Copyright 2017, wolfssl Inc. All rights reserved. 今日 TLS 1. 3 IoT TLS 新ー話

(1)

TLS1.3

が

 

やってくる！

、。今日「TLS 1 . 3 」、 IoT 、 TLS 新ー話。

(2)

セキュリティ層 SSL・TLS・DTLS アプリケーション層トランスポート層 TCP/IP・UDP 物理ネットワーク層 RTOS/ 非RTOS ファイルシステム

セキュリテイ、暗号技術の専門チームです。

ここだけにフォーカス

ここだけに

フォーカス

wo ﬂS SL Io T ー、暗号技術ー専門技術ー。

(3)

wolfSSL

Japan

本社はここ

本社米国、世界各地専門 wo lfS SL ー世界最高水準製品提供。 wo lfS SL Jap an 一員、日本客世界水準技術ー届。

(4)

Web/IoT

サーバ

IoTデバイス/

クライアント

ネットワーク通信の

安全を守る

SSL/TLS

存知通、 T L S /S S L IoT ー安全通信確保標準。

(5)

...

HTTP （Web) SMTP/ POP （メール） FTP （ファイル転送） SIP （IP電話） DNS (名前解決）（IP割当DHCP て） SSL(TLS) DTLS TCP （確実性、任意長）（高スループット、長さ制UDP 限）アプリケーション層トランスポート層ネットワーク層物理層 IP （宛先IPアドレスへの配信） IPsec （IP層セキュリティ）イーサネット無線LAN 階層、ーー層間位置、安全通信実現。

(6)

バージョン内容脆弱性、脅威 SSL1.0 ネットスケープ社最初のバージョン。初期の脆弱性 TDESの限界 MD5署名のリスク RC4, CBCなどの脆弱性 SHA-1署名のリスク常時SSL化前方秘匿性 SSL2.0 最初の公開バージョン。 SSL3.0 2.0の脆弱性を解消。 TLS1.0 最初のIETF標準化バージョン。 TLS1.1 CBC攻撃への対応のため、初期ベクトルの明示、パディングなど。 AESの追加。 TLS1.2 SHA-256の追加。認証付暗号 (GCM,CCM)の追加。

TLS1.3

セキュリティ強化：鍵共有はDH系のみに。認証付暗号以外の廃止。ハンドシェイクの暗号化。データここの話今日 TLS 新ー話。

(7)

https://datatracker

.

ietf

.

org/doc/draft-ietf-tls-tls13

より

Internet Engineering Task Force (IETF)

インタネットプロトコルの標準化団体

現在のステータス

_Draft21

Proposed Standard

（正式標準の直前）

TLS1.3 の経緯とステータス

最初のドラフト

TLS 1. 3 IE TF 標準化団体ーー検討れ。 20 13 年議論活発化、年最初、現在 21 正式標準化直前状態。

(8)

そんなー。。

この間

1.2 に

移行したばかりなのに

TLS 1. 3 、声

(9)

それって、

実際に使われるのは

まだ先の話じゃないの？

声聞。

(10)

1996

〜

2015

普及期

2002

〜

△

2015

2010

〜

△

2016

〜

確、例 TLS 1. 2 20 08 年制定れ実際使われ、年

(11)

んじゃ、

うちは

1.2 で十分じゃね

？

(12)

公表されている

主な脆弱性、攻撃方法

発見/発表種類名前、説明 2008 乱数生成 Debian RNG 2009 NULバイト攻撃 NULバイト攻撃 2009 再ネゴシエーション　 2011 MAC認証暗号 BEAST 2012 政府による盗聴 Flame 2012 乱数生成組込み系エントロピー不足 2012 圧縮サイドチャネル攻撃 CRIME 2013 政府による盗聴 Bullrun, Edgehill 2013 政府による盗聴 Dual EC DRBG 2013 パディング攻撃 Lucky Thirteen2013 2013 圧縮サイドチャネル攻撃 BREACH 2013 圧縮サイドチャネル攻撃 TIME 2013 暗号の危殆化 RC4 2013 切り詰め攻撃　 2014 ダウングレード攻撃トリプルハンドシェイク攻撃 2014 パディング攻撃 POODLE 2014 不正なASN.1 BERserk 2015 状態遷移攻撃 SMACK 2015 ダウングレード攻撃 FREAK 2015 ダウングレード攻撃 Logjam 2015 メーカーによる盗聴 Superﬁsh 間_、 TLS/SSL 、数々攻撃、脆弱性問題。

(13)

安全性の向上

1.2 1.1 TLS1.0 SSL3 れ安全性_、堅牢性。

(14)

性能の低下

結果_、ーー大、ー。

(15)

Web/IoT

サーバ

セキュリティ心配だけど

これ以上負荷が

あがると困るし

重負荷苦、、 Web Io T ー。負荷増大、直接増大。れ事情新普及遅要因事情。

(16)

、今回ー知れ。

(17)

TLS1.3では、…

性能の向上

安全性の向上

1.2 1.1 TLS1.0 SSL3 1.3 大幅見直、安全性大幅向上、処理負荷軽、ー向上。

(18)

れ、負荷増加悩ー朗報！

(19)

でも、

うちはデバイス側だから、

あんまり関係ない感じ

(20)

デバイス側には

あんまり守らないといけないほど

重要な情報はないしぃ...

