ビデオ会議システムにおけるエンドツーエンド暗号化の安全性

ビデオ会議システムにおけるエンドツーエンド暗号化の安全性伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） [email protected] https://sites.google.com/view/itorym/ 2021年11⽉9⽇第95回CSEC・第45回SPT・第94回EIP合同研究発表会

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性アジェンダ 2 1. はじめに n ビデオ会議システム
n エンドツーエンド暗号化 n エンドツーエンド暗号化における安全性要件 n エンドツーエンド暗号化に対する攻撃者モデル 2. Zoomのエンドツーエンド暗号化に対する安全性評価 n エンドツーエンド暗号化導⼊の背景 n プロトコル n 脆弱性，攻撃，攻撃の実⾏可能性，対策⼿法 3. エンドツーエンド暗号化SFrameに対する安全性評価 n SFrame導⼊の背景 n プロトコル n 脆弱性，攻撃，攻撃の実⾏可能性，対策⼿法

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性ビデオ会議，テレビ会議，Web会議，リモート会議，．．． n ここではビデオ会議システムと定義 n 例えば u
Zoom u Google Duo u Google Meet u Cisco Webex u Microsoft Teams u Skype u Jitsi Meet u Whereby u BlueJeans u GoToMeeting u ・・・などビデオ会議システム 3 はじめに教育，ビジネス，医療，・・・機密・プライバシー情報の保護

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化（上）とクライアント・サーバ間の暗号化（下）の違い通信するエンドユーザのみが暗号化・復号可能な⽅式 n 通信システムの提供者であってもメッセージの盗聴・改ざん不可 n スノーデン⽒の暴露事件により，国家規模の監視・盗聴に対するE2EEの必
要性が⼤サービスプロバイダ安全な通信路サービスプロバイダ安全な通信路安全な通信路 ? 4 はじめにエンドツーエンド暗号化（E2EE）

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性通信するエンドユーザのみが暗号化・復号可能な⽅式 n 通信システムの提供者であってもメッセージの盗聴・改ざん不可 n スノーデン⽒の暴露事件により，国家規模の監視・盗聴に対するE2EEの必要性が⼤
5 多くのメッセージアプリケーションやビデオ会議システムで採⽤ n Signal Protocol を採⽤ u WhatsApp, Facebook Messenger, Signal n Secure Frame (SFrame) を採⽤予定 u Google Duo, Cisco Webex, Jitsi Meet n 独⾃のプロトコルを採⽤ u iMessage (Apple), LINE, Zoom はじめにエンドツーエンド暗号化（E2EE）ビデオ会議システムの要件：リアルタイム性 n 課題：安全性要件とパフォーマンスを同時に満たすことが現状では困難

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性通信するエンドユーザのみが暗号化・復号可能な⽅式 n 通信システムの提供者であってもメッセージの盗聴・改ざん不可 n スノーデン⽒の暴露事件により，国家規模の監視・盗聴に対するE2EEの必要性が⼤
6 多くのメッセージアプリケーションやビデオ会議システムで採⽤ n Signal Protocol を採⽤ u WhatsApp, Facebook Messenger, Signal n Secure Frame (SFrame) を採⽤予定 u Google Duo, Cisco Webex, Jitsi Meet n 独⾃のプロトコルを採⽤ u iMessage (Apple), LINE, Zoom はじめにエンドツーエンド暗号化（E2EE）ビデオ会議システムの要件：リアルタイム性 n 課題：安全性要件とパフォーマンスを同時に満たすことが現状では困難

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化における安全性要件 7 はじめに n インターネットドラフト* u
第2章：エンドツーエンド暗号化の⼀般的な定義 u 第3章：エンドツーエンド暗号化に求められる安全性要件 u 第4章：エンドユーザが期待するエンドツーエンド暗号化の機能 *https://datatracker.ietf.org/doc/html/draft-knodel-e2ee-definition-02 (July 2021).

