Kazuho Oku, profile picture
Uploaded byKazuho Oku
PPTX, PDF3,061 views

TLS & LURK @ IETF 95

IETF報告会(5/10資料)

Embed presentation

Downloaded 15 times
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. TLS & LURK @ IETF 95 DeNA Co., Ltd. Kazuho Oku 1
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. はじめに  話者は暗号の専門家ではありません  プロトコル実装はちょっとできる ⁃ H2O (HTTP/2)  TLS「実装」のハックは多少したことがある ⁃ TLS 1.3は自分で実装するつもり ツッコミお願いします m(__)m 2TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. TLS 1.3 3TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. TLS 1.3とは  TLSの次期メジャーバージョン ⁃ 2016/5 WGLC (予定)  主な変更: ⁃ Forward Secrecy (前方秘匿性) ⁃ より多くのデータを暗号化 (e.g. セッションID) ⁃ より高速なハンドシェイク (0-RTT / 1-RTT) ⁃ 脆弱性を産みにくい設計 • AEAD必須, 圧縮なし, リネゴシエーションなし, etc. ⁃ クライアント認証は、ハンドシェイク後に証明書の保 有証明として実現 4TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. Forward-secrecyとリザンプション  TLS 1.2以前: ⁃ フルハンドシェイク (2-RTT) ⁃ リザンプション (1-RTT) • 暗号鍵を使いまわし(正確にはTCP接続毎にFSでない)  TLS 1.3: ⁃ フルハンドシェイク (1-RTT) • 認証と暗号鍵の分離を強制 ((EC)DHE) ⁃ Pre-Shared Key (リザンプションに相当, 0-RTT) • PSK+(EC)DHE: TCP接続毎の前方秘匿性(FS)を確保 • PSK-only: TLS 1.2以前と同様 5TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 0-RTT  ハンドシェイク要求と同時にアプリデータ送信  懸念点: アプリデータはリプレイ可能 ⁃ 対策: アプリが気をつけて使う 6TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. TLS 1.3 @ IETF 95  WGLCにむけた作業 ⁃ (未成熟な) 部分を削る ⁃ 細かな改善  資料 ⁃ https://www.ietf.org/proceedings/95/slides/slide s-95-tls-2.pdf ⁃ https://www.ietf.org/proceedings/95/minutes/mi nutes-95-tls 7TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. ダウングレード攻撃の検知  要件 ⁃ クライアントは、自分が送信したTLSバージョンがを 話すサーバに正しく伝わったか検証したい ⁃ TLS 1.2以前でのハンドシェイク完了時にも、検出で きる必要がある  手法 ⁃ バージョンを、ServerRandomのprefixとして送信 • “DOWNGRD01” ⁃ TLS 1.3サーバがTLS 1.2以前のクライアントとハンド シェイクする場合 8TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 0-RTTハンドシェイクの整理  撤回されたもの ⁃ クライアント認証 (0-RTT) ⁃ (EC)DHE  残るもの ⁃ PSK ⁃ PSK-(EC)DHE  要は ⁃ 共通鍵を交換済の場合だけ0-RTT可能にする 9TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. (EC)DHE 0-RTT撤回の影響とは?  