CRYPTREC Symposium 2015, March 20 th, 2015, Tokyo, Japan ISPから 見 た 暗 号 技 術 ( 仮 題 ) 株 式 会 社 インターネットイニシアティブ セキュリティ 情 報 統 括 室 須 賀 祐 治 2015-03-20 1
CRYPTREC Symposium 2015, March 20 th, 2015, Tokyo, Japan ISPから 見 た 暗 号 技 術 (に 期 待 したいこと) (に 期 待 していないこと) 株 式 会 社 インターネットイニシアティブ セキュリティ 情 報 統 括 室 須 賀 祐 治 2015-03-20 2
CRYPTREC Symposium 2015, March 20 th, 2015, Tokyo, Japan ISPから 見 た 暗 号 技 術 に 期 待 したいこと に 期 待 していないこと 株 式 会 社 インターネットイニシアティブ セキュリティ 情 報 統 括 室 須 賀 祐 治 2015-03-20 3
ISPが 暗 号 技 術 を 使 う 場 面 って? エンドユーザ アプリケーション システム セキュア プロトコル PKI 暗 号 アルゴリズム 4
ISPからCRYPTRECの 活 動 に 期 待 したいこと どの 暗 号 アルゴリズムを 使 ってよいか? リスト:1 軍 /2 軍 / 戦 力 外 通 知 暗 号 を 使 う 際 に 気 をつける 点 はないか? 各 種 ガイドラインで 補 足 されているけれど RSAでの 素 数 被 り,(EC)DSAでのパラメータ 被 り もっと 端 的 に 言 えば こういう 製 品 サービスを 利 用 していればOKというお 墨 付 き かつ こういう 設 定 をしていればOK どのようなサイクルで 運 用 すればよいかBest Practice 5
期 待 したいこと( 続 ) その 暗 号 がヤバくなったときに 教 えて 欲 しい 即 時 性 のあるものか? どのレイヤがヤバいのか? どう 塞 ぐのか? OpenSSLよりいいライブラリを 教 えて 欲 しい 暗 号 そのものだけではなく,その 周 辺 で 起 きて いることも 教 えて 欲 しい ( 同 上 : 即 時 性 /レイヤ/ 塞 ぎ 方 ) そしてこっちの 方 が 圧 倒 的 に 事 例 が 多 く, ときにはアカデミアからのインプットで 分 かりにくい 6
穴 を 塞 げと 言 われても どのように 穴 を 塞 げる?それは 簡 単 ですか? 設 定 を 変 更 するだけでよい(ないといけない) Patchをあてるだけでよい(ないといけない) ライブラリを 差 し 替 えればよい(ないといけない) それを 捨 てて 代 替 物 を 買 い 直 さないといけない できれば 稼 動 しているものを 止 めずに 対 応 したい 可 用 性 :24hours 365days 7
脆 弱 性 を 紐 解 く フェーズ1 なに に 対 する 脆 弱 性 問 題 なのか? 製 品 サービス or 仕 様 フォーマットそのもの サーバサイドの 影 響 バックエンドシステムの 対 処 クライアントサイドの 影 響 顧 客 からの 問 い 合 わせへの 対 応 8
脆 弱 性 を 紐 解 く フェーズ2 リスクの 見 積 もり スケジュールの 見 積 もり 特 殊 環 境 での 利 用 かどうか S/C 片 方 だけの 対 処 でうまくいくケースか 9
塞 ぐ 意 味 を 理 解 しているか? その 脆 弱 性 を 咀 嚼 して 行 動 に 移 せるのは 理 想 だけど, 管 理 者 オペレータにそこまでの 知 識 力 量 はあるか?( 人 材 育 成 の 問 題 ) 有 識 者 曰 く これさえやればOK を 信 じる? HeartBleed バグに 起 因 する 証 明 書 再 発 行 ベンダーからの 情 報 を 信 じる?( 信 じられる?) Superfish 問 題 :アンインストールだけでOK? 10
評 価 機 関 としてのCRYPTREC 暗 号 アルゴリズムの 評 価 だけに 留 まる 必 要 はありますか? ( 他 のプリミティブへの 拡 張 も 含 めて) 暗 号 技 術 を 使 うプロトコル フォーマット 仕 様 実 装 の 問 題 だけではなく, 仕 様 そのものの 問 題 を どう 考 えていくか パーソナルデータ 利 活 用 時 には 匿 名 化 技 術 のお 墨 付 き 制 度 ができるのでは? 11
そのほかISPから 見 て 解 せないこと SSL/TLSでCTRモードが 使 えない CBCの 一 連 の 問 題 も(もし 使 えたならば)CTRに 移 行 する 対 策 が 楽 ではなかったか? 2009 年 に 起 きたSSHの 問 題 は 対 策 が 容 易 だった SHA-2 移 行 終 わっていないのにSHA-3 要 る? 12
