iijlab seminar: TLS 1.3
- kazu_yamamoto
- 1985
- 3
- 3
- 14
ハッシュタグ #iijtls iijlab-seminars.connpass.com/event/47596/
2017-01-10 17:50:59TLS 1.3: ハッシュタグは #iijtls iijlab-seminars.connpass.com/event/47596/
2017-01-10 17:51:45TLS 1.3の最新ネタを仕入れに来た。 #iijtls iijlab-seminars.connpass.com/event/47596/ (@ 株式会社インターネットイニシアティブ) swarmapp.com/c/cIsJOSMTxca
2017-01-10 18:00:33TLS1.2のフルハンドシェイクのおさらい。実際に使われているサーバー証明書の99%はRSA証明書。TLS1.2ではサーバー認証と鍵交換が同時に起こる #iijtls
2017-01-10 18:06:38kazuさん: SSL2.0, SSL3.0はRFCにより禁止それぞれDROWN、POODLE攻撃がある。TLS1.0はBEAST攻撃。TLS1.1も認証つき暗号がない。いまはTLS1.2しか実用に使えない #iijtls
2017-01-10 18:09:20現状使用可能なのは TLS 1.2 のみ。 TLS 1.3 でプロトコルに大幅な変更が入る。 #iijtls
2017-01-10 18:09:38kazuさん: TLS1.2への脅威: 広域監視、圧縮への攻撃、リネゴシエーションへの攻撃、暗号危殆化の問題 #iijtls
2017-01-10 18:10:35TLS 1.2 の問題点: 1. 広域監視 2. 圧縮への攻撃方法, 3. 再ネゴシエーションへの攻撃,4. 暗号技術の老朽化 #iijtls
2017-01-10 18:10:43kazuさん: 広域監視の問題 → 前方秘匿性が重要。やさしく言うと、使いすての鍵を使いましょうということ #iijtls
2017-01-10 18:11:45広域監視の存在が明らかに -> トラフィックは全て保存されていると考えるべき -> 性的な秘密鍵が流出すると過去の暗号文を解読される #iijtls
2017-01-10 18:12:16kazuさん: TLS1.2ではサーバー認証と鍵交換が密結合している。認証には静的な秘密鍵が必要になるので、前方秘匿性がない → DHの復権 #iijtls
2017-01-10 18:12:32kazuさん: DHEの「E」Ephemeralが重要。秘密鍵を動的に作って使いすてるという意味。DHE、ECDHE #iijtls
2017-01-10 18:13:28前方秘匿性を持つ Diffie Hellman の復権: 公開鍵と秘密鍵を動的に使って使い捨てる #iijtls
2017-01-10 18:13:40トラスポートでの圧縮は危険 -> CRIME 攻撃: 暗号を解読しないでクッキーを盗む #iijtls
2017-01-10 18:14:32kazuさん: 圧縮の問題: トランスポートでの圧縮は危険(あらかじめ静的に圧縮するのはOK)。CRIME攻撃: 暗号を解読しないでクッキーを盗む #iijtls
2017-01-10 18:14:34kazuさん: CRIME攻撃: 悪意のあるサイトが、HTTPヘッダ付加しを変えながらサーバへアクセスさせる。送信されるパケットが縮んだら、圧縮が効いた→クッキーと共通の文字を入れた、とわかる #iijtls
2017-01-10 18:16:08再ネゴシネーションは危険: 中間者攻撃 (MitM) を受ける (RFC5746)、サーバが DoS を受ける #iijtls
2017-01-10 18:17:40kazuさん: 再ネゴシエーションは危険(リザンプションと混同しないこと)。MitMを受ける(RFC5746)、サーバーがDoSを受ける(RSAでは秘密鍵が大きいため、サーバー側処理が重くなる。TCP/IPレベルの頻度フィルタでは防げない) #iijtls
2017-01-10 18:18:38kazuさん: TLSが不自由なのが問題。クライアント認証がネゴシエーションでしかできない。証明書が平文で流れることもありプライバシーリスクに #iijtls
2017-01-10 18:19:42クライアント認証はネゴシエーションでしかできない、クライアント証明書は平文で流れることがある #iijtls
2017-01-10 18:19:49