PSKが使えないケースが影響をうける ⁃ 今後もPSKなら0-RTTできるわけで…  例: out-of-bandでの(EC)DHE鍵の配布 ⁃ サーバのDNSレコードに(EC)DHE鍵を入れておく • 初回接続から0-RTT  撤回理由(のひとつ): ⁃ out-of-bandで鍵を配布&revokeする現実的な手法の 欠如 10TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 0-RTTハンドシェイクに失敗した場合の挙動整理  決まった手順 1. サーバがHelloRetryRequest送信 2. クライアントはearly-dataの末尾をalertでマーク 3. early-dataは全てなかったことにしてフルハンドシェ イクを続行 11TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 0.5-RTT vs. リプレイ攻撃  0.5-RTTとは ⁃ サーバがハンドシェイクとともに送るearly-data  0.5 RTTを使いたいユースケース: ⁃ HTTP/2, SMTP, ...  リプレイ攻撃が発生するケース: ⁃ PSK + client auth  結論: ⁃ 0-RTT early-data同様、アプリが注意して使う 12TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 鍵の使い分け  TLS 1.3ではハンドシェイクとアプリデータで異なる鍵を 使う ⁃ メリット: 権限分離可能  問題: post-handshake messageをどう暗号化するか ⁃ post-handshake messageとは? • NewSessionTicket, client-auth, KeyUpdate ⁃ 解決案: • とりあえず復号して整合性確認 • 2重暗号化 ← 採用 • content-typeを書き戻す ⁃ 使う鍵は? → 専用の鍵を作ろう 13TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 鍵について整理しておくと…  2つのSecret  SSとESから導出される鍵でメッセージを暗号化 ⁃ handshake key, application key, post-handshake key ⁃ Resumption Master Secretも同様に導出  SSは0-RTTの暗号化に使用 14TLS & LURK @ IETF 95 Key Exchange Static Secret (SS) Ephemeral Secret (ES) (EC)DHE (1-RTT) client & server ephemeral client & server ephemeral PSK (0-RTT) pre-shared key pre-shared key PSK+(EC)DHE (0-RTT) pre-shared key client & server ephemeral
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 他にあった議論  対応する(EC)DHEのパラメータをサーバが告知したい ⁃ 「次からはこのパラメータを使ってほしいな」 ⁃ supported_groups extensionを送ることが可能に  TLS通信の改ざん不可能なモニタがほしい ⁃ KeyUpdateに受信通知をつければいい ⁃ 暗号鍵を更新後に古い鍵をモニタ装置に通知 → モニ タは保存しておいた暗号文を解読 ⁃ https://github.com/tlswg/tls13-spec/pull/426/ ⁃ Status: parked 15TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. LURK (Limited Use Remote Keys) 16TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. そもそものユースケース  CDN (Content Delivery Network) の秘密鍵運用  CDNは、世界各国に拠点を配置 ⁃ そこから高速かつ安価にコンテンツの配信を代行 ⁃ そのためにHTTPSを終端する ⁃ だが、秘密鍵の供託が必要な国もある • 盗聴リスク????  解決策: ⁃ 秘密鍵が必要な処理は、安全な拠点のサーバで行う ⁃ 安全じゃない拠点〜秘密鍵サーバは専用プロトコル • これを標準化するのがLURK 17TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 他のユースケース  コード署名の権利を委譲したい… 18TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. 議論の焦点  なんでも署名(暗号化)してしまう秘密鍵運用サーバの 存在意義って何? ⁃ 秘密鍵を供託してるのとリスクは大差ないのでは?  そこを防ごうとすると、TLSプロトコル専用に、ハンドシ ェイク部分を委譲する仕組みとならざるをえないのでは? ⁃ → WGのゴールって何なのさ? 19TLS & LURK @ IETF 95
Copyright (C) 2016 DeNA Co.,Ltd. All Rights Reserved. おしまい 20TLS & LURK @ IETF 95