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化における安全性要件 8 はじめに機密性 Confidentiality 許可された者だけが
情報を利⽤できる暗号化完全性 Integrity 情報が正確であり完全である MAC 必須の要件（Necessary Features）付随的な要件（Optional/Desired Features）可⽤性 Availability 否認可能性 Deniability 前⽅秘匿性 Forward Secrecy 後⽅秘匿性 Post-compromised Security 真正性 Authenticity 情報やその利⽤者が本物である電⼦署名

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化に対する攻撃者モデル 9 はじめにインサイダーアウトサイダー参加者
リーダーサーバ・インフラの開発・保守担当管理者としてのアクセス権限を持っており，ネットワーク上のあらゆるデータの観測，変更，通信のバイパスが可能ミーティングへのアクセス権限を有しない正当なユーザネットワーク上のデータの監視，傍受，変更により安全性要件を破ろうとするミーティングへのアクセス権限を有している正当なミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする共有鍵の⽣成・配布，参加者の承認・排除の権限を有するミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする ※Zoomの場合のみ共有鍵を持つ共有鍵を持つ共有鍵を持たない共有鍵を持たない

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化に対する攻撃者モデル 10 はじめにインサイダー参加者リーダー
サーバ・インフラの開発・保守担当管理者としてのアクセス権限を持っており，ネットワーク上のあらゆるデータの観測，変更，通信のバイパスが可能ミーティングへのアクセス権限を有しない正当なユーザネットワーク上のデータの監視，傍受，変更により安全性要件を破ろうとするミーティングへのアクセス権限を有している正当なミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする共有鍵の⽣成・配布，参加者の承認・排除の権限を有するミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする ※Zoomの場合のみ共有鍵を持つ共有鍵を持つアウトサイダー共有鍵を持たない共有鍵を持たない

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化に対する攻撃者モデル 11 はじめにインサイダーリーダーサーバ・インフラの開発・保守担当
管理者としてのアクセス権限を持っており，ネットワーク上のあらゆるデータの観測，変更，通信のバイパスが可能ミーティングへのアクセス権限を有しない正当なユーザネットワーク上のデータの監視，傍受，変更により安全性要件を破ろうとするミーティングへのアクセス権限を有している正当なミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする共有鍵の⽣成・配布，参加者の承認・排除の権限を有するミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする ※Zoomの場合のみ共有鍵を持つアウトサイダー参加者共有鍵を持たない共有鍵を持たない共有鍵を持つ

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化に対する攻撃者モデル 12 はじめにインサイダーサーバ・インフラの開発・保守担当管理者としてのアクセス権限を持ってお
り，ネットワーク上のあらゆるデータの観測，変更，通信のバイパスが可能ミーティングへのアクセス権限を有しない正当なユーザネットワーク上のデータの監視，傍受，変更により安全性要件を破ろうとするミーティングへのアクセス権限を有している正当なミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする共有鍵の⽣成・配布，参加者の承認・排除の権限を有するミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする ※Zoomの場合のみアウトサイダー参加者リーダー共有鍵を持たない共有鍵を持たない共有鍵を持つ共有鍵を持つ

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 13 Zoomのエンドツーエンド暗号化に対する安全性評価五⼗部孝典1,2 伊藤⻯⾺2 1兵庫県⽴⼤学
2NICT ①SCIS 2021 ②ePrint 2021/486 ③ACISP 2021 ④IEEE Access

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化導⼊の背景 14 Zoomのエンドツーエンド暗号化に対する安全性評価 https://blog.zoom.us/facts-around-zoom-encryption-for-meetings-webinars/ In light
of recent interest in our encryption practices, we want to start by apologizing for the confusion we have caused by incorrectly suggesting that Zoom meetings were capable of using end-to-end encryption. […] 2020年4⽉1⽇：ZoomにE2EE機能が無いことを報告

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化導⼊の背景 15 Zoomのエンドツーエンド暗号化に対する安全性評価 https://blog.zoom.us/zoom-publishes-draft-design-of-end-to-end-encryption-offering/ Today Zoom
published a draft cryptographic design for an end-to-end-encrypted video communications offering. […] In our commitment to remaining transparent and open as we build this end-to-end encryption offering, we have published our cryptographic design for peer review on Github. 2020年5⽉22⽇：E2EEのホワイトペーパー（バージョン１）公開

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化導⼊の背景 16 Zoomのエンドツーエンド暗号化に対する安全性評価 https://blog.zoom.us/zoom-rolling-out-end-to-end-encryption-offering/ 2020年10⽉14⽇：E2EE機能の実装，技術プレビュー開始 We’re
excited to announce that starting next week, Zoom’s end-to-end encryption (E2EE) offering will be available as a technical preview, which means we’re proactively soliciting feedback from users for the first 30 days.

