こちらのツイートから。
We interviewed Eric Rescorla (ekr) and talked everything from SSLv1 to binary transparency to TLSv1.3. https://t.co/IftHJoADew
— David Adrian (@davidcadrian) 2024年5月25日
リンク先はこちら。
securitycryptographywhatever.com
ときどき本ブログでも取り上げているeducatedguesswork.orgというブログの著者のekr氏が ポッドキャストに登場した模様。
SSLが生まれる前(正確にはNetscape設立前)には、メールの暗号化方式であるS/MIMEに似たSecure HTTPという実装(?)が(ekr氏によって)設計されていた話とか、ゼロラウンドトリップ関連でFast-trackという技術が検討されていた話とか(おそらくこの論文)、カウンター署名?とか、知らない話がいっぱい。
Secure HTTP(S-HTTP)はRFC 2660で1999年8月にRFCになっている。RFC、知らない仕様ばかりだ...。暗号化されたメッセージはCMS(Cryptographic Message Syntax、PKCS#7の後継仕様)形式になるとか。CMSは昔PDF署名とかを触ってた時に出てきた記憶が...。
Wikipediaの日本語記事もある。あまり情報はないが...。
Wikipediaや、以下の記事によると、S-HTTPでは、メッセージのどの部分を暗号で保護するかを利用者が決める必要があるとか。全部暗号化すればいいのに...。
[Cryptography & Security Newsletter #113]
こちらのツイートから。
Cryptography & Security Newsletter is out! In this issue:
— Feisty Duck (@feistyduck) 2024年5月30日
- EU Clings to the Pervasive Surveillance Dream
- Short news that have caught our attention this monthhttps://t.co/HL0YBxZBFg pic.twitter.com/1SrVIhyvvJ
リンク先はこちら。
トップニュースはEUでのインターネット上での監視を強める動きの話。テキストと音声は監視されないが、写真や動画の監視は義務化されるとか。一方、チリでは暗号化を国民の権利と定める法律ができたらしい。いろんな国がありますね...。
ショートニュースをいくつかピックアップ。
- EntrustのインシデントをめぐるMozillaの対立(Google Group、Mozilla Wiki)(この辺は一部TLS季報vol.2にも書いた)
- イギリスはデフォルトパスワードを禁止(すでにカリフォルニア州で同じ事例があるとか)
- Evervalt:主要な暗号論文の要約ページ
- Firefoxの受動的混在コンテンツ(passive mixed content)を読み込まなくなる予定(Chromeは2020年に対応済み)
- FirefoxのHSTSバグ:サブドメインでincludeSubDomainsなしにすると、親ドメインでのincludeSubDomains指定を無効化してしまう
Entrustなんかさらに酷いことになっていそう...。
[その他のニュース]
▼Cloudflare GatewayのTLSインスペクション
こちらのツイートから。
Cloudflare Gateway TLS インスペクションと不正なサーバー証明書|oymk https://t.co/tq0FUxIjx8 #zenn
— kyhayama (@kyhayama) 2024年5月27日
リンク先はこちら。
Cloudflareの設定そのものは、まあそんなもんかという感じ。
CloudflareのSSL/PKIライブラリのcfsslが使われていたり、検証用の接続先にbadssl.comが使われていたり。
▼ICTサイバーセキュリティ政策分科会(第8回, 2024/05/27)
こちらのツイートから。
PQCやAIに関する話題がわんさか!
— 菅野 哲 / GMOイエラエ 取締役CTO (@satorukanno) 2024年5月27日
--
ICTサイバーセキュリティ政策分科会(第8回)https://t.co/5dr4duMLgf
リンク先はこちら。
耐量子暗号に関する発表とか、無線通信のための次世代暗号とか、面白そうな話題が色々。
日本のNICT(National Institute of Information and Communications Technology、情報通信研究機構)でも格子問題を利用したLOTUSという耐量子暗号を開発しているらしい。
▼BoringSSLのデフォルト下限変更
こちらのツイートから。
[BoringSSL] Set the minumum TLS version to (D)TLS 1.2 by defaulthttps://t.co/NSFsY1owbz
— ゆき (@flano_yuki) 2024年5月27日
リンク先はこちら。
これまではデフォルトの下限がTLS1.0だったところ、TLS1.2に修正されている。RFC 8996が出たのは2021年3月なので、もう3年前以上...。
▼ひとくちPKI Journal 3
こちらのツイートから。
ちょっとだけPKIを話して雑談するポッドキャスト #ひとくちPKI
— Yurika (@EurekaBerry) 2024年5月31日
遅れましたが、#技術書典16 オンラインマーケットに第3冊目の本を出品しました🎉
eIDAS 2.0 Article 45をめぐる議論
PKIの話で学士(工学)の学位を取りました
など...
楽しんでいただけたら嬉しいです✨https://t.co/EqhKjrvc8Z
リンク先はこちら。
CAのシェア勢力図変更の話、これまでRyan Hurst氏のツイートをベースに取り上げたことがあったけど、ちゃんと内容まで読み取れてなかった。面白い。
eIDAS 2.0の話は、結局よくわからないまま正式発行に至ったので、まとめてくれていて助かる!EUから脱したイギリスの取り扱いとかにも触れられていて興味深い。EUはCTログを要件にしないままQWACを運用しようとしていたのか...来歴を考えるとちょっとありえない気もする。他にも、EUトラストサービスのプロバイダー組織ESD(European Signature Dialog)とMozillaなどの業界団体との議論が詳細に解説されていて分かりやすかった。
ポッドキャストから始まって学位取得に結びついた話とか、おまけ(本編?)も面白かった。
無料公開されているので、みなさまもぜひ。
[おわりに]
技術書典16オンラインマーケットまだまだ開催中です、よろしくお願いします!!