More Related Content

PDF
TLS 1.3 と 0-RTT のこわ〜い話
byKazuho Oku
 
PDF
H2O - making HTTP better
byKazuho Oku
 
PDF
HTTP/2時代のウェブサイト設計
byKazuho Oku
 
PPT
ウェブアーキテクチャの歴史と未来
byKazuho Oku
 
PDF
QUIC標準化動向 〜2017/7
byKazuho Oku
 
PDF
Ietf95 http2
byKaoru Maeda
 
PDF
HTTP/2 でリバプロするだけでグラフツールを 高速化できた話
byNaotoshi Seo
 
PDF
HTTP2 時代の Web - web over http2
byJxck Jxck
 
TLS 1.3 と 0-RTT のこわ〜い話
byKazuho Oku
 
H2O - making HTTP better
byKazuho Oku
 
HTTP/2時代のウェブサイト設計
byKazuho Oku
 
ウェブアーキテクチャの歴史と未来
byKazuho Oku
 
QUIC標準化動向 〜2017/7
byKazuho Oku
 
Ietf95 http2
byKaoru Maeda
 
HTTP/2 でリバプロするだけでグラフツールを 高速化できた話
byNaotoshi Seo
 
HTTP2 時代の Web - web over http2
byJxck Jxck
 

What's hot

PDF
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
byDevelopers Summit
 
PDF
HTTP/2, QUIC入門
byshigeki_ohtsu
 
PDF
DPDKによる高速コンテナネットワーキング
byTomoya Hibi
 
PPTX
VPP事始め
bynpsg
 
PDF
High Performance Networking with DPDK & Multi/Many Core
byslankdev
 
PDF
サーバPUSHざっくりまとめ
byYasuhiro Mawarimichi
 
PDF
HTTP 2.0のヘッダ圧縮(HPACK)
byJun Fujisawa
 
PPT
Webアプリケーションの無停止稼働
byKazuho Oku
 
PPTX
FD.io VPP事始め
bytetsusat
 
PDF
第2回Web技術勉強会 webパフォーマンス改善編
bytzm_freedom
 
PDF
DPDKを用いたネットワークスタック,高性能通信基盤開発
byslankdev
 
PDF
IETF91 Honolulu httpbis WG Report
byKaoru Maeda
 
PDF
IETF93 Prague報告Web関連+QUIC
byKaoru Maeda
 
PDF
HTTP2入門
bySota Sugiura
 
PDF
Ietf97 ソウル報告
byyuki-f
 
PDF
Lagopus, raw socket build
byMasaru Oki
 
PDF
Kernel vm-2014-05-25
byHirochika Asai
 
PDF
Open flow tunnel extension on lagopus vswitch
byMasaru Oki
 
PDF
Lagopus 0.2.2
byMasaru Oki
 
PDF
NetBSD/evbarm on Raspberry Pi
bytokudahiroshi
 
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
byDevelopers Summit
 
HTTP/2, QUIC入門
byshigeki_ohtsu
 
DPDKによる高速コンテナネットワーキング
byTomoya Hibi
 
VPP事始め
bynpsg
 
High Performance Networking with DPDK & Multi/Many Core
byslankdev
 
サーバPUSHざっくりまとめ
byYasuhiro Mawarimichi
 
HTTP 2.0のヘッダ圧縮(HPACK)
byJun Fujisawa
 
Webアプリケーションの無停止稼働
byKazuho Oku
 
FD.io VPP事始め
bytetsusat
 
第2回Web技術勉強会 webパフォーマンス改善編
bytzm_freedom
 
DPDKを用いたネットワークスタック,高性能通信基盤開発
byslankdev
 
IETF91 Honolulu httpbis WG Report
byKaoru Maeda
 
IETF93 Prague報告Web関連+QUIC
byKaoru Maeda
 
HTTP2入門
bySota Sugiura
 
Ietf97 ソウル報告
byyuki-f
 
Lagopus, raw socket build
byMasaru Oki
 
Kernel vm-2014-05-25
byHirochika Asai
 
Open flow tunnel extension on lagopus vswitch
byMasaru Oki
 
Lagopus 0.2.2
byMasaru Oki
 
NetBSD/evbarm on Raspberry Pi
bytokudahiroshi
 

Viewers also liked

PDF
Developing the fastest HTTP/2 server
byKazuho Oku
 
PPTX
Programming TCP for responsiveness
byKazuho Oku
 
PPTX