CRYPTREC Symposium 2015, March 20 th, 2015, Tokyo, Japan ISPから 見 た 暗 号 技 術 に 期 待 したいこと に 期 待 していないこと 株 式 会 社 インターネットイニシアティブ セキュリティ 情 報 統 括 室 須 賀 祐 治 2015-03-20 13
ひとつの 真 理 14
ひとつの 真 理 暗 号 を 解 くよりも 他 をハック する 方 が 楽 攻 撃 者 の 心 理 15
エンドユーザと 暗 号 技 術 の 距 離 赤 字 はここ2 年 で 顕 在 化 した 問 題 SSL/TLS エンドユーザ Renegotiation 問 題 BEAST/CRIME/Lucky13 Dual_EC_DRBG, POODLE 攻 撃 アプリケーション システム 設 計 セキュア プロトコル PKI MD5/SHA-1 移 行 問 題 RSA1024/2048bit 移 行 問 題 RC4の 現 実 的 に 近 づきつつある 攻 撃 暗 号 アルゴリズム 危 殆 化 16
エンドユーザと 暗 号 技 術 の 距 離 ComodoHacker 事 件 DigiNotar, エンドユーザ Flame VAWTRAK, Superfish アプリケーション システム 運 用 PKI 実 装 セキュア プロトコル 公 開 鍵 使 いまわし 問 題 DebianのOpenSSLにおけるPRNG 問 題 DKIM 512bitRSA 暗 号 アルゴリズム 鍵 問 題 Huawai 製 Wifi 製 品 における 実 装 の 問 題 GitHub 私 有 鍵 検 索 事 件 17
エンドユーザと 暗 号 技 術 の 距 離 ComodoHacker 事 件 DigiNotar, エンドユーザ Flame VAWTRAK, Superfish アプリケーション システム 運 用 PKI 実 装 セキュア プロトコル 公 開 鍵 使 いまわし 問 題 DebianのOpenSSLにおけるPRNG 問 題 DKIM 512bitRSA 暗 号 アルゴリズム 鍵 問 題 Huawai SSL/TLS 製 Wifi 製 品 実 における 装 の 問 題 実 多 装 発 の 問 題 GitHub HeartBleed, 私 有 鍵 検 索 事 CCS 件 Injection, FREAK 18
危 殆 化 暗 号 危 殆 化 による 間 接 的 な 影 響 APOP, SIP, HTTP Authentication における パスワードリカバリ 攻 撃 Yu Sasaki, Lei Wang, Kazuo Ohta and Noboru Kunihiro, "Extended Password Recovery Attacks against APOP, SIP, and Digest Authentication," IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences, Vol.E92-A, No. 1, pp. 96-104, 2009. X.509 中 間 CA 証 明 書 偽 造 攻 撃 MD5 considered harmful today http://www.win.tue.nl/hashclash/rogue-ca/ ともにMD5コリジョン 攻 撃 を 利 用 M MD5 D = M MD5 D 19
設 計 2011 年 はCBCモードの 当 たり 年 9 月 :BEAST 攻 撃 (CVE-2011-3389) SSL 3.0/TLS 1.0 を 使 用 しているブラウザの CBC モードに 対 して 選 択 平 文 攻 撃 を 行 うことでブラウザ 内 の Cookie を 入 手 するツールを 公 開 ブロックごとではなくバイトごとの 全 数 検 索 だとうまくいく 例 を 示 し, 実 際 にPayPalからのセキュアなCookieを 奪 取 してログイン 権 限 を 不 正 に 得 るというデモを 公 開 10 月 :XML 暗 号 化 仕 様 Webサービスの 実 装 物 をplaintext validity oracle として 利 用 XML Parser のエラーの 意 味 を 解 釈 しながらトライ&エラー 12 月 :TLS1.2における Truncated HMAC 利 用 時 の 問 題 RFC6066で 規 定 された 拡 張 機 能 のひとつであるTruncated HMACを 用 いたTLS1.2 通 信 における 脆 弱 性 が 公 開 通 常 のHMACではなく 80ビットに 切 り 詰 めたデータをMAC(データの 完 全 性 を 保 証 する 認 証 子 )として 利 用 する 拡 張 方 式 の 原 理 的 な 問 題 20