(21)

、本当

(22)

世界中から狙われるサーバ

日夜_、世界中攻撃者れー側。

(23)

玄関の鍵は

立派

、ー側新ー導入、

(24)

がない方は

裏口からどうぞ

ー、古許、意味。

(25)

玄関の鍵を

あけられる方

だけどうぞ

隙のない守り

、側ーれ、同水準われ繋、。

(26)

わ、側 TLS 1. 3 時代意外早知れ。

(27)

性能の向上

安全性の向上

1.2 1.1 TLS1.0 SSL3 1.3 れ新ー変わ、れ安全性性能風関わ少わ見。

(28)

暗号化技術

目的

鍵合意

/鍵交換

（公開鍵暗号）

暗号鍵を安全に通信相手と共有

証明書

/署名

正しい通信相手か確認

共通鍵暗号

メッセージの暗号

/復号化

メッセージ認証メッセージ改ざん検証

存 TLS 中安全通信実現、暗号化技術使われ正通信相手確認証明書署名実際通信内容暗号化_、復号化共通鍵、送れー改れ検証、ー認証。れ暗号化技術、れれ方式提案れ_、使われ。

(29)

TLS

_ECDHE_RSA_WITH_AES_128_CBC_SHA256

鍵合意

/交換の方式

共通暗号の方式

メッセージ認証

の方式

署名の方式

方式強度(bit) 利用モード

実際 TLS 通信、暗号通信送手受手通信最初、選択肢、れれ方式使合意。れ暗号ー言。覧、 TLS 実際われ暗号ー一例。 TLS 長時代変化追従、各部分暗号方式組合わ使。

(30)

TLS_NULL_WITH_NULL_NULL

TLS_RSA_WITH_NULL_MD5

TLS_RSA_WITH_NULL_SHA

TLS_RSA_EXPORT_WITH_RC4_40_MD5

TLS_RSA_WITH_RC4_128_MD5

TLS_RSA_WITH_RC4_128_SHA

TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5

TLS_RSA_WITH_IDEA_CBC_SHA

TLS_RSA_EXPORT_WITH_DES40_CBC_SHA

TLS_RSA_WITH_DES_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

実際_、時代新暗号 IE TF 登録れ_、

(31)

TLS_NULL_WITH_NULL_NULL TLS_RSA_WITH_NULL_MD5 TLS_RSA_WITH_NULL_SHA TLS_RSA_EXPORT_WITH_RC4_40_MD5 TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 TLS_RSA_WITH_IDEA_CBC_SHA TLS_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA TLS_DH_DSS_WITH_DES_CBC_SHA TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_DH_RSA_WITH_DES_CBC_SHA TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA TLS_DHE_DSS_WITH_DES_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_DHE_RSA_WITH_DES_CBC_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 TLS_DH_anon_WITH_RC4_128_MD5 TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA TLS_DH_anon_WITH_DES_CBC_SHA TLS_DH_anon_WITH_3DES_EDE_CBC_SHA Reserved to avoid conflicts with SSLv3 TLS_KRB5_WITH_DES_CBC_SHA TLS_KRB5_WITH_3DES_EDE_CBC_SHA TLS_KRB5_WITH_RC4_128_SHA TLS_KRB5_WITH_IDEA_CBC_SHA TLS_KRB5_WITH_DES_CBC_MD5 TLS_KRB5_WITH_3DES_EDE_CBC_MD5 TLS_KRB5_WITH_RC4_128_MD5 TLS_KRB5_WITH_IDEA_CBC_MD5 TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA TLS_KRB5_EXPORT_WITH_RC2_CBC_40_SHA TLS_KRB5_EXPORT_WITH_RC4_40_SHA TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5 TLS_KRB5_EXPORT_WITH_RC2_CBC_40_MD5 TLS_KRB5_EXPORT_WITH_RC4_40_MD5 TLS_PSK_WITH_NULL_SHA TLS_DHE_PSK_WITH_NULL_SHA TLS_RSA_PSK_WITH_NULL_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_DH_DSS_WITH_AES_128_CBC_SHA TLS_DH_RSA_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DH_anon_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_DH_DSS_WITH_AES_256_CBC_SHA TLS_DH_RSA_WITH_AES_256_CBC_SHA TLS_DHE_DSS_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DH_anon_WITH_AES_256_CBC_SHA TLS_RSA_WITH_NULL_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_DH_DSS_WITH_AES_128_CBC_SHA256 TLS_DH_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_CAMELLIA_128_CBC_SHA TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA Reserved to avoid conflicts with deployed implementaPons Reserved to avoid conflicts Reserved to avoid conflicts with deployed implementaPons Unassigned