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 Zoom 17 n Zoom Video Communications社が提供するビデオ会議システム
n 1⽇当たりのアクティブユーザ数：約3億⼈以上（2020年4⽉現在） n E2EE導⼊計画の発表（2020年5⽉） u ホワイトペーパー*として仕様を公開 https://github.com/zoom/zoom-e2e-whitepaper u ４つのフェーズのうちフェーズ１を展開，1ヶ⽉の技術プレビュー（2020年10⽉） *2021年11⽉現在，最新版はVersion 3.2であるが，本講演では論⽂執筆時点で最新版のVersion 2.3.1を対象 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性本研究の貢献：ZoomのE2EEに対する安全性評価 18 No. 攻撃⽅法攻撃種別* 攻撃者**
結託者** 被害者** 1 なりすまし能動的 L/P - L/P 2 なりすまし受動的 I - L/P/O 3 なりすまし能動的 I L/P L/P/O 4 なりすまし能動的 O I , L L/P/O 5 なりすまし能動的 O L L/P/O 6 なりすまし能動的 O I O 7 改ざん受動的 I - L/P 8 サービス拒否受動的 I - P *能動的攻撃：ミーティングへの参加だけでなく，データの正常な送受信が可能 *受動的攻撃：攻撃を実⾏するも，データの正常な送受信は不可 **I（インサイダー）：Zoomのサーバ・インフラ管理者 ** O（アウトサイダー）：ミーティングへのアクセス権を有しないZoomユーザ ** P（参加者）：ミーティングへのアクセス権を有するZoomユーザ ** L（リーダー）：共有鍵の⽣成・配布，参加者の承認・排除の権限を有する参加者具体的な攻撃⼿順，現実世界での実現可能性，攻撃に対する効果的な対策を提案 ü 6個の脆弱性 ü 8種類の攻撃 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性本研究の貢献：ZoomのE2EEに対する安全性評価 19 No. 攻撃⽅法攻撃種別* 攻撃者**
結託者** 被害者** 1 なりすまし能動的 L/P - L/P 2 なりすまし受動的 I - L/P/O 3 なりすまし能動的 I L/P L/P/O 4 なりすまし能動的 O I , L L/P/O 5 なりすまし能動的 O L L/P/O 6 なりすまし能動的 O I O 7 改ざん受動的 I - L/P 8 サービス拒否受動的 I - P *能動的攻撃：ミーティングへの参加だけでなく，データの正常な送受信が可能 *受動的攻撃：攻撃を実⾏するも，データの正常な送受信は不可 **I（インサイダー）：Zoomのサーバ・インフラ管理者 ** O（アウトサイダー）：ミーティングへのアクセス権を有しないZoomユーザ ** P（参加者）：ミーティングへのアクセス権を有するZoomユーザ ** L（リーダー）：共有鍵の⽣成・配布，参加者の承認・排除の権限を有する参加者具体的な攻撃⼿順，現実世界での実現可能性，攻撃に対する効果的な対策を提案設計者らの想定 n 参加者がインサイダーと結託することで別の参加者へのなりすまし可能 u インサイダーとの結託による攻撃は仕様上の制約事項と主張設計者らの想定よりも強⼒な攻撃が可能 n インサイダーが結託なしで任意のユーザへなりすまし可能 u データの正常な送受信は不可（受動的攻撃） n インサイダーが参加者と結託することで任意のユーザへなりすまし可能 u データの正常な送受信も可能（能動的攻撃） Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 Zoom Video Communications社への情報開⽰ 20 n 2020年11⽉：hackerone*を通じて報告済み（公開，発表の許可も取得済み）
n 2020年12⽉：ホワイトペーパーのバージョン更新（2.3.1 → 3） u 攻撃２−６について仕様上の制約事項であることを明記（フェーズ２で強化） u フェーズ２のメジャーアップデート，謝辞の追加 *https://hackerone.com/zoom?type=team Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 ZoomにおけるE2EEセッション確⽴プロトコル 21 1. 参加者 i の⻑期署名鍵ペア
(IVKi , ISKi ) の⽣成 u ZoomアプリケーションがE2EEをサポート後に⽣成 u Local Key Securityメカニズムによる鍵ペアの保存 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 3. リーダーによる共有鍵 MK の⽣成 4. 参加者 i の署名 Sigi の検証 5. 共有鍵 MK の共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA 参加者B 掲⽰板* *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの (IVKA , ISKA ) (IVKB , ISKB ) IVKA IVKB ⾚字：脆弱性に関係 Zoomのエンドツーエンド暗号化に対する安全性評価