設 計 CRIME 攻 撃 (2012 年 9 月 ) SSL/TLSでCompression( 圧 縮 ) 機 能 を 有 効 にしているケー スでCookie を 搾 取 するデモが 公 開 例 え 同 じ 長 さのデータを 圧 縮 したとしても, 圧 縮 前 に 同 じ 文 字 を 含 むかどうかで 辞 書 の 長 さが 変 わるという 事 実 を 用 いて トライ&エラーで 暗 号 化 データを 復 元 する Lucky13 攻 撃 (2013 年 2 月 ) SSL/TLSへのタイミング 攻 撃. 演 算 速 度 の 違 いから 情 報 を 搾 取 するサイドチャネル 攻 撃 の1 種 をネットを 介 して 行 う 手 法 CBCモードを 使 わない,もしくはMACとしてHMAC-SHA1な どではなくAEAD( 暗 号 化 と 認 証 子 付 与 を 同 時 に 行 う 方 式 )を 用 いる. 例 えば GCMモードやCCMモードなど. 21
実 装 公 開 鍵 使 いまわし 問 題 SSL/TLSやSSHで 利 用 されている 公 開 鍵 証 明 書 を 収 集 意 図 せず 他 のサイトと 秘 密 鍵 を 共 有 している 事 例 機 器 の 出 荷 時 の 鍵 を 利 用 : 5.23%(670,391ホスト) 十 分 な 鍵 空 間 から 鍵 生 成 せず 同 じ 秘 密 鍵 を 共 有 :0.34% RSAにて 同 じ 秘 密 鍵 であることが 外 部 から 同 定 される 仕 組 み N (= p q) N1 = p1 q N2 = p2 q 公 開 鍵 1 公 開 鍵 2 因 数 を 見 つけるのは 容 易 ユークリッド 互 除 法 p q p1 q p2 素 因 数 分 解 は 困 難 (RSAはこの 困 難 性 に 安 全 の 根 拠 を 置 いている) N1 N2 22
運 用 PKIへの 一 連 の 攻 撃 ComodoHacker 事 件 2011 年 3 月 Comodo 社 の 委 託 登 録 局 (RA)の アカウントハッキングによる 証 明 書 の 不 正 発 行 Gmailなど 著 名 なドメインに 対 するMITM 攻 撃 DigiNotar 認 証 局 事 件 2011 年 8 月 DigiNotar 社 自 体 への 不 正 侵 入 による 大 量 の 不 正 な 証 明 書 発 行 本 事 件 の 影 響 により 同 社 は 翌 9 月 に 倒 産 Flame 事 件 2012 年 5 月 Microsoftの 認 証 局 に 対 するMD5 選 択 平 文 攻 撃 による 証 明 書 の 偽 造 未 知 の 暗 号 解 析 手 法 が 用 いられたとの 意 見 も その 後 も TRUKTRUSTなどPKI 信 頼 失 墜 の 事 例 が... 23
不 正 な 証 明 書 発 行 による 影 響 (IIR13 1.4.3より) 運 用 24
結 局 ルート 証 明 書 ストアを やられている 2014 年 に 観 測 された VAWTRAK オンラインバンキングへの 中 間 者 攻 撃 何 しようが,もうあかんという 状 況 Superfish 事 件 系 ベンダーだから という 政 治 的 な 話 では なくて,その 製 品 のやっていることを 技 術 的 な 観 点 で 紐 解 くとやっぱ ダメなもんはダメ じゃないでしょうか? 25
暗 号 技 術 に 関 わるここ2 年 の 話 題 2013 年 3 月 /8 月 RC4における 複 数 の 攻 撃 2013 年 6 月 NSAによる 諜 報 活 動 の 報 道 2013 年 9 月 Dual_EC_DRBG 問 題 2013 年 11 月 IETF-88 にてPervasive Surveillance ( 広 域 監 視 )がメイントピックに 2014 年 4 月 OpenSSLにHeartbleed 発 覚 2014 年 6 月 OpenSSLにCCS Injection 発 覚 2014 年 9 月 Mozilla NSSに 署 名 検 証 不 備 の 脆 弱 性 2014 年 10 月 POODLE attack SSLv3 仕 様 そのものの 問 題 2015 年 3 月 FREAK 攻 撃 26
Heartbleed Bug 概 要 2014 年 4 月 CVE-2014-0160 日 本 時 間 4 月 8 日 未 明 に 公 開 http://heartbleed.com/ 脆 弱 なバージョン:OpenSSL 1.0.1 から 1.0.1f および 1.0.2beta1 問 題 :OpenSSL が 動 作 しているマシンの メモリ 情 報 を 取 得 可 能 な 状 態 にあった 対 策 :(1) 1.0.1g にアップデート or (2) Heartbeat 無 効 にして 再 コンパイル 27