Reserved to avoid conﬂicts with widely deployed implementaPons TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DH_DSS_WITH_AES_256_CBC_SHA256 TLS_DH_RSA_WITH_AES_256_CBC_SHA256 TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 TLS_DH_anon_WITH_AES_128_CBC_SHA256 TLS_DH_anon_WITH_AES_256_CBC_SHA256 Unassigned TLS_RSA_WITH_CAMELLIA_256_CBC_SHA TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA TLS_PSK_WITH_RC4_128_SHA TLS_PSK_WITH_3DES_EDE_CBC_SHA TLS_PSK_WITH_AES_128_CBC_SHA TLS_PSK_WITH_AES_256_CBC_SHA TLS_DHE_PSK_WITH_RC4_128_SHA TLS_DHE_PSK_WITH_3DES_EDE_CBC_SHA TLS_DHE_PSK_WITH_AES_128_CBC_SHA TLS_DHE_PSK_WITH_AES_256_CBC_SHA TLS_RSA_PSK_WITH_RC4_128_SHA TLS_RSA_PSK_WITH_3DES_EDE_CBC_SHA TLS_RSA_PSK_WITH_AES_128_CBC_SHA TLS_RSA_PSK_WITH_AES_256_CBC_SHA TLS_RSA_WITH_SEED_CBC_SHA TLS_DH_DSS_WITH_SEED_CBC_SHA TLS_DH_RSA_WITH_SEED_CBC_SHA TLS_DHE_DSS_WITH_SEED_CBC_SHA TLS_DHE_RSA_WITH_SEED_CBC_SHA TLS_DH_anon_WITH_SEED_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DH_RSA_WITH_AES_128_GCM_SHA256 TLS_DH_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 TLS_DH_DSS_WITH_AES_128_GCM_SHA256 TLS_DH_DSS_WITH_AES_256_GCM_SHA384 TLS_DH_anon_WITH_AES_128_GCM_SHA256 TLS_DH_anon_WITH_AES_256_GCM_SHA384 TLS_PSK_WITH_AES_128_GCM_SHA256 TLS_PSK_WITH_AES_256_GCM_SHA384 TLS_DHE_PSK_WITH_AES_128_GCM_SHA256 TLS_DHE_PSK_WITH_AES_256_GCM_SHA384 TLS_RSA_PSK_WITH_AES_128_GCM_SHA256 TLS_RSA_PSK_WITH_AES_256_GCM_SHA384 TLS_PSK_WITH_AES_128_CBC_SHA256 TLS_PSK_WITH_AES_256_CBC_SHA384 TLS_PSK_WITH_NULL_SHA256 TLS_PSK_WITH_NULL_SHA384 TLS_DHE_PSK_WITH_AES_128_CBC_SHA256 TLS_DHE_PSK_WITH_AES_256_CBC_SHA384 TLS_DHE_PSK_WITH_NULL_SHA256 TLS_DHE_PSK_WITH_NULL_SHA384 TLS_RSA_PSK_WITH_AES_128_CBC_SHA256 TLS_RSA_PSK_WITH_AES_256_CBC_SHA384 TLS_RSA_PSK_WITH_NULL_SHA256 TLS_RSA_PSK_WITH_NULL_SHA384 TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA256 TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA256 TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA256 TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA256 TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256

２００ スイート

以上

今、 2 以上ー IE TF 登録れ、中使われ、危険性増含れ。

(32)

DHE

ECDHE

合意

署名

共通

最終的

の

導出方法

(

HKDF)

AES_128_GCM_SHA256

AES_256_GCM_SHA384

CHACHA20_POLY1305_SHA256

AES_128_CCM_SHA256

AES_128_CCM_8_SHA256

→ 証明書の指定に従う

(33)

暗号化技術

目的

鍵合意

/鍵交換

（公開鍵暗号）

暗号鍵を安全に通信相手と共有

証明書

/署名

正しい通信相手か確認

共通鍵暗号

メッセージの暗号

/復号化

メッセージ認証メッセージ改ざん検証

一わ、公開鍵鍵交換_、鍵合意方式部分_。一共通鍵暗号方式部分。

(34)

RSA

DH

公開鍵方式、れれ発明者頭文字 RS A ー、 DH 方式広使われ。

(35)

RSA

ECC

DSA

ECDSA

DH

EC

DH

ECDH

ECDHE

EC

DHE

方式後改良加れ_、複数派生系、

(36)

RSA系

DH系

、れれ、 RS A 系_、 DH 系呼。

(37)

暗号化技術

方式

鍵合意

/鍵交換 

（公開鍵暗号）

RSA系

、

DH系

証明書

_/署名

RSA系

TLS1.2まで

TLS 中、れ、鍵合意_、交換 RS A 系 DH 系両方証明書_、署名 RS A 系われ。

(38)

暗号化技術

方式

鍵合意

/鍵交換 

（公開鍵暗号）

RSA

系

、

DH系

証明書

_/署名

RSA系

TLS1.2まで

近年_、非常大規模長期間わ通蓄積、れー暗号解読可能性明出れ安全思われ RS A 、鍵交換 RS A 系使認。

(39)

