標準はどのように実装されているのか？ -- OpenSSLにおけるSSL/TLSの実装に関して --

Size: px

Start display at page:

Download "標準はどのように実装されているのか？ -- OpenSSLにおけるSSL/TLSの実装に関して --"

きよあつほうねん
6 years ago
Views:

1 標準はどのように実装されているのか? -- OpenSSL における SSL/TLS の実装に関して -- 富士ゼロックス株式会社稲田龍

2 SSL/TLS のおさらい

3 SSL/TLS の機能トランスポート層でのセキュリティを保証いわゆる Socket 層の Sublayer として実装された当初は HTTP のセキュリティ保証に用いられたがプロトコル全般に利用可能伝送路の暗号化接続先の認証サーバ側 ( 必須 ) クライアント側 ( 任意 ) データインテグリティの保証 (HMAC) 2006/06/07 PKI day 3

4 SSL/TLS プロトコルスタック OSI7 階層モデルアプリケーション (WEB ブラウザ,etc) アプリケーション層プレゼンテーション層 HTT P FTP SMT P POP etc.. データセッション層 SSL/TLS Handshake Protocol Alert Protocol Change Cipher Spec Protocol Application Data Protocol Record Protocol 暗号化セッション ( 暗号 ) 鍵暗号データ復号トランスポート層 TCP TCP ヘッダ暗号データネットワーク層 IP IP ヘッダ TCP ヘッダ暗号データデータリンク層物理層 Ethernet PPP etc.. Ethernet ヘッダ IP ヘッダ TCP ヘッダ暗号データプロトコルスタックパケットフォーマット SSL/TLS はアプリーケーションとトランスポートの中間に位置するため利用するアプリケーションに依存せずにセキュアな通信が行なうことができる 2006/06/07 PKI day 4

5 SSL/TLS 鍵共有暗号通信を行なうためには 1. 通信相手が正しい通信相手なのか認証する 2. 暗号通信を行なうための鍵を双方で共有する同じ暗号鍵クライアントサーバー WEB ブラウザ WEB サーバーデータデータ暗号化復号化暗号化復号化暗号データ暗号データ TCP ヘッダ暗号データ TCP ヘッダ暗号データ IP ヘッダ TCP ヘッダ暗号データ IP ヘッダ TCP ヘッダ暗号データ Ethernet ヘッダ IP ヘッダ TCP ヘッダ暗号データ Ethernet ヘッダ IP ヘッダ TCP ヘッダ暗号データ 2006/06/07 PKI day 5

6 SSL/TLS ハンドシェイク私有鍵 C クライアント証明書利用可能な暗号 / 圧縮アルゴリズムを通知クライアント 1 Client Hello サーバーサーバー証明書 S 私有鍵 Hello メッセージ S 2 Server Hello 3 Server Certificate Hello メッセージ S 使用するする暗号 / 圧縮アルゴリズムを通知サーバー証明書 ( チェーン ) を通知 Hello メッセージ 4 Server Key Exchange (OPTIONAL) 5 Certificate Request (OPTIONAL) * 信頼するルート証明書を通知 6 Server Hello Done 暗号化プリマスターシークレット Hello メッセージプリマスターシークレット署名 Hello メッセージクライアント証明書 ( チェーン ) を通知セッション鍵のプリマスタシークレットを暗号化して通知 Helloメーッセージに署名して送付する 7 Client Certificate (OPTIONAL) * 8 Client Key Exchange 9 Certificate Verify (OPTIONAL) * C プリマスターシークレット C 検証 Hello メッセージ Hello メッセージプリマスターシークレット復号プリマスターシークレットマスターシークレット 10 Change Cipher Spec (OPTIONAL) セッション鍵 11 Finished 双方で同じ暗号鍵を安全に共有完了安全に共有する 12 Change Cipher Spec (OPTIONAL) 13 Finished 暗号通信セッション鍵マスターシークレット Handshale Protocol Change Cipher Spec Protocol Record Protocol * クライアント認証の場合のみ 2006/06/07 PKI day 6

7 SSL の歴史 SSL (Secure Socket Layer) 1990 年代前半に Netscape Communication 社により開発されたもの 1.0 公開されなかった 2.0 Netscape Communicator 2.0 に実装のちに Internet Explorer 3.0 に採用 3.0 現在広く使われているバージョン /06/07 PKI day 7