Recent Advances in HTTP, controlling them using ruby
byKazuho Oku
 
PDF
H2O - the optimized HTTP server
byKazuho Oku
 
PPTX
JSON SQL Injection and the Lessons Learned
byKazuho Oku
 
PPT
Kliniksefiuzman
byanttab
 
PPTX
Pentesting ReST API
byNutan Kumar Panda
 
PDF
Bærum kommune - ny kommunikasjonsstrategi 2009
byPål Hivand
 
PDF
Programming TCP for responsiveness
byKazuho Oku
 
PDF
H2O - making the Web faster
byKazuho Oku
 
PDF
Reorganizing Website Architecture for HTTP/2 and Beyond
byKazuho Oku
 
PDF
Securty Testing For RESTful Applications
bySource Conference
 
KEY
Mobile Development 101
byMichael Galpin
 
PPT
Improvement Methodology
byBernard Rosauer
 
PPTX
Pointing Your Domain Name To Your Website
bypahmah
 
PPS
香港六合彩 » SlideShare
bypiwnioyh
 
PPT
PresentacióN
bycancantop5
 
PPT
Time Manag.
byagek2005
 
PPT
Koty
byMaria Ptak
 
PDF
HTTP/2の課題と将来
byKazuho Oku
 
Developing the fastest HTTP/2 server
byKazuho Oku
 
Programming TCP for responsiveness
byKazuho Oku
 
Recent Advances in HTTP, controlling them using ruby
byKazuho Oku
 
H2O - the optimized HTTP server
byKazuho Oku
 
JSON SQL Injection and the Lessons Learned
byKazuho Oku
 
Kliniksefiuzman
byanttab
 
Pentesting ReST API
byNutan Kumar Panda
 
Bærum kommune - ny kommunikasjonsstrategi 2009
byPål Hivand
 
Programming TCP for responsiveness
byKazuho Oku
 
H2O - making the Web faster
byKazuho Oku
 
Reorganizing Website Architecture for HTTP/2 and Beyond
byKazuho Oku
 
Securty Testing For RESTful Applications
bySource Conference
 
Mobile Development 101
byMichael Galpin
 
Improvement Methodology
byBernard Rosauer
 
Pointing Your Domain Name To Your Website
bypahmah
 
香港六合彩 » SlideShare
bypiwnioyh
 
PresentacióN
bycancantop5
 
Time Manag.
byagek2005
 
Koty
byMaria Ptak
 
HTTP/2の課題と将来
byKazuho Oku
 

Similar to TLS & LURK @ IETF 95

PDF
SSL/TLSの基礎と最新動向
byshigeki_ohtsu
 
PDF
#mailerstudy 02 メールと暗号 - SSL/TLS -
byTakashi Takizawa
 
PDF
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
byKenji Urushima
 
PDF
TLS 1.3におけるハイブリッド耐量子鍵交換 - Hybrid Post Quantum Key Exchange for TLS 1.3
byJun Kurihara
 
PDF
暗認本読書会10
byMITSUNARI Shigeo
 
PDF
TLS, HTTP/2演習
byshigeki_ohtsu
 
PDF
プロフェッショナルSSL/TLS 1.2章
byMITSUNARI Shigeo
 
PPTX
RFC 7457 Summarizing Known Attacks on Transport Layer Security (TLS) and Dat...
byKazumasa Kaneko
 
PPTX
SSL で守られる生活
by京大 マイコンクラブ
 
PDF
プロフェッショナルSSL/TLS 7章
byMITSUNARI Shigeo
 
PPTX
SSL入門
byTakeru Ujinawa
 
PDF
Protocol2018
byrung (Hiroki Suezawa)
 
PPT
Professional SSL/TLS Reading Chapter 6
byShogo Hayashi
 
PPTX
【くららカフェ#4】最新SSL動向
byCLARA, Inc.
 