暗号化技術

方式

鍵合意

/鍵交換 

（公開鍵暗号）

DH系

証明書

_/署名

RSA系

TLS1.3では

TLS 1. 3 、鍵合意 DH 系_、署名 RS A 系風役割整理。

(40)

れ、方式使わ、性向上効果、 TLS 1. 3 場合_、れ以上大効果。点少。

(41)

デバイスサーバ Application Data Application Data 暗号化された _{メッセージ通信} TLS 、実際暗号化れー通信、

(42)

デバイス

Client Hello Server Hello Certificate Server Key Exchange

Server Hello Done Client Key Exchange Change Cipher Spec

Change Cipher Spec Encrypted Handshake Encrypted Handshake サーバハンドシェイク（SSLの準備） Application Data Application Data 暗号化された _{メッセージ通信} 前準備、わ SSL 行われ。実れー、平文送。

(43)

デバイス

Change Cipher Spec Encrypted Handshake Encrypted Handshake サーバハンドシェイク（SSLの準備） Application Data Application Data 暗号化されたメッセージ通信デバイス Client Hello Server Hello Certificate Server Key Exchange

Change Cipher Spec Encrypted Handshake Encrypted Handshake サーバ Application Data Application Data TLS1.2まで TLS1.3 ハンドシェイクの大部分が暗号化される TLS 1. 3 、方式整理れ、最初部分暗号化必要情報整。、れ以後ー暗号化大幅向上。

(44)

デバイス

Change Cipher Spec Encrypted Handshake Encrypted Handshake サーバハンドシェイク（SSLの準備） Application Data Application Data 暗号化されたメッセージ通信デバイス Client Hello Server Hello Certificate Server Key Exchange

Change Cipher Spec Encrypted Handshake Encrypted Handshake サーバ Application Data Application Data ハンドシェイクの大部分が暗号化される、部分公開鍵情報、原理的万一盗れ脆弱性わ、原理突ー。隠早隠、安全性大幅向上。

(45)

TLS1.3では、…

性能の向上

1.2 1.1 TLS1.0 SSL3 1.3 方式整理れ、実性能向上。

(46)

デバイス

Server Hello Done

Client Key Exchange Change Cipher Spec

Change Cipher Spec Encrypted Handshake Encrypted Handshake サーバ

２往復

Application Data Application Data 暗号化されたメッセージ通信デバイス Client Hello (key_share) Finished Finished サーバ Application Data Application Data Server Hello (Key, key_share) Certificate CertificateVerify

１往復

従来_、、大見往復、 1. 3 覧、往復、次往路途中ーー転送開始。、ーー、実質的往復。れ、大幅ーー改善。

(47)

暗号化技術

目的

鍵合意

/鍵交換

（公開鍵暗号）

暗号鍵を安全に通信相手と共有

証明書

/署名

正しい通信相手か確認

共通鍵暗号

メッセージの暗号

/復号化

メッセージ認証

メッセージ改ざん検証

TLS 1. 3 一整理、共通鍵暗号方式。

(48)

デバイス

Server Hello Done

Client Key Exchange Change Cipher Spec

Change Cipher Spec Encrypted Handshake Encrypted Handshake サーバ Application Data Application Data 暗号化された _{メッセージ通信} デバイス Client Hello (key_share) Finished Finished サーバ Application Data Application Data Server Hello (Key, key_share) Certificate CertificateVerify 共通暗号共通鍵暗号、終わ、実際ーー暗号化使われ暗号化方式

(49)

AES-‐CBC

ここで一番影響が大きいのは_、これまで共通暗号方式として非常に広く使われてきた_AE S-‐CBC という方式が_, 、おおくの脆弱性リスクのためにはずされたことでしょう。

(50)

AES-‐CBC

01010001011101010010… 00010101111000101010… メッセージブロック１（平文）メッセージブロック２（平文）ブロック暗号化処理（AES）ブロック暗号化処理（AES）初期化ベクトル暗号暗号メッセージブロック３（平文） 00010101111000101010… ブロック暗号化処理（AES）暗号 AE S-‐CBC は代表的なブロック型暗号です_。メッをブロックごとに暗号化していきます。その時_、ご覧のように前のブロックの暗号結次のブロックのの一部として使います_。実質的にブロックごとに暗の値が次々といくので、一見、非常に強固な暗号化方式の見えます_。

(51)

AES-‐CBC

Copyright 2017, wolfSSL Inc. All rights reserved. 01010001011101010010… 10100111010100101110… 00010101111000101010… 1000111010100101110… メッセージブロック１（平文）メッセージブロック２（平文）メッセージブロック１（暗号化）メッセージブロック２（暗号化）ブロック暗号化処理（AES）ブロック暗号化処理（AES）初期化ベクトル暗号暗号メッセージブロック３（平文） 00010101111000101010… 1000111010100101110… ブロック暗号化処理（AES）暗号メッセージブロック3 （暗号化）ころが、初期化ベクトルの与えかたがいいかげんで、推測可能の場合には_、第一ブロックの解読が想定よりずっと容易になり_、第一ブロックが解読できてしまうと_、将棋倒し的に後ろのブロックの解読ができてしまうということが発覚しています。

