TLS 1.3 と 0-RTT のこわ〜い話

Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved.
TLS 1.3 と 0-RTTのこわ〜い話
DeNA Co., Ltd.
Kazuho Oku

TLS 1.3とは
n  TLSのメジャーバージョンアップ
⁃  より速く
⁃  より安全
⁃  プライバシー保護
TLS 1.3 と 0-RTT のこわ〜い話

より速く
n  ハンドシェイクの⾼速化:
⁃  TLS 1.2: フル=2 RTT, リザンプション=1 RTT
⁃  TLS 1.3: フル=1 RTT, リザンプション=0 RTT
n  アプリケーションデータの暗号化フォーマットの最適化

より安全
n  AEAD必須
⁃  cf. BEAST攻撃
n  圧縮禁⽌
⁃  cf. CRIME攻撃
n  Perfect Forward Secrecy
⁃  リザンプション時も

プライバシー保護
n  TLS 1.2以前の問題:
⁃  証明書が平⽂で流れる
•  誰が通信してるのか、まるわかり
⁃  特にクライアント認証で問題
⁃  リザンプションのチケットが同⼀のまま複数回、平⽂
で流れる
•  複数のTLS通信にまたがったユーザトラッキングが可能
n  TLS 1.3:
⁃  できるだけ多くの情報を（証明書等も）暗号化
⁃  チケットは毎回更新

で、具体的にどう変わったの?

TLS 1.2の通信フロー
ClientHello
ServerHello
Cer@ﬁcate
Cer@ﬁcateVerify
Finished
Client Server
Applica@on Data
暗号化
Session Ticket(s)
Finished

TLS 1.3の通信フロー
ClientHello
ServerHello
EncryptedExtensions
Cer@ﬁcate
Cer@ﬁcateVerify
Finished
Finished
Client Server
(EC)DH鍵+パラメータ
(EC)DH鍵
パラメータ
サーバ証明書
サーバ証明書検証MAC
ハンドシェイク検証MAC
ハンドシェイク検証MAC
Applica@on Data
Session Ticket(s)
(EC)DH鍵交換由来の鍵で暗号化

TLS 1.3のレコードフォーマット
n  TLS 1.2以前では、アプリケーションデータのみ暗号化
n  TLS 1.3では、Hello以外のすべてのデータを暗号化
平⽂: 16 03 01 00 04 DE AD BE EF
暗号⽂: 17 03 01 04 55 (DE AD BE EF 16 00 00 00)
type version length data
type
“encrypted”
version length data type padding
暗号化される部分

TLS 1.3の通信フロー（0-RTTリザンプション）
ClientHello
(ECDH + session @cket)
Client Server
@cket + (EC)DH鍵交換由来の鍵で暗号化
0-RTT Data
(PSK由来の鍵で暗号化)
ServerHello (ECDH)
EncryptedExtensions
Finished
0.5-RTT Data
Finished Session Ticket

リザンプションについて
n  TLS 1.3では、クライアントはsession ticketを使い捨て
⁃  サーバは接続毎にsession ticketを暗号化して送信
⁃  クライアントはsession ticketを平⽂で送信
⁃  → 盗聴者は、複数のTLS接続にまたがったトラッキン
グができない
n  TLS 1.3では、リザンプション時も(EC)DH鍵交換をする
⁃  → TCP接続ごとのforward secrecyが確保される
⁃  リザンプション時に前回の暗号化鍵を使うことも仕様
上可能だが、ブラウザの対応予定なし

そのほか

Chinese Menu問題
n  TLS 1.2以前:
⁃  RSA_WITH_AES_128_CBC_SHA (002f)
⁃  ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
(c023)
⁃  …
n  TLS 1.3:
⁃  鍵交換: secp256r1 (23), ...
⁃  証明書検証: rsa_pkcs1_sha256 (0401), ...
⁃  暗号化: AES_128_GCM_SHA256 (1301), …

バージョン問題
n  TLS 1.3でいいよ！
⁃  上位互換なんだから
n  TLS 2がいいよ！
⁃  ⼤幅な変更なんだから
⁃  SSL 3よりも、いいプロトコルなんだから
⁃  これで混乱しないでしょ

今後のスケジュール
n  2016/10 – WG last call なう
n  2016/12 – ヘッダを2バイト削っても問題ないか試す
n  2016/02 – セキュリティレビューを待って制定?