PDF
Ssl
byNet Kanayan
 
PPTX
SSLの技術的な仕組みとサイトのSSL化について
byssuserb5e2a0
 
PDF
SSLv3の脆弱性 Another
byYasutaka Hiraki
 
SSL/TLSの基礎と最新動向
byshigeki_ohtsu
 
#mailerstudy 02 メールと暗号 - SSL/TLS -
byTakashi Takizawa
 
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
byKenji Urushima
 
TLS 1.3におけるハイブリッド耐量子鍵交換 - Hybrid Post Quantum Key Exchange for TLS 1.3
byJun Kurihara
 
暗認本読書会10
byMITSUNARI Shigeo
 
TLS, HTTP/2演習
byshigeki_ohtsu
 
プロフェッショナルSSL/TLS 1.2章
byMITSUNARI Shigeo
 
RFC 7457 Summarizing Known Attacks on Transport Layer Security (TLS) and Dat...
byKazumasa Kaneko
 
SSL で守られる生活
by京大 マイコンクラブ
 
プロフェッショナルSSL/TLS 7章
byMITSUNARI Shigeo
 
SSL入門
byTakeru Ujinawa
 
Protocol2018
byrung (Hiroki Suezawa)
 
Professional SSL/TLS Reading Chapter 6
byShogo Hayashi
 
【くららカフェ#4】最新SSL動向
byCLARA, Inc.
 
Ssl
byNet Kanayan
 
SSLの技術的な仕組みとサイトのSSL化について
byssuserb5e2a0
 
SSLv3の脆弱性 Another
byYasutaka Hiraki
 

More from Kazuho Oku

PPTX
HTTPとサーバ技術の最新動向
byKazuho Oku
 
PPTX
ウェブを速くするためにDeNAがやっていること - HTTP/2と、さらにその先
byKazuho Oku
 
PPTX
JSX の現在と未来 - Oct 26 2013
byKazuho Oku
 
PDF
ウェブブラウザの時代は終わるのか 〜スマホアプリとHTML5の未来〜
byKazuho Oku
 
PDF
HTTP/2で 速くなるとき ならないとき
byKazuho Oku
 
PDF
オープンソース開発者がDeNAを選ぶ理由
byKazuho Oku
 
PPT
Unix Programming with Perl 2
byKazuho Oku
 
PPTX
JSX
byKazuho Oku
 
PDF
JSX - 公開から1年を迎えて
byKazuho Oku
 
PPTX
JSX 速さの秘密 - 高速なJavaScriptを書く方法
byKazuho Oku
 
PPTX
JSX
byKazuho Oku
 
PPTX
Cache aware-server-push in H2O version 1.5
byKazuho Oku
 
PDF
JSX - developing a statically-typed programming language for the Web
byKazuho Oku
 
PPTX
JSX Design Overview (日本語)
byKazuho Oku
 
PPTX
Using the Power to Prove
byKazuho Oku
 
PPTX
JSX Optimizer
byKazuho Oku
 
PPTX
例えば牛丼を避ける
byKazuho Oku
 
HTTPとサーバ技術の最新動向
byKazuho Oku
 
ウェブを速くするためにDeNAがやっていること - HTTP/2と、さらにその先
byKazuho Oku
 
JSX の現在と未来 - Oct 26 2013
byKazuho Oku
 
ウェブブラウザの時代は終わるのか 〜スマホアプリとHTML5の未来〜
byKazuho Oku
 
HTTP/2で 速くなるとき ならないとき
byKazuho Oku
 
オープンソース開発者がDeNAを選ぶ理由
byKazuho Oku
 
Unix Programming with Perl 2
byKazuho Oku
 
JSX
byKazuho Oku
 
JSX - 公開から1年を迎えて
byKazuho Oku
 
JSX 速さの秘密 - 高速なJavaScriptを書く方法
byKazuho Oku
 
JSX
byKazuho Oku
 
Cache aware-server-push in H2O version 1.5
byKazuho Oku
 
JSX - developing a statically-typed programming language for the Web
byKazuho Oku
 