(52)

AES-‐CBC

01010001011101010010… 00010101111000101010… メッセージブロック１（平文）メッセージブロック２（平文）ブロック暗号化処理（AES）ブロック暗号化処理（AES）初期化ベクトル暗号暗号メッセージブロック３（平文） 00010101111000101010… ブロック暗号化処理（AES）暗号また_、メッセージ長がブロックの整数倍で最後のブロックに特定のルールでパディンが埋め込まれるのですが_、このパディング利用した解読の可能性も指摘されていま

(53)

AES-‐CBCで暗号化されたメッセージ

MACタグ

TLSレコード(最大16kバイト)

AE S-‐CBC で暗号化されたメッセ_ージは、最大１６_k バイトごとに_TLS レコ_ードとしてまとめられ_、レコ_ードごとにメッセ_ージオーセンティケ_ーションコード、略して_MA C と呼ばれる改ざん検出用のタグがつけられています_。ところが_、この_MA C とさきほどのパディングの関係を利用した攻撃方法も発見されているのです。

(54)

AES-‐CBC

AES-‐GCM

このような、さまざま脆弱性リスクのためでは_AE S-‐CBC は正式にはずされることにきまったのです。 TLS 1. 3 でこれに変わる候補の一つは_AE S-‐GCM 認証タグ付きの方式_、いわゆる_AE AD 方式のです。

(55)

AES-‐GCM

AES暗号化 AES暗号化 AES暗号化

メッセージ１メッセージ２暗号ブロック１暗号ブロック２認証タグ認証データ Wikipedia Galois/Counter Modeより AE S-‐GCM では_、先ほどの_CBC と同様にブロックごとにメッセージを暗号化します。また、それと同時に認証タグ値も１６バイトのブロックごとに計算していきます_。このように暗号化と認証タグの計算を同時に行なっていく方式を_au th en fc ate d e nc ry pf on w ith as oc iate d d ata :A EA D と呼びます_。先に見た_CBC のような脆弱性リスクに関しては_、 AE AD 方式はずっと安全であると見られています_。

(56)

0 0.5 1 1.5 2 2.5 3 3.5

TDES AES-‐CBC AES-‐GCM Chacha-‐Poly

MB/Sec

潜在リスクあり安全 (AEAD)

TDES AES-‐CBC AES-‐GCM ChaCha-‐Poly

でも_、 AE S-‐GCM には弱点が一つあります。それ性能です。これは弊社のベンチマークですが_、 CBC にくらべて_GCM は数分の一の暗号化処理となってしまいます_。

(57)

AES-‐CBC

AES-‐GCM

ChaCha-‐Poly

そこで_、注目されているのが新世代のアルゴリズムです_。例えば_、 Ch aC ha -‐Po ly という_、やや聞きなれないアルゴリズムは、 TLS 1. 2 時代の後半から使用され始めているものですが_、 TLS 1. 3 では正式アルゴリズムに仲間入りします_。

(58)

0 0.5 1 1.5 2 2.5 3 3.5

TDES AES-‐CBC AES-‐GCM Chacha-‐Poly

MB/Sec

潜在リスクあり安全

TDES AES-‐CBC AES-‐GCM ChaCha-‐Poly

安全_/高速 ご覧のように_、この_Ch aC ha -‐Po ly では_GCM よ大幅に性能改善_。従来の_CBC をしのぐ処理得ることができます_。

(59)

RSA系

DH系

(60)

X =

Gのベキ乗AをPで割った余り

公開の暗号化は_、実は原理的には単なる整演算で実現されています_。ある値_G のベキ乗_A で割ったあまりを計算する_、という演算ですこの時、 G や_P の値にうまい大きな素数を選ぶ G, P, A から_x を求めることは比較的簡単にで

(61)

X =

これを求める

Gのベキ乗をPで割った余り

が

XとなるようなAを求める

逆演算、つまり_x, G 、 P がわかっても_A を推測することは非常に困難なので、 x を公開しても大丈夫という事実を利用します

(62)

DHによる共有

例えばディフィ_ーヘルマンでは_、細かいこと別として_、先ほどの計算式を使ってこんな風に両者でするのですが_、途中の通信は仮に盗まれても逆演算は極めて難しいので_、安全と言えるの

(63)

長くなる

重くなる処理

しかし、このような計算は可能とはいえ、最近では_、実用的なの強度を実現するには２０４８ビット程度の長が必要といわれていて_、安全のためには今後さらに長いが必要とされそうです。プロトコル処理全体から見ても_、この部分の負荷が大きな要素となりはじめています_。これに対して_、最近は楕円曲線の上で先ほどと同じような演算を定義して暗号化に利用するという方法が広まり始めています_。

(64)