8 TLS の歴史 Transport Layer Security IETF TLS-WG にて標準化 RFC 2246 として 1999 年 1 月に制定 SSL v3 とほぼ同等 TLS Extensions RFC 3546 として 2003 年 6 月に制定 Virtual Server Extensions Maximum fragmentation size negotiation Client Certificate URL negotiation Client indicate root certificate want to use Truncated HMAC Client Certificate status information method 1.1 RFC 4346 として 2006 年 4 月に制定 1.1 Extentions RFC 4366 として 2006 年 4 月に制定 RFC 3546 の TLS 1.1 対応版 2006/06/07 PKI day 8

9 SSL/TLS 関連の標準の流れ SSL 2.0 の脆弱性の修正のため 1996 年に提案された SSL v1 SSL v2 SSL v3 Netscape 社での内部利用にとどまる Netscape Navigator 2.0 に入り公開されたバージョン IE では 3.0 より導入 IETF による標準化が始まったバージョン SSL v3 と大きな差はない TLS 1.0 (RFC 2246, 1999/1) TLS 1.1 (RFC 4346, 2006/4) TLS 1.2 ( 策定中 ) TLS Extensions (RFC 4366, 2006/4) TLS Extensions (RFC 3546, 2003/6) 2006/06/07 PKI day 9

10 OpenSSL とは何か?

11 OpenSSL とは? もとはオーストラリアの Eric A. Young と友人の Tim J. Hudson が作った SSLeay をベース少人数の天才が勢いに任せて書き進んだコードの典型? Eric A. Young が 1998 に開発をやめ (RSA オーストラリアに移ったため ) 引き取られ OpenSSL となった /06/07 PKI day 11

12 OpenSSL Project のゴール The goal of the project The OpenSSL Project is a collaborative effort to develop a robust, commercial-grade, full-featured, and Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) protocols as well as a full-strength general purpose cryptography library managed by a worldwide community of volunteers that use the Internet to communicate, plan, and develop the OpenSSL toolkit and its related documentation. より引用 2006/06/07 PKI day 12

13 OpenSSL の機能 3 つの側面を持つ SSL/TLS のデファクトスタック暗号エンジン PKI アプリケーション開発ツールキット 2006/06/07 PKI day 13

14 SSL/TLS のデファクトスタックサポートするプロトコル SSL v2 利用しないことが推奨されている SSL v3 TLS 1.0 TLS Extensions は一部実装されている DTLS (Datagram Transport Layer Security) 2006/06/07 PKI day 14

15 暗号エンジンサポートする暗号系公開鍵暗号 DH, RSA, DSA, 楕円関数共通鍵暗号 DES, Triple DES, RC2, RC4, AES, CAST, IDEA, ハッシュ関数 MD2, MD4, MD5, MDC2, RIPEMD, SHA-1, SHA-256, SHA-512 HMAC DSA ECDSA ECDH Hardware Accelerator のサポートあり 2006/06/07 PKI day 15

16 ツールキット PKI 関連アプリケーション / プロトコルの開発環境 PKI 関連の基本機能 SSL/TLS スタックの基本機能 ASN /06/07 PKI day 16

17 OpenSSL の特徴複数のプラットフォームをサポート UNIX 系 Linux,*BSD*, MacOS Windows 系 Windows CE/3.1/95/NT/2000/XP VMS Netware 2006/06/07 PKI day 17

18 OpenSSL 年表 2000/02/28 OpenSSL /12/23 OpenSSL 0.9.1c 2002/12/31 OpenSSL SSLeay 0.9.1b /05/25 OpenSSL /08/09 OpenSSL /03/22 OpenSSL 0.9.2b 2005/06/13 OpenSSL /09/24 OpenSSL /06/07 PKI day 18

19 OpenSSL のソース構造 ( 概略 ) ソースコードツリーの概略図プラットフォームごとのディレクトリィ ms/macos/netware/vms/os2 テスト関連のディレクトリィ test/demos/times 機能単位のディレクトリィ ssl/crypto/apps/demos/include/bugs/doc/tool/ certs/shlib/util 2006/06/07 PKI day 19

