JNSA PKI 相 互 運 用 WG 電 子 署 名 WG 共 催 セミナー PKI Day 2015 サイバーセキュリティの 要 となるPKIを 見 直 す パネル: SSL/TLSの 実 装 が 進 むべき 道 を 語 ろう 補 足 資 料 2015 年 4 月 10 日 ( 金 ) 15:00-15:30 於 :ヒューリックカンファレンス 秋 葉 原 ROOM1 漆 嶌 賢 二, CISSP Xerox Xeroxロゴ およびFuji Xeroxロゴは 米 国 ゼロックス 社 の 登 録 商 標 または 商 標 です その 他 の 商 品 名 会 社 名 は 一 般 に 各 社 の 商 号 登 録 商 標 または 商 標 です 2015 Fuji Xerox Co., Ltd. All rights reserved.
1ライブラリ 実 装 の 今 後 2015 Fuji Xerox Co., Ltd. All rights reserved. 1
暗 号 やSSL/TLSのライブラリと 言 語 / 環 境 と 心 配 事 (1/3) Windows OSX, ios C 言 語 ( 含 むRuby, Python) Java JCE JSSE Go 言 語 標 準 ライブラリ (CryptoAPI CNG Schannel) 標 準 ライブラリ(Secure Transport) OpenSSL NSS GnuTLS LibreSSL BoringSSL RSA BSAFE Oracle Java BouncyCastle IAIK RSA BSAFE 標 準 ライブラリ 参 考 :http://en.wikipedia.org/wiki/comparison_of_tls_implementations 2015 Fuji Xerox Co., Ltd. All rights reserved. 2
暗 号 やSSL/TLSのライブラリと 言 語 / 環 境 と 心 配 事 (2/3) Windows OSX, ios C 言 語 ( 含 むRuby, Python) Java JCE JSSE 標 準 ライブラリ (CryptoAPI CNG Schannel) あまり 心 配 しても 仕 方 ないでしょうか? 標 準 ライブラリ(Secure Transport) OpenSSL NSS GnuTLS LibreSSL BoringSSL RSA BSAFE これほど 乱 立 してしまい どうなるんでしょうか Oracle Java BouncyCastle IAIK RSA BSAFE ( 日 本 のJava) 開 発 者 の 年 齢 の 上 昇 は 不 安 材 料 Go 言 語 標 準 ライブラリ 質 量 的 にセキュリティ ライブラリはかなりプア 2015 Fuji Xerox Co., Ltd. All rights reserved. 3
暗 号 やSSL/TLSのライブラリと 言 語 / 環 境 と 心 配 事 (3/3) Windows OSX, ios C 言 語 ( 含 むRuby, Python) Java JCE JSSE Go 言 語 標 準 ライブラリ (CryptoAPI CNG Schannel) 標 準 ライブラリ(Secure Transport) OpenSSL NSS GnuTLS LibreSSL BoringSSL RSA BSAFE Oracle Java BouncyCastle IAIK RSA BSAFE 標 準 ライブラリ みなさんが 気 にしているのは この 辺 りでしょうか こちらは 個 人 的 に 興 味 があります 2015 Fuji Xerox Co., Ltd. All rights reserved. 4
2015 年 3 月 のOpenSSLの 明 るいニュース NCCへの 外 部 コードレビュー 委 託 LinuxコンソーシアムはCIIという 資 金 提 供 プロジェクトにより 重 要 なオープンソー スプロジェクトを 支 援 CIIはOpenSSLを 支 援 NCCというセキュ リティ 会 社 にOpenSSLソースコードのレ ビューを 外 部 委 託 OpenSSH, NTPなど 含 め3 年 で5 億 円 メモリ 管 理 やASN.1 X.509パーザーの ファジング 検 査 などを 中 心 に 調 査 監 査 結 果 公 開 は2015 年 夏 予 定 参 考 1:http://www.zdnet.com/article/ncc-group-to-audit-openssl-for-security-holes/ 参 考 2:https://threatpost.com/openssl-security-audit-ready-to-start/111538 出 典 :http://japan.zdnet.com/article/35061477/ 2015 Fuji Xerox Co., Ltd. All rights reserved. 5