(IVKi , ISKi ) の⽣成 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 u EdDSA over Ed25519による署名⽣成：Sigi ← Sign.Sign(ISKi , Context ∥ Bindingi ) l Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) 3. リーダーによる共有鍵 MK の⽣成 4. 参加者 i の署名 Sigi の検証 5. 共有鍵 MK の共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA 参加者B 掲⽰板* *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの (skA , pkA ) BindingA (skB , pkB ) BindingB meetingID, meetingUUID meetingID, meetingUUID pkA , SigA pkB , SigB ⾚字：脆弱性に関係 Zoomのエンドツーエンド暗号化に対する安全性評価

(IVKi , ISKi ) の⽣成 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 3. リーダーによる共有鍵 MK の⽣成 u 32バイト乱数 u AES-GCMの秘密鍵 4. 参加者 i の署名 Sigi の検証 5. 共有鍵 MK の共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA 参加者B 掲⽰板* *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの MK ← rand() ⾚字：脆弱性に関係 Zoomのエンドツーエンド暗号化に対する安全性評価

(IVKi , ISKi ) の⽣成 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 3. リーダーによる共有鍵 MK の⽣成 4. 参加者 i の署名 Sigi の検証 u 署名検証： True/False ← Sign.Verify(IVKi , Sigi , Context ∥ Bindingi ) l Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) 5. 共有鍵 MK の共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA 参加者B 掲⽰板* *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの IVKB IVKA BindingB BindingA ⾚字：脆弱性に関係 pkB , SigB pkA , SigA Zoomのエンドツーエンド暗号化に対する安全性評価

(IVKi , ISKi ) の⽣成 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 3. リーダーによる共有鍵 MK の⽣成 4. 参加者 i の署名 Sigi の検証 5. 共有鍵 MK の共有 u ECDH鍵共有により共有鍵 MK を暗号化するための秘密鍵を共有 u XChaCha20/Poly-1305により共有鍵 MK を暗号化して共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの掲⽰板* 参加者B pkB pkA , (B, CB ) (skA , pkA ) MK (skB , pkB ) (B, CB ) → MK (B, CB ) ⾚字：脆弱性に関係 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 Local Key Securityメカニズム 26 共有デバイス上で複数ユーザの⻑期署名鍵を管理するメカニズム n
参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) u IVKi はZoomサーバに， ISKi はデバイス上に保存 1. キーラッピング鍵 KWKi を⽣成，IVKi とともにサーバに保存 2. Context ← “Zoombase-1-ClientOnly-KDF-SecretStore” 3. Ci ← CtE1-Enc(K=KWKi , H=Context, M=ISKi ) u CtE1: コミットメント認証暗号⽅式，H: 関連データ ZoomサーバリーダーA 参加者B (IVKA , ISKA ) (IVKB , ISKB ) 共有デバイス CA CB Zoomのエンドツーエンド暗号化に対する安全性評価 IVKA , KWKA IVKB , KWKB

参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) u IVKi はZoomサーバに， ISKi はデバイス上に保存 1. キーラッピング鍵 KWKi を⽣成，IVKi とともにサーバに保存 2. Context ← “Zoombase-1-ClientOnly-KDF-SecretStore” 3. Ci ← CtE1-Enc(K=KWKi , H=Context, M=ISKi ) u CtE1: コミットメント認証暗号⽅式，H: 関連データ ZoomサーバリーダーA 参加者B (IVKA , ISKA ) (IVKB , ISKB ) IVKA , KWKA IVKB , KWKB 共有デバイス CA CB Zoomのエンドツーエンド暗号化に対する安全性評価

参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) u IVKi はZoomサーバに， ISKi はデバイス上に保存 1. キーラッピング鍵 KWKi を⽣成，IVKi とともにサーバに保存 2. Context ← “Zoombase-1-ClientOnly-KDF-SecretStore” 3. Ci ← CtE1-Enc(K=KWKi , H=Context, M=ISKi ) u CtE1: コミットメント認証暗号⽅式，H: 関連データ ZoomサーバリーダーA 参加者B (IVKA , ISKA ) (IVKB , ISKB ) 共有デバイス CA CB Zoomのエンドツーエンド暗号化に対する安全性評価 IVKA , KWKA IVKB , KWKB