楕円曲線といっても_、ごらんのように数学的された楕円曲線なので、私たちが普通思い浮楕円とは少々違います。この辺の詳細に入るの本題ではないので_、イメージだけをみていれば結構です_。このような_、楕円曲線上の演算を利用した暗楕円曲線暗号_、または_EllipP c C ur ve C ryptogr aphy: の EC C と呼びます_。

(65)

安全性

_{80bit 112bit}

_128bit

_192bit

_256bit

共通暗号

₈₀

₁₁₂

₁₂₈

₁₉₂

₂₅₆

RSA/DH

₁₀₂₄

₂₀₄₈

₃₀₇₂

₇₆₈₀

₁₅₃₆₀

楕円曲線暗号 (ECC)

160

224

256

384

512 安全のために必要な

長

_{(ビット）}

この表は安全な暗号化を実現するために必要となるの長さを比較したものです_。数字はビット数です_。同じような公開暗号でも_、 ECC を用いることで_、ご覧のように従来型に比べて１０分の１程度の長で同じ強度が得られます_。もちろん_、これによって_、ネットーワクの転送時間やメモリ_ー容量も小さくなります_。処理速度につても_、演算の複雑さは楕円曲線のほうがやや複雑になるのですが_、長が短いために通常は楕円曲線のほうが速く処理可能です_。そういうことで_、最近は_TLS の合意や署名の部分に ECC が普及し始めているので、みなさまもどこかで_ECC という言葉を耳にされているかと思います_。

(66)

暗号化技術

従来方式

_ECC

合意

_{/ 交換}

（公開

暗号）

DHE ECDHE

証明書

/署名

RSA ECDSA

TLS1.3では

先ほど、合意には_D H, 署名には_RS A というしましたが、これらに対応した_ECC による方在します_。それぞれ_、略称では頭に_EC をつけ ECDH と_ECDSA が代表的です_。

(67)

楕円曲線には無限の種類がある

さて_、当たり前の話ですが_、整数演算のベ_ースになっている数直線は世界に一種類だけです_。一方_、楕円曲線には無限の種類があることは容易に想像できますね_。また_、それぞれの曲線によって特異点があったりして暗号化に向かないようなものや_、演算が比較的簡素化できるものなど_、また暗号強度など、暗号化の実現面からも曲線によって特性がことなることが知られています_。

(68)

• NIST曲線

• SECGによるSECP曲線

ですから_、 ECC によって暗号通信しようと初めに使用する曲線の種類を通信相手とおかなければなりません_。暗号化に用いる楕円曲線の標準化という初期のころらこれに取り組んだ米国の研 N IS T による通称_N IS T 曲線_。また_、国際標準化 SECG による_SECP 曲線とよばれる一連の曲広く使われています_。 TLS でもこれらの曲線をベースとしたもが標準の方式込まれてきました_。

(69)

Wikipediaよりまたその後_、さらに効率の良い楕円曲線を求めて多くの研究がされています_。その中でも、 D an ie l B ern ste in とその研究グル_ープによる、 Cur ve ２５５１９による合意_、 Ed ２５５１９による署名は暗号効率の非常にすぐれた曲線として知られています_。これらも_TLS 1. 2 の後半から使用されはじめていたのですが_、 TLS 1. 3 では_N IS T, S EC P 曲線と並んで標準に組み込まれています_。

(70)

DHベンチマーク：

従来型、NIST曲線、Curve25519

_これは弊社のベンチマークによる処理速度す_。従来型の_DH より楕円曲線暗号_、さらに_CU RV E １９のほうが圧倒的に早いことがおわかりいます_。

(71)

•  セッション再開と事前共有

(PSK)

•  セッションチケット

• Early Data

•  ハンドシェイク後の通信相手の認証

• の再生成

その他の主な追加機能、整理項目

TLS 1. 3 ではその他にもご覧のように_、安全性やスル_ープットの向上のための機能が追加されたり_、懸案事項の整理が行われましたが、ここでは詳細は割愛させていただきます。

(72)

IoTにおけるセッション再開

IoTサーバ

IoTデバイス

周期的なアクセス

Io T のシナリオの中では_、デバイス側が周期的にてくるようなことがよくあるかと思います_。この標準化されたセッション再開の手順を用いるこより高速な応答が期待できます_。

(73)

デバイス

Client Hello

Client Key Exchange

サーバ

Application Data

Application Data 暗号化された _{メッセージ通信} Server Hello

Server Key Exchange

クライアント側

事前共有

サーバ側

_事前共有

暗号化されたメッセージ通信

TLS1.3のPSK

そのような場合に_、最初のフルハンドシェイクでを共有していて_、そのによる「事前共有」機能で_、よりオーバ_ーヘッドの少ない安全な通信が可能になります_。

(74)

(75)

Copyright 2017, wolfSSL Inc. All rights reserved. Wikipedia TLS Implementafons この表は_wi ki ped ia から引用させていただいているものですが_、現在の世界各社の_TLS 1. 3 の実現状況です_。少し細かいですが、サーバ向けの各社製品が概ね提供開始しているのに対し_、組込み系に関しては_、唯一弊社_wo lfS SL が世界に先駆けて提供開始しています。