JSX Design Overview (日本語)
byKazuho Oku
 
Using the Power to Prove
byKazuho Oku
 
JSX Optimizer
byKazuho Oku
 
例えば牛丼を避ける
byKazuho Oku
 

TLS & LURK @ IETF 95

  • 1.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. TLS & LURK @ IETF 95 DeNA Co., Ltd. Kazuho Oku 1
  • 2.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. はじめに  話者は暗号の専門家ではありません  プロトコル実装はちょっとできる ⁃ H2O (HTTP/2)  TLS「実装」のハックは多少したことがある ⁃ TLS 1.3は自分で実装するつもり ツッコミお願いします m(__)m 2TLS & LURK @ IETF 95
  • 3.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. TLS 1.3 3TLS & LURK @ IETF 95
  • 4.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. TLS 1.3とは  TLSの次期メジャーバージョン ⁃ 2016/5 WGLC (予定)  主な変更: ⁃ Forward Secrecy (前方秘匿性) ⁃ より多くのデータを暗号化 (e.g. セッションID) ⁃ より高速なハンドシェイク (0-RTT / 1-RTT) ⁃ 脆弱性を産みにくい設計 • AEAD必須, 圧縮なし, リネゴシエーションなし, etc. ⁃ クライアント認証は、ハンドシェイク後に証明書の保 有証明として実現 4TLS & LURK @ IETF 95
  • 5.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. Forward-secrecyとリザンプション  TLS 1.2以前: ⁃ フルハンドシェイク (2-RTT) ⁃ リザンプション (1-RTT) • 暗号鍵を使いまわし(正確にはTCP接続毎にFSでない)  TLS 1.3: ⁃ フルハンドシェイク (1-RTT) • 認証と暗号鍵の分離を強制 ((EC)DHE) ⁃ Pre-Shared Key (リザンプションに相当, 0-RTT) • PSK+(EC)DHE: TCP接続毎の前方秘匿性(FS)を確保 • PSK-only: TLS 1.2以前と同様 5TLS & LURK @ IETF 95
  • 6.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 0-RTT  ハンドシェイク要求と同時にアプリデータ送信  懸念点: アプリデータはリプレイ可能 ⁃ 対策: アプリが気をつけて使う 6TLS & LURK @ IETF 95
  • 7.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. TLS 1.3 @ IETF 95  WGLCにむけた作業 ⁃ (未成熟な) 部分を削る ⁃ 細かな改善  資料 ⁃ https://www.ietf.org/proceedings/95/slides/slide s-95-tls-2.pdf ⁃ https://www.ietf.org/proceedings/95/minutes/mi nutes-95-tls 7TLS & LURK @ IETF 95
  • 8.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. ダウングレード攻撃の検知  要件 ⁃ クライアントは、自分が送信したTLSバージョンがを 話すサーバに正しく伝わったか検証したい ⁃ TLS 1.2以前でのハンドシェイク完了時にも、検出で きる必要がある  手法 ⁃ バージョンを、ServerRandomのprefixとして送信 • “DOWNGRD01” ⁃ TLS 1.3サーバがTLS 1.2以前のクライアントとハンド シェイクする場合 8TLS & LURK @ IETF 95
  • 9.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 0-RTTハンドシェイクの整理  撤回されたもの ⁃ クライアント認証 (0-RTT) ⁃ (EC)DHE  残るもの ⁃ PSK ⁃ PSK-(EC)DHE  要は ⁃ 共通鍵を交換済の場合だけ0-RTT可能にする 9TLS & LURK @ IETF 95
  • 10.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. (EC)DHE 0-RTT撤回の影響とは?  PSKが使えないケースが影響をうける ⁃ 今後もPSKなら0-RTTできるわけで…  例: out-of-bandでの(EC)DHE鍵の配布 ⁃ サーバのDNSレコードに(EC)DHE鍵を入れておく • 初回接続から0-RTT  撤回理由(のひとつ): ⁃ out-of-bandで鍵を配布&revokeする現実的な手法の 欠如 10TLS & LURK @ IETF 95