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 ZoomのE2EEに対する安全性評価 29 No. 攻撃⽅法攻撃種別* 攻撃者**
結託者** 被害者** 1 なりすまし能動的 L/P - L/P 2 なりすまし受動的 I - L/P/O 3 なりすまし能動的 I L/P L/P/O 4 なりすまし能動的 O I , L L/P/O 5 なりすまし能動的 O L L/P/O 6 なりすまし能動的 O I O 7 改ざん受動的 I - L/P 8 サービス拒否受動的 I - P *能動的攻撃：ミーティングへの参加だけでなく，データの正常な送受信が可能 *受動的攻撃：攻撃を実⾏するも，データの正常な送受信は不可 **I（インサイダー）：Zoomのサーバ・インフラ管理者 ** O（アウトサイダー）：ミーティングへのアクセス権を有しないZoomユーザ ** P（参加者）：ミーティングへのアクセス権を有するZoomユーザ ** L（リーダー）：共有鍵の⽣成・配布，参加者の承認・排除の権限を有する参加者具体的な攻撃⼿順，現実世界での実現可能性，攻撃に対する効果的な対策を提案 Zoomのエンドツーエンド暗号化に対する安全性評価 ü 6個の脆弱性 ü 8種類の攻撃

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃１：エンティティ認証⽋如に基づくなりすまし 30 脆弱性１を悪⽤した（能動的）なりすまし n 攻撃者：リーダー⼜は参加者（結託者：なし） n
被害者：任意の参加者（リーダーも含む） n 攻撃⼿順： 1. 攻撃者がプロトコルに従って共有鍵 MK を⼊⼿ 2. コンテンツを暗号化し，被害者のメタ情報（送信者IDなど）を付加して送信脆弱性１（エンティティ認証⽋如）ミーティングコンテンツに対するエンティティ認証の⽋如 Ø 共有鍵 MK による AES-GCM での暗号化：機密性，完全性はOK，真正性はNG 参加者被害者掲⽰板 MK MK リーダー MK ① ② ② ① ① Zoomのエンドツーエンド暗号化に対する安全性評価

被害者：任意の参加者（リーダーも含む） n 攻撃⼿順： 1. 攻撃者がプロトコルに従って共有鍵 MK を⼊⼿ 2. コンテンツを暗号化し，被害者のメタ情報（送信者IDなど）を付加して送信脆弱性１（エンティティ認証⽋如）ミーティングコンテンツに対するエンティティ認証の⽋如 Ø 共有鍵 MK による AES-GCM での暗号化：機密性，完全性はOK，真正性はNG 考察 n 実現可能性：なりすまし⽤コンテンツの事前準備により実現可能性は⾼い u 被害者の信頼失墜，被害者への通信妨害 n 対策：署名添付 ※パフォーマンスと否認防⽌の観点から今後の課題（ホワイトペーパー記載） Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 35 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，リーダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能※ホワイトペーパー記載
脆弱性３（Bindingの再利⽤） Bindingi は参加者 i の⻑期署名鍵 ISKi で署名 Ø Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) • meetingID ∥ meetingUUID：インサイダーが⽣成（意図的に再利⽤可能） • 参加者の公開鍵 pki ：過去の掲⽰板から⼊⼿可能（脆弱性２を悪⽤） Ø 過去と同じ Bindingi を⽣成可能 → 過去と同じ Sigi を⽣成可能脆弱性４（リーダーによる共有鍵の⽣成）共有鍵の⽣成に関与しているのはリーダーのみ（意図的に再利用可能） Ø MK ← rand() ※32バイト乱数, AES-GCMの秘密鍵 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２：任意のZoomユーザへのなりすまし 38 脆弱性２，３を悪⽤した（受動的）なりすまし n 攻撃者：インサイダー（結託者：なし） n
被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が収集した SigA と pkA を新しい掲⽰板に投稿 → 署名を正常に検証可能 ① pkA , SigA ③ ユーザAとしてミーティングへの参加のみ可能 ③ pkA , SigA ② BindingA BindingA Zoomのエンドツーエンド暗号化に対する安全性評価掲⽰板被害者A 掲⽰板参加者リーダー新しいミーティング過去のミーティングインサイダー