20 プラットフォームごとのディレクトリィプラットフォームごとの環境の差異を吸収作成用のスクリプト差異を吸収するためのコードプラットフォームごとのテストスクリプト 2006/06/07 PKI day 20

21 テスト関連 Test テスト用の IV テスト用の証明書テストスクリプト Demos デモ用の環境 Tiny Client Tiny Server Times 処理速度計測用のプログラム処理速度計測用のスクリプト処理速度計測用のデータ 2006/06/07 PKI day 21

22 機能単位のディレクトリィ ssl SSL/TLS のプロトコルスタックの実装 crypto 暗号関連の実装 BIO EVP 乱数発生器を含む apps OpenSSL のアプリケーション (openssl) の実装 engines Hardware Accelerator 系のコード include include bugs バグプラットフォームによるバグの修正プログラム 2006/06/07 PKI day 22

23 機能単位のディレクトリィ doc ドキュメンテーション tools ( 主に ) 証明書関連の処理を助けるためのプログラム群 certs 著名な CA の証明書 shlib Shared Library のための処理プログラム util OpenSSL の作成に必要となる処理プログラム群 2006/06/07 PKI day 23

24 ssl ディレクトリィ SSLv2 / v3 / TLS 1.0 / DTLS を実装 2006/06/07 PKI day 24

25 SSL の実装状況 DTLS の実装 Datagram TLS を UDP 上で実装 Kerberos5 認証 (RFC 2712) 圧縮 (RFC 3749) 利用可能暗号 RSA DSA/DSS ECDSA/ECDH(RFC 4492 ただし I-D 12 ベースの模様 ) DES/Triple DES IDEA RC2/RC4 AES (128/192/256) (RFC 3268) 利用可能ハッシュ MDC2 MD2/MD5 SHAR-1 Pre-Shared Secret(RFC 4492) 2006/06/07 PKI day 25

26 crypto ディレクトリィ暗号関連の実装各種暗号の実装 BIO EVP 乱数発生器を含む 2006/06/07 PKI day 26

27 類似ソフトウェア GNU TLS TLS 1.1/1.0 SSL v3.0 をサポート SSL v2 は安全でないためサポート対象からはずしている最新バージョン : (2006/05/15 リリース ) Gnu PG にて利用されている NSS (Network Security Services) SSL v2.0/v3.0 TLS 1.0 をサポート PKCS#5,#7,#11,#12 もサポート最新バージョン : 3.10 (2005/5/19 リリース ) Mozilla (FireFox / Thunderbird) にて利用されている JSSE (Java Secure Socket Extension) SSL v2/v3 TLS 1.0 をサポート Microsoft Crypto API 2006/06/07 PKI day 27

28 OpenSSL はどう使われているか?

29 OpenSSL はどう使われているのか? SSL/TLS のプロトコルスタックとしていまどき SSL を使わないプロトコルなんて HTTP Apache, IBM, Oracle SMTP Sendmail, Postfix, qmail. POP/IMAP Courier-imap, cygnus Telnet stelnet 汎用 Stunnel 2006/06/07 PKI day 29

30 OpenSSL はどう使われているのか? S/MIME のエンジンとしても OpenSSL の PKCS#7 スタックを利用暗号エンジンとして Libcrypto Linux のデフォルトの暗号エンジン FreeBSD/OpenBSD/NetBSD OpenSSH EAP-TLS (IEEE 802.1X など ) Radius サーバの実装 (FreeRadius など ) 2006/06/07 PKI day 30

Codeblog の紹介独立行政法人情報処理推進機構セキュリティセンター情報セキュリティ技術ラボラトリーのプロジェクト https://www.