0-RTTのこわ〜い話

その前にCM

picotlsいいですよ
n  H2Oの次期TLS実装 (MITライセンス)
⁃  TLS 1.3とQUICで使⽤予定
n  特徴:
⁃  TLS 1.3のみ実装
•  0-RTT や early-data にも対応
⁃  とても⼩さい
•  暗号ライブラリこみで100KB程度
⁃  組み込みでも便利！
•  OpenSSLの暗号ライブラリ(libcrypto)と組み合わせるこ
ともできる

0-RTTのこわ〜い話
HTTP Workshop 2016における、Subodh Iyengar⽒の発
表および関連した議論において出てきた話題を紹介します

0-RTT dataとは
n  ハンドシェイク完了前にアプリケーションデータを送信
可能
⁃  メリット: 1RTT 節約
⁃  デメリット: ハンドシェイク毎リプレイ可能
n  正しい使い⽅: リプレイされても困らないデータのみ0-
RTTで送信しましょう
↓
それって現実的なの？

HTTPとリトライ
n  HTTP仕様⽈く:
⁃  「べき等性のあるメソッドはリトライしても良い」
⁃  「べき等性のないメソッドは⾃動リトライ禁⽌」
•  e.g. POST
n  現実:
⁃  ブラウザはPOSTもリトライ
•  ただし、サーバが何も⾔わずに接続を切った場合
•  再接続が必要だと判断した場合、接続を切って再POSTを
期待するサーバ実装が現実に存在する
⁃  Chromeは既にQUICで0-RTT+POSTリトライしてる

３種類のsafety
n  retry-safety
⁃  クライアントにリトライさせないようにする
n  idempotence
⁃  リトライされても安全
n  replay-safety
⁃  アプリケーションデータをリプレイされないようにす
る

３種類のsafety
n  retry-safety
⁃  リトライ攻撃の例: TLSを中継してHTTPSレスポンス
の代わりにTCP切断を送信
⁃  典型的対策: フォームにnonceを紐付けて、リクエス
ト受信時にmemcachedにnonceを突っ込む
n  idempotence
⁃  リトライされても⼤丈夫
⁃  結果がべき等だから
n  これらの⼿法は、リトライ攻撃がユーザアクセスとほぼ
同時期に発⽣することを前提としている

３種類のsafety
n  replay-safety
⁃  定義: アプリケーションデータをリプレイされても安
全（0-RTT dataだから「リプレイ」できる）
⁃  2年前のHTTPSリクエストをリプレイされたらどうな
る?
•  memcachedのリプレイ対策情報は既に消えているだろう
•  べき等性を保つべきリソースの状態は既に変化しているか
も

replay-safetyをどう確保するか
n  案1. session ticketに署名つきで有効期限を⼊れる
n  案2. フォームのhidden要素に有効期限を⼊れる
n  注意点:
⁃  TLS 1.2以前では、リプレイ/リトライ回数の上限は、
ブラウザがPOSTを⾃動再試⾏する回数
⁃  TLS 1.3+0RTTでは、上限が攻撃者がリプレイする回
数に変わる
•  サーバファームでカウンタを⽤いて抑⽌するとしても、
DC/POP単位にならざるを得ない
•  DoSベクタにならないよう注意が必要

まとめ

まとめ
n  TLS 1.3はメジャーバージョンアップ
⁃  セキュリティ・プライバシ・パフォーマンスの向上
⁃  picotlsいいよ（宣伝）
n  0-RTTは取扱いに注意が必要
⁃  攻撃下ではサーバ側でオフにできるように

TLS 1.3 と 0-RTT のこわ〜い話

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (11)

More from Kazuho Oku

More from Kazuho Oku (20)

Recently uploaded

Recently uploaded (6)

TLS 1.3 と 0-RTT のこわ〜い話