PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

しげじろういくのや
5 years ago
Views:

1 1 IETF88th Technical Plenary PKI DAY 2014 IETF での TLS 関連の標準化動向 SATORU KANNO MARCH 13, 2014

2 自己紹介 2 名前菅野哲 ( かんのさとる ) 所属 NTT ソフトウェア株式会社その他の所属 IPA( 非常勤研究員 ) ISOC Japan Chapter(Program Committee) MIT-KIT Japan Chapter( 窓口?) 主な活動暗号技術に関係する色々なお仕事に従事 ( 標準化開発 ) Camellia 標準化 &OSSなど

3 本講演の目的 3 本講演のモチベーション IETF で起きている大きな動向を知ってほしい興味を持ってもらえたら嬉しい対象は? IETFにおけるTLSに関する動向 TLS WG CFRG IETFにおける暗号技術に関する動向 Pervasive Surveillance 対策新しい暗号技術に関する検討 IETFにおける暗号技術に関する動向 IETFにおけるPKI 関連の動向

4 用語の準備 (1/2) 4 知っておくと理解が深まるかもしれない? Opportunistic Encryption 認証なしに暗号通信をおっ始める仕組み IETF として未定義なんだけれども言葉は一人歩き中! Unauthenticated Encryption と同一視されることもあるモチロン MITM には弱い! Pervasive Surveillance 潤沢なリソースを持った組織が行う広範囲な盗聴行為某国の某組織最近のIETFでは, 監視に対する技術が多く提案されている (Perfect)Forward Secrecy 秘密鍵を使い捨てして解読される影響範囲を限定する仕組み用語としてはラフな定義もない?! E.g., Ephemeral Diffie-Hellman

5 用語の準備 (2/2) 5 知っておくと理解が深まるかもしれない? WebPKI 雑に言うと,SSL/TLS で利用される PKI 関連技術 Certificate Pinning, Certificate Transparency など SSL/TLS への攻撃 BEAST, CRIME, TIME, Lucky Thirteen など CBC 通信で利用される圧縮方式 RC4 への攻撃

6 6 IETF における TLS に関する動向

7 IETF の TLS ってどこで議論されてるの? IETF TLS WG で議論されてる 1996 年 5 月から存在している WG PKIX: 1995 年 10 月開始粘り強く re-charter を繰り返し現在に至る CBC の改修,RC4 撤廃,(D)TLS1.3 検討 7 WG の参加者たちの好物は? Pervasive Surveillance 対策技術 TLS 1.3 Non-NIST approved algorithm の選択肢 Best Current Practice

8 SSL/TLS を雑におさらい SSL/TLS って? Transport 層での暗号通信路を実現する通信プロトコル XXX over TLS とかでも利用 8 現状の SSL/TLS のおさらい証明書関連クロス証明書関係でアカン時もある現在も MD2 を利用した Root 証明書も現役鍵関連鍵生成で利用する素数がアカンパターン Debianの擬似乱数生成 RSAの鍵交換 (PKCS#1 v1.5という事実 ) 既知の攻撃が存在 Forward Secrecyを実現するEphemeral な鍵交換でも実装によっては1024bitな時がプロトコルの脆弱性 SSL2.0 というレガシーが使えてしまう状況暗号技術の危殆化 RC4

9 IETF TLS WG 9 TLS WG とは TLS/DTLS に関する維持管理や仕様拡張ここ最近のTLS WGは 100 人程度参加で大盛況! TLS1.3 やストリーム暗号の検討が盛ん大どんでん返しが発生

10 TLS BCP 何を検討するの? SSL/TLSへの攻撃の対処法や関連する仕様について複雑すぐる実装者が混乱してしまうのでBCPをまとめちゃおうというモチベ 10 いつから検討されてる? IETF88 どんなところを気にしながら検討が進んでる? 実装するCiphersuiteの数を絞りたい現在,Ciphersuiteが320 個の定義済み利用する鍵交換アルゴリズム PFSが必須か? 暗号利用モード AEAD そもそものTLSのプロトコルバージョン TLS1.2が推奨になりそう

11 TLS: BCP TLS(1/2) 11 Suite 数は 320 程度と膨大! IETF88 TLS WG 発表資料より

12 TLS: BCP TLS(2/2) 12 DH/ECDHE の E は Ephemeral の E! Non-NIST Approved!! Current Practice というより Future Practice

13 TLS 1.3 いつから? IETF87 から IETF89 で議論 ( 継続中 ) ML 上でも活発 13 どんなところを気にしている?(IETF89 ではどんな感じに?) ハンドシェイクフローたたき台のI-Dが投稿! New Handshake Flows for TLS 1.3 Ciphersuiteはどうする? GCMのだけにしちゃおうぜ! 圧縮はどうする? 無効化しちゃおうぜ! 鍵交換アルゴリズム PFS な鍵交換議論は始まったばかりなのでチャンスあり!