31 Codeblog の紹介独立行政法人情報処理推進機構セキュリティセンター情報セキュリティ技術ラボラトリーのプロジェクト OSS の品質保証の一観点としてソースコードを読むスキルの整理と発見 2006/06/07 PKI day 31

32 OpenSSL WG 7 名のメンバにより構成機能単位で分割 2006/06/07 PKI day 32

33 OpenSSL の良い点デファクト! 実勢に合わせた実装を提供というより事実上広く利用されているため OpenSSL が実勢になっている ( 苦笑 ) BIO の設計設計は古いが実用的 IO をうまく仮想化し SSL/TLS をストリームベースでのコード実行を可能としている複数のプラットフォームでそこそこの機能の実装多くのプラットフォームでそこそこの機能を利用可能 Windows CE でも動く簡易なプログラム作成支援機能 PKI 関連アプリ / プロトコルのプログラムを容易に作成する機能 ASN.1 テンプレート機能の実装 /06/07 PKI day 33

34 OpenSSL の悪い点機能面での不足 CRL の扱いの不備結構致命的サンプル実装とはいえ openssl コマンドの証明書発行機能はまずいシリアル番号のデータベース不在ソースコード上の問題アドホックな改良を加えられているため全体的にソースコードが汚い随所に Object Oriented に書こうとして失敗した形跡が S/MIME に関しては MIME Body Part の解析がよろしくない高機能なソースコード生成能力を持たせているために難解メモリリークを起こしやすい正しい作法にのっとったコーディングを要求するしたがって初心者に敷居が高い 2006/06/07 PKI day 34

35 CRL の処理の問題 OpenSSL の前提 CA は CRL を一つしか発行しない Issuing Distribution Point の処理はない CRL の拡張属性に関しての処理はほとんど出来ない信頼関係は単純な木構造大半の PKI は現行ではそうだけど政府認証基盤 (GPKI) 関連で利用するときは要注意トラストアンカーを全て持っていればいいかもしれないけど 2006/06/07 PKI day 35

36 CA は CRL を複数発行する全ての CA が Full CRL を発行しているのではない複数階層の信頼構造を持つ CA は ARL (Authority Revocation List) CA に対して発行した証明書の失効リスト CRL (Certificate Revocation List) EE に対して発行した証明書の失効リストを発行している場合が多い CRL のサイズを小さくするための工夫今後増えると考えざるを得ない Delta CRL を発行している場合もあるまだ数は少ないが Microsoft Windows ではサポート済み下位のインターフェイスを用いて自前で作ることも可能ではあるが PKI の証明書失効検証をきちんと理解することが前提となる 2006/06/07 PKI day 36

37 ARL と CRL と Indirect CRL Root CA EE0-0 EE0-1 CRL ARL 中間 CA1 CRL ARL EE1-0 EE1-1 中間 CA2 CRL Root CA/ 中間 CA 1 は CRL/ARL を発行している OpenSSL では失効検証が確実でない中間 CA 2/ 末端 CA3 は Full CRL を発行している OpenSSL では失効検証が可能末端 CA4 は Indirect CRL を発行している OpenSSL では失効検証が確実でない末端 CA3 EE2-0 EE2-1 末端 CA4 Indirect CRL EE3-0 EE3-1 EE3-2 EE3-3 EE4-0 EE4-1 EE /06/07 PKI day 37

38 Issuing Distribution Point とは? CRL の素性どの CA から発行しているのか? どこで公開されていたものなのか? CRL の性質どういう種類の証明書の失効情報が登録されているのか? CRL に全ての失効情報が載っているのか? issuingdistributionpoint ::= SEQUENCE { distributionpoint [0] DistributionPointName OPTIONAL, onlycontainsusercerts [1] BOOLEAN DEFAULT FALSE, onlycontainscacerts [2] BOOLEAN DEFAULT FALSE, onlysomereasons [3] ReasonFlags OPTIONAL, indirectcrl [4] BOOLEAN DEFAULT FALSE, onlycontainsattributecerts [5] BOOLEAN DEFAULT FALSE } Indirect CRL CRL の中に CRL へのポインタが埋め込まれている形式の CRL IDP が解釈できないのでは分割 CRL 系は対処できない! そもそも分割系の CRL であることがわからない Delta CRL も処理は出来ない 2006/06/07 PKI day 38

39 OpenSSL の CRL の処理の概略 1. 証明書チェーン作成深さ優先探索 & バックトラック無し 2. ローカルにある ( 信用できる ) 証明書に到達できたか確認 3. 拡張の検証 (check_chain_extensions) 4. トラストアンカーへ到達したか確認 5. RevocationCheck 6. 証明書チェーン検証もしくはユーザ定義関数の呼び出し単純な木構造の PKI モデルを前提にしている複雑なパス構築検証はやりようがない事前に最適化したパスを作成し検証に必要な証明書のみを提示し検証するのが精一杯 2006/06/07 PKI day 39