通 常 のハンドシェイク ClientHello ServerHello Certificate ServerKeyExchange CertificateRequest ServerHelloDone Certificate ClientKeyExchange CertificateVerify ChangeCipherSpec Finished ChangeCipherSpec CertificateRequest Finished Application data http://tools.ietf.org/html/rfc5246 28
ssltest.py ( 攻 撃 ツール) ClientHello w/ エクステンションに 俺 Heartbeat 喋 れるよ! Heartbeat リクエスト( 不 正 パケット) 1803020003014000 Heartbeat TLS version Payload length ServerHello Certificate ServerKeyExchange CertificateRequest ServerHelloDone Message type Payload length Payload 18 03 02 00 03 01 40 00 Heartbeat レスポンス(メモリデータ 流 出 ) https://gist.github.com/sh1n0b1/10100394 29
メモリへの 不 正 アクセスの 深 刻 度 システム 上 のメモリ 領 域 データ 奪 取 により ID/パスワード 成 りすましによる 不 正 アクセス セッションID ( 例 :Cookie) セッションハイジャック サーバ 証 明 書 の 秘 密 鍵 暗 号 化 通 信 の 復 元 本 物 と 判 断 可 能 な 偽 サーバへの 誘 導 が 可 能 になっていた 秘 密 鍵 の 更 新 と 証 明 書 の 再 発 行 が 推 奨 された 30
CCS Injection 概 要 2014 年 6 月 CVE-2014-0224 日 本 時 間 6 月 6 日 に 公 開 http://ccsinjection.lepidum.co.jp/ja.html 脆 弱 なバージョン: サーバ OpenSSL 1.0.1 系 列 :1.0.1g 以 下 クライアント 各 系 列 1.0.1g 以 下,1.0.0 以 下,0.9.8y 以 下 問 題 :ChangeCipherSpecメッセージの 処 理 の 欠 陥 により 暗 号 化 データの 漏 洩 31
ポイント 受 け 入 れてはいけないタイミングでCCS メッセージを 受 領 してしまう CCS = セッション 鍵 をリフレッシュしようぜ! サーバだけでなくクライアントもOpenSSL を 利 用 している 際 にだけ 起 こる 環 境 によっては 放 置 しても 大 丈 夫 な 状 況 もありえる 枯 れた 技 術 神 話 が 崩 壊 した 0.98 系 は 大 丈 夫 だろう v.s 意 識 の 高 い 管 理 者 (パッチ 信 者 ) 1998 年 12 月 からエンバグしていた 32
SSL/TLS handshake ClientHello ServerHello Certificate ServerKeyExchange CertificateRequest ServerHelloDone Certificate ClientKeyExchange CertificateVerify ChangeCipherSpec Finished 本 来 ならこのタイミングでCCSを 受 領 する 必 要 がある ChangeCipherSpec Finished Application data http://tools.ietf.org/html/rfc5246 33
SSL/TLS handshake ClientHello ServerHello ChangeCipherSpec OR ChangeCipherSpec MasterSecret が 共 有 されていないうちにCSSを 受 け 取 ると = 空 のMasterSecret から 共 通 鍵 の 生 成 を 行 ってしまう 鍵 がバレた 状 況 ServerHelloDone Certificate ClientKeyExchange CertificateVerify ChangeCipherSpec Finished 本 来 ならこのタイミングでCCSを 受 領 する 必 要 がある ChangeCipherSpec Finished Application data http://tools.ietf.org/html/rfc5246 34
NSSにおける 署 名 検 証 不 備 2014 年 9 月 CVE-2014-1568 日 本 時 間 9 月 24 日 に 公 開 http://www.mozilla-japan.org/security/ announce/2014/mfsa2014-73.html 問 題 :NSSにおけるパーサの 問 題 によりRSA 署 名 検 証 をすり 抜 けて, 偽 造 された 文 書 が 正 当 な 署 名 であると 返 却 される 場 合 がある 35