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性新しいミーティング過去のミーティング攻撃３：任意のZoomユーザへのなりすまし 42 脆弱性１，２，３を悪⽤した（能動的）なりすまし n
攻撃者：インサイダー（結託者：リーダー⼜は参加者） n 被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が新しい掲⽰板に収集した SigA と pkA を投稿 → 署名を正常に検証可能 4. 結託者から共有鍵 MK を⼊⼿，被害者Aのメタ情報を付加してコンテンツ送信 → データの正常な送受信も可能インサイダー掲⽰板被害者A 掲⽰板参加者リーダー ① ③ pkA , SigA ③ ④ ④ pkA , SigA ② BindingA BindingA MK Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃３：任意のZoomユーザへのなりすまし 43 脆弱性１，２，３を悪⽤した（能動的）なりすまし n 攻撃者：インサイダー（結託者：リーダー⼜は参加者） n
被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が新しい掲⽰板に収集した SigA と pkA を投稿 → 署名を正常に検証可能 4. 結託者から共有鍵 MK を⼊⼿，被害者Aのメタ情報を付加してコンテンツ送信 → データの正常な送受信も可能設計者らの想定：避けられない攻撃 n 共有鍵 MK を⼊⼿した攻撃者は容易にコンテンツの盗聴が可能設計者らの想定よりも強⼒な攻撃（攻撃３）が可能 n インサイダーが共有鍵 MK を⼊⼿して任意のユーザへなりすまし可能 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃４：任意のZoomユーザへのなりすまし 44 脆弱性１−４を悪⽤した（能動的）なりすまし n 攻撃者：アウトサイダー（結託者：インサイダー，リーダー） n
被害者：任意のZoomユーザB（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. リーダーが過去の掲⽰板に投稿された SigB と pkB を収集，攻撃者と共有 2. インサイダーが過去の meetingID と meetingUUID を再利⽤ 3. リーダーが過去の共有鍵 MK を再利⽤（攻撃者と共有） 4. 攻撃者が新しい掲⽰板に収集した SigB と pkB を投稿 → 署名を正常に検証可能新しいミーティング過去のミーティングインサイダー掲⽰板掲⽰板参加者 ① pkB , SigB 被害者B アウトサイダーリーダー ①③ ② ④ ④ pkB , SigB BindingB BindingB MK Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 49 実現可能性 n シナリオ（案）：重要な交渉を有利に進めたい場合 1.
ユーザAがリーダーとなってZoomミーティングを主催 2. 攻撃⼿順に従い，Aがインサイダー⼜はアウトサイダーに対し，相⼿⽅のユーザBにとって影響⼒のある⼈物Cになりすますよう指⽰ 3. Cがコンテンツを何も発信しなければ，BはCから無⾔の圧⼒をかけられていると感じ，Bにとって交渉が思い通りに進まない可能性が⼤インサイダーリーダーA 参加者B ② ① ③ Zoomのエンドツーエンド暗号化に対する安全性評価 C

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 53 対策：脆弱性３を回避 n Bindingに時間情報timeを付加（例：ミーティング開始⽇時など） u
Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ∥ time) n 署名検証時に時間情報を検証するフローを追加脆弱性３（Bindingの再利⽤） Bindingi は参加者 i の⻑期署名鍵 ISKi で署名 Ø Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) • meetingID ∥ meetingUUID：インサイダーが⽣成（意図的に再利⽤可能） • 参加者の公開鍵 pki ：過去の掲⽰板から⼊⼿可能（脆弱性２を悪⽤） Ø 過去と同じ Bindingi を⽣成可能 → 過去と同じ Sigi を⽣成可能効果 n 過去と同じBindingを⽣成するために時間情報timeも再利⽤する必要有り n 署名検証時に時間情報timeの不正検出可能 → 攻撃２−４を全て防ぐことが可能 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 54 対策：脆弱性３を回避 n Bindingに時間情報timeを付加（例：ミーティング開始⽇時など） u
Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ∥ time) n 署名検証時に時間情報を検証するフローを追加脆弱性３（Bindingの再利⽤） Bindingi は参加者 i の⻑期署名鍵 ISKi で署名 Ø Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) • meetingID ∥ meetingUUID：インサイダーが⽣成（意図的に再利⽤可能） • 参加者の公開鍵 pki ：過去の掲⽰板から⼊⼿可能（脆弱性２を悪⽤） Ø 過去と同じ Bindingi を⽣成可能 → 過去と同じ Sigi を⽣成可能効果 n 過去と同じBindingを⽣成するために時間情報timeも再利⽤する必要有り n 署名検証時に時間情報timeの不正検出可能 → 攻撃２−４を全て防ぐことが可能 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃５：任意のZoomユーザへのなりすまし 55 概要：脆弱性１−４を悪⽤した（能動的）なりすまし n 攻撃者：アウトサイダー（結託者：インサイダー，リーダー） n
被害者：任意のZoomユーザB（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. リーダーが過去の掲⽰板に投稿された SigB と pkB を収集，攻撃者と共有 2. meetingID をリーダーが⽣成（固定ID），meetingUUID を261回の試⾏で衝突 3. リーダーが過去の共有鍵 MK を再利⽤（攻撃者と共有） 4. 攻撃者が新しい掲⽰板に収集した SigB と pkB を投稿 → 署名を正常に検証可能新しいミーティング過去のミーティングインサイダー掲⽰板掲⽰板参加者 ① pkB , SigB 被害者B アウトサイダーリーダー ①③ ② ④ ④ pkB , SigB BindingB BindingB MK Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃５：任意のZoomユーザへのなりすまし 56 実現可能性 n シナリオ（案）：重要な交渉を有利に進めたい場合 n
攻撃５の実現可能性：meetingUUIDの衝突 u 1⽇当たりアクティブユーザ数：約3億⼈以上（2020年4⽉現在） u 1セッション当たりのミーティング参加者：最⼤1000⼈ l 1年間で約226〜236セッション → 261回の試⾏（攻撃５）は現実的に困難 Zoomのエンドツーエンド暗号化に対する安全性評価インサイダーリーダーA 参加者B ② ① ③ C