LibreSSL(forked on OpenSSL 1.0.1g ) 2014 年 7 月 ~ OpenBSDのBob Beck 氏 の 講 演 YouTubeより Beck 氏 の 語 るOpenSSLから 分 岐 した 理 由 コードが 汚 く 誰 もOpenSSLで 開 発 したがらない OpenSSLはFIPS 対 応 に 莫 大 な 予 算 をかけ 肝 心 な 所 は??? OpenSSLは 新 しい 機 能 追 加 に 重 き バグ 修 正 は 二 の 次 で 放 置 Beck 氏 が 出 したセキュリティパッチも4ヶ 月 放 置 メモリ 管 理 がデバッグ 含 みで 酷 くそれがHeartBleedの 引 き 金 に 独 自 の 擬 似 乱 数 生 成 のエントロピーに 問 題 がある LibreSSLの 特 徴 2014 年 7 月 初 リリース 後 約 1ヶ 月 おき 更 新 公 開 された 関 数 はOpenSSLと 完 全 API 互 換 ( 移 行 が 楽 ) 安 全 で 保 守 性 が 高 い 弱 い 暗 号 の 排 除 (SSLv3 無 効 化 ) OpenSSL LibreSSLのポートでやった 事 コーディングスタイルはOpenBSD 準 拠 できれいなコード 必 要 とされる 環 境 のみサポートし 余 計 なコード ifdef 文 を 排 除 メモリ 管 理 をシステムコールに 変 更 し 安 全 メモリ 再 利 用 不 可 擬 似 乱 数 のシードはシステム 関 数 を 使 うよう 変 更 し 安 全 に 参 考 :http://www.youtube.com/watch?v=gnbbhxbdmwu (LibreSSL with Bob Beck) 2015 Fuji Xerox Co., Ltd. All rights reserved. 6
BoringSSL (forked on OpenSSL 1.0.2beta ) 2014 年 7 月 ~ OpenSSLから 分 岐 した 理 由 経 緯 状 況 これまで Chrome(for Android)でOpenSSLを 使 用 するために 数 多 くのセキュリティ 対 応 を 含 むパッチを 作 成 してきた Googleのパッチは 一 部 はOpenSSLに 反 映 されたが 多 くは 反 映 され ていない 維 持 も 大 変 なのでOpenSSL 1.0.2betaから 分 岐 した 今 後 もGoogleはLinuxコンソーシアムCIIプロジェクトへの 資 金 を 含 む 支 援 をするし LibreSSLへのパッチ 提 供 もやっていく Googleが 試 験 的 に 導 入 したい 機 能 の 組 み 込 み(False Start,Channel ID) 特 徴 Chrome for Androidの 暗 号 ライブラリはOpenSSL BoringSSLへ 他 のChromeはMozilla NSSに 独 自 パッチをあてたものを 使 う CHACHA20_POLY1305_SHA256の 暗 号 スイートがある 前 はChaCha 優 先 だったけど 4/8 時 点 でGCM 優 先? あまりソースコードが 整 理 された 感 はない メモリ 管 理 もそのまま? ツールが 少 ない(bssl {speed,client} のみ) 参 考 1:http://www.imperialviolet.org/2014/06/20/boringssl.html 参 考 2:http://d.hatena.ne.jp/jovi0608/20140729/1406624449 2015 Fuji Xerox Co., Ltd. All rights reserved. 7