malleability Bitcoin 交 換 所 Mt.Goxへの 攻 撃 でも 利 用 http://arxiv.org/abs/1403.6676 Christian Decker, Roger Wattenhofer, Bitcoin Transaction Malleability and MtGox セマンティカリに 同 じ 内 容 のデータをエンコー ディングしても 複 数 のデジタルデータで 表 現 可 能 になるという 揺 れ を 利 用 BER v.s DER encoding 36
POODLE attack 概 要 2014 年 10 月 CVE-2014-3566 日 本 時 間 10 月 15 日 に 公 開 https://www.openssl.org/~bodo/ssl-poodle.pdf 仕 様 そのものの 問 題 SSLv3にてCBC 暗 号 モード 利 用 時 のみ 影 響 SSLv2は 以 前 から 脆 弱 問 題 :Padding Oracle Attack の 一 種. サーバのパディングチェック 機 能 を 悪 用 し ブラウザから 大 量 のリクエストをサーバに 送 りつけてトライ&エラーを 繰 り 返 し, 暗 号 化 された 攻 撃 対 象 データを1バイトずつ 復 号 37
POODLE attack への 対 策 (1)SSLv3を 捨 てる [ 機 会 損 失 ] Twitterなどで 即 座 に 対 応 が 行 われた https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-02 38
SSL/TLSサーバのバージョン 移 行 状 況 4 月 15 日 SSL-enable sites=5677 TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0 17.0 14.7 24.3 99.9 99.9% 11 月 26 日 SSL-enable sites=5620 SSLv3を を 無 効 にするサイトが 大 幅 に 増 加 している TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0 13.0 30.0 27.2 98.8 62.3% Alexa top 100M sites に 記 載 されている.jp ドメイン17988サイトを 調 査 両 日 ともに 同 じURLリストを 利 用 39
POODLE attack への 対 策 (1)SSLv3を 捨 てる [ 機 会 損 失 ] Twitterなどで 即 座 に 対 応 が 行 われた (2)TLS_FALLBACK_ SCSVの 導 入 OpenSSL 10 月 アップデートで 実 装 済 https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-02 40
POODLE attack への 対 策 (1)SSLv3を 捨 てる [ 機 会 損 失 ] Twitterなどで 即 座 に 対 応 が 行 われた (2)TLS_FALLBACK_ SCSVの 導 入 OpenSSL 10 月 アップデートで 実 装 済 両 方 の 対 策 ともレガシーな 製 品 ( 特 にフィー チャーフォンやゲーム 機 器 など)からサイトが 閲 覧 できなくなったりするケースも 考 えられる https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-02 41
SSLv3 に 延 命 技 術 はないのか? BEASTのときには 1/n-1 分 割 法 で 回 避 SSL3.0, TLS1.0 でCBC 利 用 時 に 影 響 SSLv3 で 利 用 できる CipherSuites SSL_NULL_WITH_NULL_NULL SSL_RSA_WITH_NULL_MD5 SSL_RSA_WITH_NULL_SHA SSL_RSA_EXPORT_WITH_RC4_40_MD5 SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_RC4_128_SHA SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 SSL_RSA_WITH_IDEA_CBC_SHA SSL_RSA_EXPORT_WITH_DES40_CBC_SHA SSL_RSA_WITH_DES_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA SSL_DH_DSS_WITH_DES_CBC_SHA SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA SSL_DH_RSA_WITH_DES_CBC_SHA SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA SSL_DHE_DSS_WITH_DES_CBC_SHA SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA SSL_DHE_RSA_WITH_DES_CBC_SHA SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 SSL_DH_anon_WITH_RC4_128_MD5 SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA SSL_DH_anon_WITH_DES_CBC_SHA SSL_DH_anon_WITH_3DES_EDE_CBC_SHA SSL_FORTEZZA_KEA_WITH_NULL_SHA SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA SSL_FORTEZZA_KEA_WITH_RC4_128_SHA https://www.tools.ietf.org/html/rfc6101 42
SSLv3 に 延 命 技 術 はないのか? BEASTのときには 1/n-1 分 割 法 で 回 避 SSL3.0, TLS1.0 でCBC 利 用 時 に 影 響 SSLv3 で 利 用 できる CipherSuites SSL_NULL_WITH_NULL_NULL SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA SSL_RSA_WITH_NULL_MD5 SSL_DHE_DSS_WITH_DES_CBC_SHA SSL_RSA_WITH_NULL_SHA RC4 SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA SSL_RSA_EXPORT_WITH_RC4_40_MD5 SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA SSL_RSA_WITH_RC4_128_MD5 SSL_DHE_RSA_WITH_DES_CBC_SHA SSL_RSA_WITH_RC4_128_SHA SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 SSL_RSA_WITH_IDEA_CBC_SHA SSL_DH_anon_WITH_RC4_128_MD5 SSL_RSA_EXPORT_WITH_DES40_CBC_SHA SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA SSL_RSA_WITH_DES_CBC_SHA 3DES-CBC SSL_DH_anon_WITH_DES_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA SSL_DH_anon_WITH_3DES_EDE_CBC_SHA SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA SSL_FORTEZZA_KEA_WITH_NULL_SHA SSL_DH_DSS_WITH_DES_CBC_SHA SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA SSL_FORTEZZA_KEA_WITH_RC4_128_SHA SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA SSL_DH_RSA_WITH_DES_CBC_SHA SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA https://www.tools.ietf.org/html/rfc6101 43
RC4を 受 け 入 れるサイト あえて RC4 利 用 時 のリスク を 受 容 している サイトもある これは 暗 号 リストやガイドラインとは 相 反 する 正 しく 技 術 を 理 解 してポリシー 決 めした 結 果 設 定 の 不 備 を 一 概 に 責 めることができない 44
FREAK attack 概 要 2015 年 3 月 CVE-2015-0204 2015 年 日 本 時 間 3 月 3 日 にサイト 公 開 ( 再 認 識 ) https://freakattack.com/ 脆 弱 なバージョン: 2015 年 1 月 のUpdateで 修 正 済 クライアント 各 系 列 1.0.1j 以 下,1.0.0o 以 下,0.9.8zd 以 下 問 題 :クライアントの 指 定 したCipherSuitesではなく Export-grade( 輸 出 可 能 な 弱 い) 暗 号 を 意 図 せず 利 用 されてしまう 45