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃６：共有デバイス上の別ユーザへのなりすまし 57 Local Key Securityメカニズム 1.
キーラッピング鍵 KWKi を⽣成，ユーザと紐付けてサーバに保存 2. Context ← “Zoombase-1-ClientOnly-KDF-SecretStore” 3. Ci ← CtE1-Enc(K=KWKi , H=Context, M=ISKi ) ZoomサーバリーダーA 参加者B (IVKA , ISKA ) (IVKB , ISKB ) KWKA KWKB 共有デバイス CA CB 脆弱性５（⻑期署名鍵の保存）参加者の⻑期署名鍵ISKi はインサイダーが⽣成するKWKで暗号化 Ø 暗号⽂は参加者のデバイス上，KWKはZoomサーバ上に保存 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃６：共有デバイス上の別ユーザへのなりすまし 58 脆弱性１，５を悪⽤した（能動的）なりすまし n 攻撃者・結託者：インサイダー／アウトサイダー n
被害者：アウトサイダーとデバイスを共有するZoomユーザC n 攻撃⼿順： 1. アウトサイダーが ISKC の暗号⽂を⼊⼿ 2. アウトサイダーが ISKC の暗号⽂をインサイダーと共有，⼜はインサイダーから Cと紐付けられた KWK を⼊⼿ 3. 攻撃者がKWKでISKC の暗号⽂を復号 → Cとしてミーティングに参加可能対策 n KWKの保存を信頼できる第三者機関に委託，⼜は秘密分散法を活⽤インサイダー (IVKC , ISKC ) KWKC CC 参加者被害者C アウトサイダー ① ② ③ ③ Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃７：コンテンツの改ざんに対する安全性 63 脆弱性６（Nonceの誤⽤）ミーティングコンテンツは参加者共通の共有鍵 MK を⽤いてAES-GCMで暗号化
Ø Nonceの誤⽤によりAES-GCMにおける既知の攻撃が成⽴脆弱性６を悪⽤した（受動的）改ざん n 攻撃者：インサイダー n 結託者：なし n 被害者：リーダー⼜は参加者 n 攻撃⼿順： 1. 攻撃者は被害者が同じNonceを再利⽤するような脆弱性を埋め込む． 2. 被害者がNonceを再利⽤して暗号化したコンテンツを送信 3. 攻撃者がコンテンツを傍受 4. 攻撃者がAES-GCMに対する既知の攻撃を適⽤ → 認証鍵を⼊⼿対策 n misuse-resistance authenticated encryption (MRAE) の採⽤ Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃８：サービス拒否に対する安全性 66 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能
脆弱性２を悪⽤した（受動的）サービス拒否 n 攻撃者：インサイダー n 結託者：なし n 被害者：参加者D n 攻撃⼿順： 1. 被害者Dが SigD と pkD を掲⽰板に投稿 2. インサイダーが pkD を差し替え 3. リーダーによる署名の検証 → 検証に失敗考察 n 実現可能性：参加者から依頼を受けてインサイダーが容易に実⾏可能 n 対策：掲⽰板の管理を第三者機関に委託，⼜は掲⽰板の内容を暗号化インサイダー掲⽰板被害者D リーダー ① ② ③ Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性まとめ 72 No. 攻撃⽅法攻撃種別* 攻撃者**
結託者** 被害者** 1 なりすまし能動的 L/P - L/P 2 なりすまし受動的 I - L/P/O 3 なりすまし能動的 I L/P L/P/O 4 なりすまし能動的 O I , L L/P/O 5 なりすまし能動的 O L L/P/O 6 なりすまし能動的 O I O 7 改ざん受動的 I - L/P 8 サービス拒否受動的 I - P *能動的攻撃：ミーティングへの参加だけでなく，データの正常な送受信が可能 *受動的攻撃：攻撃を実⾏するも，データの正常な送受信は不可 **I（インサイダー）：Zoomのサーバ・インフラ管理者 ** O（アウトサイダー）：ミーティングへのアクセス権を有しないZoomユーザ ** P（参加者）：ミーティングへのアクセス権を有するZoomユーザ ** L（リーダー）：共有鍵の⽣成・配布，参加者の承認・排除の権限を有する参加者具体的な攻撃⼿順，現実世界での実現可能性，攻撃に対する効果的な対策を提案 ü 6個の脆弱性 ü 8種類の攻撃 Zoomのエンドツーエンド暗号化に対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 73 エンドツーエンド暗号化SFrame に対する安全性評価五⼗部孝典1,2 伊藤⻯⾺2 峯松⼀彦3
1兵庫県⽴⼤学 2NICT 3NEC ①CSS 2021 ②ePrint 2021/424 ③ESORICS 2021