40 こんなのは無理! JNSA Alice のトラストアンカー Issuer: C=JP,O=JNSA,CN=Root CA1 Subject: C=JP,O=Bridge,CN=Root CA1 Validity: 2000/01/ /12/31 SKID: ED DDBB CD9F AKID: F D B3FF JNSA から Bridge への相互認証証明書 Issuer: C=JP,O=IPA,CN=Root CA1 Subject: C=JP,O=Bridge,CN=Root CA1 Validity: 2000/01/ /12/31 SKID: ED DDBB CD9F AKID: 87A0 AB00 54CD DDCC Bridge から IPA への相互認証証明書 Issuer: C=JP,O=JNSA,CN=Root CA1 Subject: C=JP,O=JNSA,CN=Root CA1 Validity: 2001/01/ /12/31 SKID: F D B3FF AKID: F D B3FF JNSA の自己署名証明書 Issuer: C=JP,O=Bridge,CN=Root CA1 Subject: C=JP,O=Bridge,CN=Root CA1 Validity: 2001/01/ /12/31 SKID: ED DDBB CD9F AKID: ED DDBB CD9F Bridge の自己署名証明書 Issuer: C=JP,O=IPA,CN=Root CA1 Subject: C=JP,O=IPA,CN=Root CA1 Validity: 2000/01/ /12/31 SKID: 87A0 AB00 54CD DDCC AKID: 87A0 AB00 54CD DDCC IPA の自己署名証明書明示的な信用 Issuer: C=JP,O=Bridge,CN=Root CA1 Subject: C=JP,O=JNSA,CN=Root CA1 Validity: 2000/01/ /12/31 SKID: F D B3FF AKID: F D B3FF JNSA から IPA への相互認証証明書 Issuer: C=JP,O=IPA,CN=Root CA1 Subject: C=JP,O=Bridge,CN=Root CA1 Validity: 2000/01/ /12/31 SKID: F D B3FF AKID: 87A0 AB00 54CD DDCC IPA から Bridge への相互認証証明書 Issuer: C=JP,O=JNSA,CN=Root CA Subject: C=JP,O=JNSA,CN=JNSA Alice Validity: 2000/01/ /12/31 SKID: D874 02DA 6390 C3AD AKID: F D B3FF JNSA Alice の証明書 JNSA と Bridge 間の双方向の信用の確立 IPA と Bridge 間の双方向の信用の確立 Issuer: C=JP,O=IPA,CN=Root CA1 Subject: C=JP,O=IPA,CN=IPA Bob Validity: 2000/01/ /12/31 SKID: D874 02DA 6390 C3AD AKID: 87A0 AB00 54CD DDCC IPA Bob の証明書 2006/06/07 PKI day 40

41 証明書の検証本来は RFC 3280/4158 のパス構築検証を行うべきである詳細は A.html 2006/06/07 PKI day 41

42 まとめ OpenSSL は証明書の失効検証をする際には役に立たない状況があることを認識する単純な SSL/TLS スタックとして利用することは問題ない 2006/06/07 PKI day 42

43 今後アプローチ 1. OpenSSL の失効検証をまともにする複雑でメンテナンスしがたいコードとの格闘 OpenSSL チームとのネゴアプローチ 2. OpenSSL の失効検証部を拡張サーバサイドでの失効確認サーバを使えるようにする SCVP などが候補? アプローチ 3. OpenSSL プラグコンパチのソフトウェアの開発? 新規コードできれいに作りなおせる可能性あり GNU TLS の BIO API のようなコードもある 2006/06/07 PKI day 43

45 商標など Microsoft MS Windows Windows 2000 Windows NT Windows XP Windows ロゴ Internet Explorer Outlook Outlook Express などは米国 Microsoft Corporation の米国およびその他の国における登録商標または商標である Sun Microsystems Sun ロゴ Java コーヒーカップロゴ Solaris Java JDK などは米国 Sun Microsystems の米国およびその他の国における登録商標または商標であるその他本文に記載されている会社名商品名製品名などは一般に各社の商標または登録商標である本書では C R などを記載しない 2006/06/07 PKI day 45