攻 撃 成 功 のための 条 件 逆 に 考 えるとサーバサイドの 設 定 変 更 だけで 対 策 は 十 分 以 下 の 両 方 が 必 要 クライアント: OpenSSLの1.0.1k 以 前 のバージョ ン(CVE-2015-0204の 脆 弱 性 を 持 つ) サーバ: EXP_* (Export-grade)なCipherSuites をしゃべる 設 定 がされている Ephemeral RSA 鍵 が 使 いまわされている ( 実 際, 起 動 時 に 同 じ 鍵 を 使 う 実 装 が 存 在 ) 事 前 にサーバのRSA512 鍵 を 取 得 ( 誰 でも 可 能 ) ごり 押 しで 素 因 数 分 解 して 秘 密 鍵 取 得 公 衆 無 線 LANなどを 利 用 してDNS 詐 称 して 本 サーバを 攻 撃 者 サーバにすげ 替 える 46
クライアント 中 間 者 サーバ ClientHello こちらは 通 常 のCipherSuite ServerHello これを 受 け 入 れては Certificate いけないのに......RSA512 鍵 ServerKeyExchange CertificateRequest ServerHelloDone Export-gradeなCipherSuitesのみに 書 き 換 え ClientHello Export-grade ServerHello Certificate Ephemeral RSA512 鍵 ServerKeyExchange CertificateRequest ServerHelloDone Certificate ClientKeyExchange CertificateVerify ChangeCipherSpec Finished Mastersecretが 暗 号 化 されたデータが 含 まれる Mastersecret を 復 号 Certificate ClientKeyExchange CertificateVerify ( 暗 号 化 鍵 もMAC 用 鍵 も 入 手 してる) ChangeCipherSpec MACを を 書 き 換 えて 整 合 性 をあわせる Finished ChangeCipherSpec CertificateRequest Finished MACを を 書 き 換 えて 整 合 性 をあわせる Application data Application data ChangeCipherSpec CertificateRequest Finished ここは 筒 抜 け 状 態 47
Freakattack.com これまでにも サーバ 設 定 の 不 備 が 風 評 被 害 になりうる と 言 ってた 今 回 わりと 現 実 的 に 技 術 的 に 理 解 していない 方 でもブラックリストのよ うに 見 えるわけで, 実 際 Twitterなどでいくつかの 日 本 のサーバが 名 指 しされている. さすがにもうこの 時 期 に 輸 出 規 制 時 代 の CipherSuitesをサポートすることは 後 方 互 換 性 の 確 保 のため,という 理 由 にはならないか 48
OpenSSL 2015-03-19 Updates 事 前 に 予 告 があり そのときを 備 えることが できた 日 本 時 間 3/19 20:00-24:00 23 時 ちょい 過 ぎ その 日 のうちに 解 散 宣 言 しましたよね 49
OpenSSL 2015-03-19 Updates FREAK 攻 撃 :Low High Severity に 格 上 げ 間 違 いを 素 直 に 正 している 点 は 評 価 でも Low に 分 類 してたのはなぜ? ここでもアカデミアとインダストリの 考 え 方 の 違 いか? いくつかの 観 点 で 分 類 してみると 1.0.2 だけで 起 こるケース DoSを 誘 発 するケース(サーバサイドだけの 問 題 ) Low severity 50
今 回 こう 考 えてみた 意 識 の 高 い 管 理 者 が 使 っていると 思 われる 1.0.2 は 速 やかにパッチあてられるはず 一 方 でレガシー 環 境 で 古 い 枯 れたライブラリを 使 っている 製 品 の 方 が 移 行 は 困 難 サーバサイドで 対 応 できるものを 対 応 していない 場 合 は 風 評 被 害 を 受 けてもしようがない そうすると OpenSSL を 使 っているクライアント サイドで,どのくらい 即 時 性 を 持 って 対 処 されるかに かかってくるのではないか? 主 要 ブラウザの 更 新 頻 度 は 相 当 早 い 51
まとめ (その 場 でいいます) 52