(76)

wolfSSLのTLS 1.3

最後にこの機会に_wo lfS SL の_TLS 1. 3 機能につ少しご紹介させていただきます_。

(77)

ダウンロード

wolfssl.jpサイト

wo lfS SL の_TLS 1. 3 機能は_、みなさまのパソコン_、マイコンの上でも簡単にご評価いただくことができます_。

(78)

ダウンロードフォーム

wolfSSL を選択アルファベットで記入お願いします wo lfssl .jp サイトで_、簡単なダウンロードフ記入いただいけば、製品版とまったく同じ無償でダウンロ_ードいただくことができ wo lfS SL は各社の_ID E, 開発環境に対応して TLS 1. 3 に関する_TLS 1. 3 の変更点、追加点はコマンドベ_ースで比較したほうがわかかと思います_。ここではコマンドベ_ースでします_。

(79)

ダウンロードファイルを解凍

$ unzip wolfssl-‐3.12.2.zip

$ cd wolfssl-‐3.12.2

デフォルトのビルド

$ ./conﬁgure

$ make

サンプルサーバとクライアントの実行

$ ./examples/server/server

$ ./examples/client/client 127.0.0.1

デフオルトのビルド

サンプルサーバ、クライアントの実行

ダウンロードしたファイルを適当なディレクトリにおき_U nzi p します。デフォルトのビルドの場合、 con ﬁgu re コマンドで_Mak eﬁ le を作り_、 m ak e コマンドでビルドします。これで_、 wo lfS SL ライブラリと同時に簡単な_te st やベンチマークプログラム、サンプルサーバ_、クライアントプログラムがビルドされます。ビルドが終わったら_、サンプルサ_ーバとクライアントを別々のウィンドウで実行してみます。クライアントのア_ーギュメントはサ_ーバの_IP アドレス_、この場合_、 lo cal ho st を指定しましょう_。サンプルクライアントとサーバの間で_TLS セッションを確立して１往復の簡単なメッセージのやりとりをして終了します_。

(80)

ダウンロードファイルを解凍

$ unzip wolfssl-‐3.12.2.zip

$ cd wolfssl-‐3.12.2

デフォルトのビルド

$ ./conﬁgure

–enable-‐tls13

$ make

サンプルサーバとクライアントの実行

$ ./examples/server/server

–v 4

TLS1.3オプション指定のビルド

サンプルサーバ、クライアントの実行

TLS1.3の有効化オプション

Conﬁg ur e コマンドでＴＬＳ 1. 3 オプション指ビルドするとＴＬＳ 1. 3 機能が組み込まれまサンプルクライアントを実行させるとき_、プロバージョンのオプション_–v 4 を指定するとＴＬＳ 1. 3 でサ_ーバを呼び出します_。

(81)

これは_、サンプルサーバ_、クライアントコマンドを、まず_TLS 1. 2 で_、実際に実行させてみたスクリーンショットです_。サーバ、クライアント_、それぞれのウィンドウに使われたプロトコルのバージョン_、暗号スイ_ートや受け取ったメッセ_ージが表示されます_。

(82)

次は 1. 3 です。ご覧のように_、プロトコルのバージョンが 1. 3 になり対応する暗号スイー表示されるだけで_、見た目はほとんど変わり

(83)

W ire sh ar k のようなものでパケットキャプチャしていただくと_、ご覧のように 1. 2 の場合はハンドシェイクとアプリケ_ーションデータのやり取りが見えます_。

(84)

1. 3 の場合は_、ご覧のように Cli en t He llo /S erv er 後は暗号化されているために内容を見ることできません_。

(85)

(86)

method = wolfTLSv1_2_client_method(); /* プロトコルバージョン指定 */ Ctx = wolfSSL_CTX_new(method); /* コンテクストディスクリプタ確保 */ ssl = wolfSSL_new(ctx); /* セッションディスクリプタ確保 */ wolfSSL_connect(ssl); /* TLSセッション確立 */

wolfSSL_write(ssl, buﬀ, size); /* メッセージ送信 */ wolfSSL_read(ssl, buﬀ, size); /* メッセージ受信 */ wolfSSL_free(ssl); /* TLSセッション解放 */

通常のクライアント処理イメージ

次に関数_API ですが_、 wo lfS SL の通常のクライアントの処理ではのような関数を使ってサーバ側と通信すなっています_。まずは_、事前のディスクリプタを確保_。次に_、実際にサ_ーバとのハンドシェイクセッションが確立したら、サーバと目的ジの送受信をします_。最後にセッションとその他リソ_ースを解です_。

(87)

method = wolfTLSv1_3_client_method(); /* プロトコルバージョン指定 */ Ctx = wolfSSL_CTX_new(method); /* コンテクストディスクリプタ確保 */ ssl = wolfSSL_new(ctx); /* セッションディスクリプタ確保 */ wolfSSL_connect(ssl); /* TLSセッション確立 */

wolfSSL_write(ssl, buﬀ, size); /* メッセージ送信 */ wolfSSL_read(ssl, buﬀ, size); /* メッセージ受信 */ wolfSSL_free(ssl); /* TLSセッション解放 */ wolfSSL_CTX_free(ctx); /* コンテクスト解放 */