  • 11.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 0-RTTハンドシェイクに失敗した場合の挙動整理  決まった手順 1. サーバがHelloRetryRequest送信 2. クライアントはearly-dataの末尾をalertでマーク 3. early-dataは全てなかったことにしてフルハンドシェ イクを続行 11TLS & LURK @ IETF 95
  • 12.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 0.5-RTT vs. リプレイ攻撃  0.5-RTTとは ⁃ サーバがハンドシェイクとともに送るearly-data  0.5 RTTを使いたいユースケース: ⁃ HTTP/2, SMTP, ...  リプレイ攻撃が発生するケース: ⁃ PSK + client auth  結論: ⁃ 0-RTT early-data同様、アプリが注意して使う 12TLS & LURK @ IETF 95
  • 13.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 鍵の使い分け  TLS 1.3ではハンドシェイクとアプリデータで異なる鍵を 使う ⁃ メリット: 権限分離可能  問題: post-handshake messageをどう暗号化するか ⁃ post-handshake messageとは? • NewSessionTicket, client-auth, KeyUpdate ⁃ 解決案: • とりあえず復号して整合性確認 • 2重暗号化 ← 採用 • content-typeを書き戻す ⁃ 使う鍵は? → 専用の鍵を作ろう 13TLS & LURK @ IETF 95
  • 14.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 鍵について整理しておくと…  2つのSecret  SSとESから導出される鍵でメッセージを暗号化 ⁃ handshake key, application key, post-handshake key ⁃ Resumption Master Secretも同様に導出  SSは0-RTTの暗号化に使用 14TLS & LURK @ IETF 95 Key Exchange Static Secret (SS) Ephemeral Secret (ES) (EC)DHE (1-RTT) client & server ephemeral client & server ephemeral PSK (0-RTT) pre-shared key pre-shared key PSK+(EC)DHE (0-RTT) pre-shared key client & server ephemeral
  • 15.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 他にあった議論  対応する(EC)DHEのパラメータをサーバが告知したい ⁃ 「次からはこのパラメータを使ってほしいな」 ⁃ supported_groups extensionを送ることが可能に  TLS通信の改ざん不可能なモニタがほしい ⁃ KeyUpdateに受信通知をつければいい ⁃ 暗号鍵を更新後に古い鍵をモニタ装置に通知 → モニ タは保存しておいた暗号文を解読 ⁃ https://github.com/tlswg/tls13-spec/pull/426/ ⁃ Status: parked 15TLS & LURK @ IETF 95
  • 16.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. LURK (Limited Use Remote Keys) 16TLS & LURK @ IETF 95
  • 17.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. そもそものユースケース  CDN (Content Delivery Network) の秘密鍵運用  CDNは、世界各国に拠点を配置 ⁃ そこから高速かつ安価にコンテンツの配信を代行 ⁃ そのためにHTTPSを終端する ⁃ だが、秘密鍵の供託が必要な国もある • 盗聴リスク????  解決策: ⁃ 秘密鍵が必要な処理は、安全な拠点のサーバで行う ⁃ 安全じゃない拠点〜秘密鍵サーバは専用プロトコル • これを標準化するのがLURK 17TLS & LURK @ IETF 95
  • 18.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 他のユースケース  コード署名の権利を委譲したい… 18TLS & LURK @ IETF 95
  • 19.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. 議論の焦点  なんでも署名(暗号化)してしまう秘密鍵運用サーバの 存在意義って何? ⁃ 秘密鍵を供託してるのとリスクは大差ないのでは?  そこを防ごうとすると、TLSプロトコル専用に、ハンドシ ェイク部分を委譲する仕組みとならざるをえないのでは? ⁃ → WGのゴールって何なのさ? 19TLS & LURK @ IETF 95
  • 20.
    Copyright (C) 2016DeNA Co.,Ltd. All Rights Reserved. おしまい 20TLS & LURK @ IETF 95