14 Non-NIST approved algorithm 14 なんで注目されてるの? アレな出来事が要因例 :Dual_EC_DRBG (NISTは頑張ってるので悪者しないでんじゃ, どんなアルゴリズムがあるの? 共通鍵暗号 : Camellia( ぉぃストリーム暗号 : Salsa20 or ChaCha20 Elliptic Curve: Brainpool, Curve25519, BN? 厳選された選択肢を増やすのは好ましい!

15 TLS: STREAM CIPHER(1/4) 15 SSL/TLS には RC4 というストリーム暗号がある何故だか IETF の人たちはストリーム暗号が大好き参考情報 :1 秒あたりのスループット Algorisms 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes RC k k k k k Camellia k k k k k でもね某アルゴリズムより 4 倍程度高速! 今はモノ凄く弱いんです orz 菅野 PC で測定

16 TLS: STREAM CIPHER(2/4) 16 RC4 の後継ストリーム暗号 ChaCha20 Salsa20 の亜種で Dan J. Bernstein により設計 Poly1305 と組合せて AEAD を構成

17 TLS: STREAM CIPHER(3/4) 17 IETF89 IETF88でWG itemに選択! からの評価依頼 IETF88ではノリノリだったのに一転参加者からの声そもそもストリーム暗号いるの? DTLS でストリーム暗号使えなくない? CTR モードで OK じゃね? ちゃぶ台をひっくり返し過ぎ!! 裏で誰かが暗躍してそうな雰囲気

18 TLS: STREAM CIPHER(4/4) 18 そんな状況なのに例 :google.co.jp 標準化されていないけど実装済み Informational: 0xc0 から始まってるのでは

19 唐突ですが 19 Pervasive Surveillance って気になっている人?

PRISM とは 20 2007 年から運営されていた通信監視プログラム 2013 年 6 月

20 PRISM とは年から運営されていた通信監視プログラム 2013 年 6 月 6 日ワシントンポスト等で報道対象は? 9 つの Web サービス So.cl(Microsoft),Google,Yahoo,Facebook, Apple,AOL,Skype,YouTube,PalTalk 何を収集してたの? , 文書, 写真, 利用記録などシビレる情報

21 Pervasive Surveillance 対策いくつか対策技術として存在している (Perfect) Forward Secrecy Internet Infrastructure Review (IIR) Vol.22 に記事! 2.html Opportunistic Encryption (OE) 有名どころだと STARTTLS Client-to-Client, Client-to-Server な OE がない? Unauthenticated Encryption 認証せずに Endpoint との暗号化を実行 21 監視者のコストを増加させようというアプローチ

22 IETF で人気な TLS さん 22 DTLS In Constrained Environments (DICE) Constrained RESTful Environments(CORE) Using TLS in Applications (UTA) Applications Area での利用が活発化している! DTLS を必要としている傾向がある

23 23 IETF における暗号技術に関する動向

24 CFRG における動向 (TLS な文脈で ) Stream Cipher ChaCha20 + Poly1305 KCipher-2 (CRYPTREC 的な意味で ) 暗号化関連夢破れた感じ Encrypt-then-MAC for TLS and DTLS Authenticated Encryption with Replay protection (AERO) 24 Safe Elliptic Curve UC Berkeley の学生が提案 Additional Elliptic Curves for IETF protocols Non-NIST approved Curveを採用する動き安全な鍵交換アルゴリズムの検討への動き IETF89 前くらいから ML でアツイ議論 MQV の名前も

25 CFRG における動向 (IETF89) 25 FE など学術界で研究されているトピックが!

26 26 IETF における PKI 関連の動向

27 IETF における PKI related な動向 PKIX 終了 Web PKI OPS (WPKOPS) er/ Web Security (WEBSEC) / Public Notary Transparency (TRANS) IETF で PKI 屋さんの出番ですよ! ハヨ! 27

28 まとめ 28 IETFでのTLS 関連の動向を共有みんなの興味はSurveillance 対策 TLS WGでの動向 CFRGでの暗号技術に関する動向 IETF のような標準化団体で PKI 屋さん不足 WPKOPS や TRANS があるのに

29 CONTACT 29 SNS Twitter (satorukanno) Facebook (satoru.kanno) Linkedin お気軽にご連絡ください!(*'ω'*)

セキュリティエリアの紹介

セキュリティエリアの紹介 1 IETF88th Technical Plenary IETF88 SECURITY AREA SATORU KANNO, NTT SOFTWARE DECEMBER 20, 2013 自己紹介 2 名前菅野哲 ( かんのさとる ) 所属 NTT ソフトウェアその他の所属 IPA( 非常勤研究員 ) ISOC Japan Chapter(Program Committee) MIT-KIT