TLS1.3のクライアント処理イメージ

TLS1.3指定

TLS 1. 3 を使いたい場合は_、基本的には_、最初のプロトコルのバ_ージョン指定を１_．３と指定していただくだけですが、

(88)

l  TLSコネクト、アクセプト（TLS1.2へのダウングレードあり） int wolfSSL_connect_TLSv13(WOLFSSL* ssl); int wolfSSL_accept_TLSv13(WOLFSSL* ssl); l  セッションチケットを送らない int wolfSSL[_CTX]_no_fcket_TLSv13(WOLFSSL[_CTX]* ctx/ssl); int wolfSSL_no_fcket_TLSv13(WOLFSSL* ssl); l  セッション再開時DHEなし指定 int wolfSSL[_CTX]_no_dhe_psk(WOLFSSL[_CTX]* ctx/ssl); l  の更新 int wolfSSL_update_keys(WOLFSSL* ssl); l  ハンドシェイク後の認証 int wolfSSL[_CTX]_allow_post_handshake_auth(WOLFSSL[_CTX]* ctx/ssl); int wolfSSL_request_cerfﬁcate(WOLFSSL* ssl); もちろんその他に_、 TLS １．３で追加された機利用するために、機能ごとにご覧のような関それぞれに用意されているので、追加機能をする場合は必要に応じてこれらを使いますここまでご覧いただいた様に_、 wo lfS SL の_TLS 1. 能は、アプリケ_ーション側_、ユ_ーザ側としてずは、これまでの使い方とほとんど変えるこく_、そのままの形で使っていただき_、必要に順次追加していくことができる_、ということわかりいただけたかと思います。

(89)

性能の向上

安全性の向上

1.2 1.1 TLS1.0 SSL3 1.3 さてここまで、 TLS 1. 3 における安全性を高めつつ_、性能、スル_ープットを向上させる施策についてご紹介してきました_。

(90)

TLS1.3 は実質2.0の大整理

 安全性と性能の両面で改善

 性能の改善は、

まず、サーバー側での普及を加速

クライアント側はそれに追従するかたち

しばらく、

_{1.2との併存期間はあるものの}

普

及のスピードは従来より、ずっと速そ

今日は_、 Io T ネットワ_ークセキュリティの新ジョン_、 TLS 1. 3 について_、安全性と性能の両改善があること_。そしてそれが_、まずサーバ_ー及を促進し、クライアント側もそれに追従すまっていくだろうことをお話しました。もちろん_、これからしばらくの間、併存期間ものの_、普及のスピードは従来よりもだいぶ速そうです。

(91)

IoTセキュリティを真剣に考えるなら、 

ご静聴ありがとうございました。

Copyright 2017, wolfSSL Inc. All rights reserved. 実際、新バ_ージョンに_、いつごろ_、どのように対応するのがよいか、それはお客さまの製品をとりかこむ環境によっても異なってくるかとも思います_。新バ_ージョンについてさらにご興味のあるかたも_、しばらくは現バ_ージョンで頑張ってみたいとお考えのかたも_、 Io T セキュリティについて真剣にお考えなら、ぜひ、わたくしどもにご相談ください_。

Copyright 2017, wolfssl Inc. All rights reserved. 今日 TLS 1. 3 IoT TLS 新 ー 話

TLS1.3

が

やってくる！

セキュリテイ、暗号技術の専門チームです。

ここだけに

フォーカス

wolfSSL

Japan

本社はここ

Web/IoT

サーバ

IoTデバイス/

クライアント

ネットワーク通信の

安全を守る

SSL/TLS

...

...

...

TLS1.3

https://datatracker

.

ietf

.

org/doc/draft-ietf-tls-tls13

より

Internet Engineering Task Force (IETF)

インタネットプロトコルの標準化団体

現在のステータス

Draft21

Proposed Standard

（正式標準の直前）

TLS1.3 の経緯とステータス

最初のドラフト

そんなー。。

この間

1.2

に

移行したばかりなのに

それって、

実際に使われるのは

まだ先の話じゃないの？

1996

〜

2015

2002

〜

△

2015

2010

〜

△

2016

2016

〜

んじゃ、

うちは

1.2

で十分じゃね

公表されている

主な脆弱性、攻撃方法

安全性の向上

性能の低下

Web/IoT

サーバ

セキュリティ心配だけど

これ以上負荷が

あがると困るし

TLS1.3では、…

性能の向上

安全性の向上

でも、

うちはデバイス側だから、

あんまり関係ない感じ

デバイス側には

あんまり守らないといけないほど

重要な情報はないしぃ...

世界中から狙われるサーバ

玄関の鍵は

Copyright 2017, wolfssl Inc. All rights reserved. 今日 TLS 1. 3 IoT TLS 新ー話

_Draft21

メッセージ認証メッセージ改ざん検証