46 参考文献 (SSL/TLS) SSL Kipp E.B. Hickman, The SSL Protocol Alan O. Freier, Philip Karlton, Paul C. Kocher, The SSL Protocol Version TLS T. Dierks, C. Akken, RFC 2246: The TLS Protocol Version 1.0 A. Medvinsky, M. Hur, RFC 2712: Addition of Kerberos Cipher Suites to Transport Layer Security (TLS) P. Chown, RFC 3268: Advanced Encryption Standard (AES) Ciphersuites for Transport Layer Security (TLS) S. Blake-Wilson, M. Nystrom, D. Hopwood, J. Mikkelsen, T. Wright, RFC 3546: Transport Layer Security (TLS) Extensions S. Hollenbeck, RFC 3749: Transport Layer Security Protocol Compression Methods S. Moriai, A. Kato, M. Kanda, RFC 4132: Addition of Camellia Cipher Suites to Transport Layer Security (TLS) P. Erone, Ed., H. Tschofenig, Ed., RFC 4279: Pre-Shared Key Ciphersuites for Transport Layer Security (TLS) T. Dierks, E. Rescorla, RFC 4346: The Transport Layer Security (TLS) Protocol Version 1.1 S. Blake-Wilson, M. Nystrom, D. Hopwood, J. Mikkelsen, T. Wright, RFC 4366: Transport Layer Security (TLS) Extensions S. Blake-Wilson, N. Bolyard, V. Gupta, C. Hawk B. Moeller, RFC 4492: Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) 2006/06/07 PKI day 46

47 参考文献 (PKI 関連 ) ITU-T Recommendation X.509 ISO/IEC : Information technology - Open Systems Interconnection - The Directory: Authentication framework., 1997 R. Housley, W. Ford, W. Polk, and D. Solo, RFC 2459: Internet X.509 Public Key Infrastructure Certificate and CRL Profile, M. Myers, R. Ankney, A. Malpani, S. Galperin and C. Adams, RFC 2560: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol OCSP, R. Housley, W. Polk, W. Ford, D. Solo, RFC 3280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile M. Cooper, Y. Dzambasow, P. Hesse, S. Joseph and R. Nicholas, RFC 4158: Internet X.509 Public Key Infrastructure: Certification Path Building, /06/07 PKI day 47

48 参考文献 ( 報告書関連書籍 ) 報告書関連 IPA, PKI 関連技術情報, IPA, インターネットセキュリティに関する RFC の日本語訳 IPA/JNSA, 電子政府情報セキュリティ相互運用支援技術の開発 GPKI 相互運用フレームワーク, 書籍 John Viega, Matt Messier, Pravir Chandra, 齋藤孝道監訳, OpenSSL 暗号 PKI SSL/TLS ライブラリの詳細, ISBN , オーム社, 2004,436p 小松文子, PKI ハンドブック, ISBN , ソフトリサーチセンター, 2004, 255p 日本ネットワークセキュリティ協会, 情報セキュリティプロフェッショナル総合教科書, ISBN X, 秀和システム, 2005, 575p 青木隆一, 稲田龍, PKI と電子社会のセキュリティ, ISBN , 共立出版, 2001, 233p 2006/06/07 PKI day 48

49 URLs OpenSSL Project, OpenSSL.org IETF, TLS-WG GNU TLS NSS (Network Security Services) JSSE (Java Secure Socket Extension) Microsoft Crypto API Codeblog プロジェクト IPA セキュリティセンター /06/07 PKI day 49

50 ご清聴ありがとうございました

Microsoft PowerPoint OpenSSL-Revised.ppt

Microsoft PowerPoint OpenSSL-Revised.ppt 標準はどのように実装されているのか? -- OpenSSL における SSL/TLS の実装に関して -- 富士ゼロックス株式会社稲田龍 SSL/TLSのおさらい OpenSSLとは何か? OpenSSLはどう使われているか? まとめ 2006/06/07 PKI day 2 SSL/TLS のおさらい SSL/TLS の機能トランスポート層でのセキュリティを保証