OpenSSL/C 言 語 雑 感 OpenSSLが 将 来 何 かに 置 き 換 わるとは 思 えない Libreで 置 き 換 えることもないのでは? 個 人 的 な 希 望 としてはOpenSSLを 整 理 しLibreとマージして ほしい GoogleはLibreに 協 力 しているので BoringがLibreのフォー クに 変 更 されることはあるかも? OpenSSLのHeartBleedやCCSInjectionなどの 脆 弱 性 につい ては (あまり 使 われない) 新 しく 追 加 され 誰 もレビューでき ず 放 置 された 機 能 が 問 題 の 原 因 となったように 思 う 余 計 な 機 能 拡 張 はデフォルト オフ にすれば 防 げた 問 題 もあるので は? 参 考 :http://www.youtube.com/watch?v=gnbbhxbdmwu (LibreSSL with Bob Beck) 2015 Fuji Xerox Co., Ltd. All rights reserved. 8
Go 言 語 の 標 準 セキュリティライブラリ Go 言 語 は 簡 単 に 並 列 実 行 可 能 で バッファオーバーランやメ モリ 管 理 の 心 配 もなく 簡 単 に 高 速 で 安 全 なプログラムが 書 け る ただ PKI/SSL/ 暗 号 プログラミングに 関 する いろいろな 標 準 ライブラリが 不 足 しており とても 問 題 Go 言 語 のパッケージング/モジュールのアーキテクチャが 良 く なく Javaのような 良 いサードパーティのライブラリが 出 に くい 例 えば Go 言 語 で 証 明 書 の 識 別 名 からEV 証 明 書 かどうかを チェックしようとしたが C O OUなどメジャーな 属 性 し か 対 応 せず 他 は 捨 ててしまうので 結 局 自 分 でバイナリを ASN.1パーズする 羽 目 になってしまいました 2015 Fuji Xerox Co., Ltd. All rights reserved. 9
2ブラウザ 実 装 の 今 後 2015 Fuji Xerox Co., Ltd. All rights reserved. 10
モバイルブラウザ 最 大 の 懸 念 :の 証 明 書 検 証 ( 失 効 検 証 してない) CRLとOCSPの 両 方 利 用 可 能 なサイトの 失 効 期 限 切 れ Mobile Safari エラーや 警 告 は 一 切 なし 警 告 有 Chrome for Mobile エラーや 警 告 は 一 切 なし 警 告 有 Opera Mobile エラーや 警 告 は 一 切 なし 2015 Fuji Xerox Co., Ltd. All rights reserved. 11 警 告 有 サーバーの 秘 密 鍵 が 漏 洩 / 盗 難 されたら 他 のどんな 技 術 でも 防 げない 失 効 検 証 はPCと 同 様 にきちんとやるべき
3 暗 号 移 行 の 実 装 2015 Fuji Xerox Co., Ltd. All rights reserved. 12
暗 号 移 行 雑 感 暗 号 移 行 は 基 本 的 に ソフトウェアアップデートと サーバー 側 の 設 定 で 対 応 するしかない クライアントで 設 定 させるのはコストが 高 い 一 般 ユーザが 汎 用 ソフトでの 暗 号 移 行 トラストアンカ 維 持 は アップデートしかない セキュリティ 要 件 の 高 いもの 例 外 要 件 に 関 しては 午 前 中 の セッションで 米 丸 先 生 も 言 及 された RFC 5698 DSSCが 普 及 すると 良 い 本 来 は ~はレガシーだから 例 外 的 に 弱 い 暗 号 スイートを 許 す としなければいけない 今 は 弱 い 方 に 揃 えるしかなく RC4-MD5などが 残 っている 2015 Fuji Xerox Co., Ltd. All rights reserved. 13
RFC 5698 DSSC RFC 5698 Data Structure for the Security Suitability of Cryptographic Algorithms (DSSC) 暗 号 アルゴリズム 利 用 に 関 するプロファイルを 規 定 できる XMLやASN.1で 以 下 の 暗 号 利 用 ポリシーを 表 現 できる 使 用 可 能 なアルゴリズム 使 用 可 能 な 鍵 長 そのアルゴリズムを 使 用 可 能 な 期 間 ただ 個 人 的 には 不 満 もある( 後 述 ) 2015 Fuji Xerox Co., Ltd. All rights reserved. 14
