iijlab seminar: TLS 1.3

TLSとは何かとその歴史 TLS 1.2の問題点 TLS 1.3での問題の解決 TLS 1.3を実装した体験談
7
Kaoru Maeda 前田 薫 @mad_p

#iijtls に来ました。kazuさんによるTLS1.3のおはなし

2017-01-10 17:59:02
MORI Tomoya @moritomoya

TLS 1.3の最新ネタを仕入れに来た。 #iijtls iijlab-seminars.connpass.com/event/47596/ (@ 株式会社インターネットイニシアティブ) swarmapp.com/c/cIsJOSMTxca

2017-01-10 18:00:33
Kaoru Maeda 前田 薫 @mad_p

TLS1.2のフルハンドシェイクのおさらい。実際に使われているサーバー証明書の99%はRSA証明書。TLS1.2ではサーバー認証と鍵交換が同時に起こる #iijtls

2017-01-10 18:06:38
Kaoru Maeda 前田 薫 @mad_p

kazuさん: SSL2.0, SSL3.0はRFCにより禁止それぞれDROWN、POODLE攻撃がある。TLS1.0はBEAST攻撃。TLS1.1も認証つき暗号がない。いまはTLS1.2しか実用に使えない #iijtls

2017-01-10 18:09:20
Keiji Yoshida @keijiyoshida_

現状使用可能なのは TLS 1.2 のみ。 TLS 1.3 でプロトコルに大幅な変更が入る。 #iijtls

2017-01-10 18:09:38
Kaoru Maeda 前田 薫 @mad_p

kazuさん: TLS1.2への脅威: 広域監視、圧縮への攻撃、リネゴシエーションへの攻撃、暗号危殆化の問題 #iijtls

2017-01-10 18:10:35
Keiji Yoshida @keijiyoshida_

TLS 1.2 の問題点: 1. 広域監視 2. 圧縮への攻撃方法, 3. 再ネゴシエーションへの攻撃,4. 暗号技術の老朽化 #iijtls

2017-01-10 18:10:43
Kaoru Maeda 前田 薫 @mad_p

kazuさん: 広域監視の問題 → 前方秘匿性が重要。やさしく言うと、使いすての鍵を使いましょうということ #iijtls

2017-01-10 18:11:45
Keiji Yoshida @keijiyoshida_

広域監視の存在が明らかに -> トラフィックは全て保存されていると考えるべき -> 性的な秘密鍵が流出すると過去の暗号文を解読される #iijtls

2017-01-10 18:12:16
Kaoru Maeda 前田 薫 @mad_p

kazuさん: TLS1.2ではサーバー認証と鍵交換が密結合している。認証には静的な秘密鍵が必要になるので、前方秘匿性がない → DHの復権 #iijtls

2017-01-10 18:12:32
Keiji Yoshida @keijiyoshida_

鍵交換は前方秘匿性を持つべき -> 使い捨ての鍵を使いましょう #iijtls

2017-01-10 18:12:53
Kaoru Maeda 前田 薫 @mad_p

kazuさん: DHEの「E」Ephemeralが重要。秘密鍵を動的に作って使いすてるという意味。DHE、ECDHE #iijtls

2017-01-10 18:13:28
Keiji Yoshida @keijiyoshida_

前方秘匿性を持つ Diffie Hellman の復権: 公開鍵と秘密鍵を動的に使って使い捨てる #iijtls

2017-01-10 18:13:40
MORI Tomoya @moritomoya

TLS 1.2以前の大きな問題点の一つはサーバ認証と鍵交換が密結合であること。 #iijtls

2017-01-10 18:13:42
Keiji Yoshida @keijiyoshida_

トラスポートでの圧縮は危険 -> CRIME 攻撃: 暗号を解読しないでクッキーを盗む #iijtls

2017-01-10 18:14:32
Kaoru Maeda 前田 薫 @mad_p

kazuさん: 圧縮の問題: トランスポートでの圧縮は危険(あらかじめ静的に圧縮するのはOK)。CRIME攻撃: 暗号を解読しないでクッキーを盗む #iijtls

2017-01-10 18:14:34
Kaoru Maeda 前田 薫 @mad_p

kazuさん: CRIME攻撃: 悪意のあるサイトが、HTTPヘッダ付加しを変えながらサーバへアクセスさせる。送信されるパケットが縮んだら、圧縮が効いた→クッキーと共通の文字を入れた、とわかる #iijtls

2017-01-10 18:16:08
Keiji Yoshida @keijiyoshida_

再ネゴシエーションの目的: 鍵の更新、クライアント認証 #iijtls

2017-01-10 18:17:35
Keiji Yoshida @keijiyoshida_

再ネゴシネーションは危険: 中間者攻撃 (MitM) を受ける (RFC5746)、サーバが DoS を受ける #iijtls

2017-01-10 18:17:40
Kaoru Maeda 前田 薫 @mad_p

kazuさん: 再ネゴシエーションは危険(リザンプションと混同しないこと)。MitMを受ける(RFC5746)、サーバーがDoSを受ける(RSAでは秘密鍵が大きいため、サーバー側処理が重くなる。TCP/IPレベルの頻度フィルタでは防げない) #iijtls

2017-01-10 18:18:38
Kaoru Maeda 前田 薫 @mad_p

kazuさん: TLSが不自由なのが問題。クライアント認証がネゴシエーションでしかできない。証明書が平文で流れることもありプライバシーリスクに #iijtls

2017-01-10 18:19:42
Keiji Yoshida @keijiyoshida_

クライアント認証はネゴシエーションでしかできない、クライアント証明書は平文で流れることがある #iijtls

2017-01-10 18:19:49
Kaoru Maeda 前田 薫 @mad_p

kazuさん: クライアントからのリネゴシエーションは禁止するということで現在は緩和 #iijtls

2017-01-10 18:20:26