DSSC( 改 )の 活 用 ( 案 ) 一 般 利 用 (デフォルト) 国 内 の 高 い 安 全 性 を 求 める 利 用 ( 金 融 ショッピング) レガシー 環 境 の 利 用 政 府 での 一 般 利 用 米 金 融 での 利 用 業 界 プロ ファイル? 独 自 追 加 プロファイル 独 自 追 加 プロファイル 米 金 融 追 加 プロファイル CRYPTREC 暗 号 リスト ( 推 奨 のみ) 準 拠 DSSCプロファイルデータ CRYPTREC 暗 号 リスト ( 推 奨 + 推 奨 候 補 + 監 視 ) 準 拠 DSSCプロファイルデータ NIST SP800-131A(2011) 準 拠 DSSCプロファイルデータ 暗 号 アルゴリズム 鍵 長 等 パラメータ 暗 号 スイートおよび 利 用 可 能 期 間 のプロファイル 暗 号 利 用 製 品 A ブラウザ C ブラウザ F 暗 号 利 用 製 品 X 現 行 のDSSCには プロファイル 多 段 継 承 (or 追 加 / 上 書 き) 機 能 暗 号 スイート 対 応 がないので DSSC 標 準 への 機 能 追 加 を 期 待 したい 2014 Fuji Xerox Co., Ltd. All rights reserved. 15
4 非 PKIによる 補 完 関 係 2015 Fuji Xerox Co., Ltd. All rights reserved. 16
非 PKIによる 補 完 関 係 残 念 ながらPKIや 認 証 局 単 体 では 信 用 してもらえない 世 界 に なってしまった (ただ 他 なら 信 用 できるのか?という) 以 下 の 技 術 で 包 括 的 / 総 合 的 にサイトの 正 しさ 好 ましさを 見 る 必 要 がある SSL/TLS DANE/DNSSEC Certificate Pinning Certificate Transparency WOTのようなユーザによるサイト 評 価 集 計 Certificate Transparencyについては 個 人 的 にいろいろ 調 査 しており PKI 相 互 運 用 WGなどで 是 非 ディスカッション させてほしい その 結 果 を 別 の 場 で 発 表 できるとよい 2015 Fuji Xerox Co., Ltd. All rights reserved. 17
5その 他 (1)IoT 時 代 のSSL 実 装 2015 Fuji Xerox Co., Ltd. All rights reserved. 18
IoT 時 代 のSSL/TLSの 実 装 雑 感 ソフト ファームのネットアップデート 機 能 は 必 須 暗 号 移 行 を 特 別 視 する 必 要 ない (アップデート 機 能 があれば)IoTでは 長 くもつ 暗 号 とかは 気 にしなくていいのでは? 2015 Fuji Xerox Co., Ltd. All rights reserved. 19
IoT 時 代 の 安 いIoTのSSL/TLS 実 装 を 含 む ライブラリの 問 題 (ブルースシュナイアーの 指 摘 ) A 社 のとある 小 さなIoT 製 品 B 社 の 組 み 込 みチップ IoT 製 品 は 売 れた 時 組 込 まれた 時 にしかお 金 が 入 らないので 誰 も 脆 弱 性 対 策 のモチベー ションが 無 い A 社 はセキュリティ 会 社 ではないし 中 にどん なソフトが 使 われているか(あまり) 知 らない B C D 社 は 倒 産 したり 買 収 されたりして アップデート 報 告 の 責 任 感 が 無 くなる C 社 のソフトウェア とある 古 いオープンソース 脆 弱 性 1 D 社 のソフトウェア 脆 弱 性 2 安 いIoTでは 脆 弱 性 対 応 アップデートを 製 品 ベンダーに 期 待 できないので 消 費 者 団 体 /ユーザグループなどで 外 部 調 査 し 情 報 共 有 するようなスキームがあるとよい? 2015 Fuji Xerox Co., Ltd. All rights reserved. 20
Xerox Xeroxロゴ およびFuji Xeroxロゴは 米 国 ゼロックス 社 の 登 録 商 標 または 商 標 です