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame導⼊の背景 74 WebRTC (Web Real-Time Communication)
n ブラウザ上においてサーバを介さない P2P (Pear to Pear) のリアルタイム通信（⾳声，映像，チャット，データ，など）を実現するシステム n DTLS-SRTP*1,2を採⽤：Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 *1DTLS (Datagram Transport Layer Security): UDP上でセキュリティを実現するためのプロトコル *2RTP (Real-time Transport Protocol): インターネットでリアルタイムデータを転送するためにUDP上で動作するプロトコル，DTLSと組み合わせることでSRTP (Secure RTP) となる． https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer DTLS-SRTP Hop-by-Hop Encryption

n ブラウザ上においてサーバを介さない P2P (Pear to Pear) のリアルタイム通信（⾳声，映像，チャット，データ，など）を実現するシステム n DTLS-SRTPを採⽤：Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 n メディアサーバ（SFU*1サーバ）を導⼊可 ※参加者増加に対応 *1SFU (Selective Forwarding Unit): サーバを経由して⾳声，映像の視聴者増加に伴う端末への負荷を軽減するもの https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ DTLS-SRTP Hop-by-Hop Encryption Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer Media Server Unencrypted Storage ! Inside Media Server No Encryption Layer

n ブラウザ上においてサーバを介さない P2P (Pear to Pear) のリアルタイム通信（⾳声，映像，チャット，データ，など）を実現するシステム n DTLS-SRTPを採⽤：Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 n メディアサーバ（SFU*1サーバ）を導⼊可 ※参加者増加に対応 *1SFU (Selective Forwarding Unit): サーバを経由して⾳声，映像の視聴者増加に伴う端末への負荷を軽減するもの https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ DTLS-SRTP Hop-by-Hop Encryption Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer Media Server Unencrypted Storage ! Inside Media Server No Encryption Layer 問題点： DTLS-SRTPではメディアサーバにてコンテンツが復号される Ø 中間サーバが信頼できない場合，中間サーバがコンテンツにアクセスできないような新しいスキームを準備する必要がある

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame導⼊の背景 77 WebRTC + SFrame n
WebRTC: Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 n SFrame: End-to-End (Media) Encryption https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ DTLS-SRTP Hop-by-Hop Encryption Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer Media Server Unencrypted Storage ? Inside Media Server E2EE Layer End-to-End Encryption User provided key

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame導⼊の背景 78 WebRTC + SFrame n
WebRTC: Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 n SFrame: End-to-End (Media) Encryption https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ DTLS-SRTP Hop-by-Hop Encryption Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer Media Server Unencrypted Storage ? Inside Media Server E2EE Layer End-to-End Encryption User provided key メディアサーバはサーバ機能を維持するために必要なメタデータのみアクセス可 Ø エンドユーザはサーバを信頼できない場合でも安全にコンテンツを送受信可

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame 79 [OUGM21] E. Omara et
al. Secure Frame (SFrame). https://tools.ietf.org/html/draft-omara-sframe-03 (October 2021). リアルタイム通信⽤のE2EE技術 n 設計者：GoogleとCoSMo softwareのグループ n 仕様書：インターネットドラフト [OUGM21] u 暗号プロトコル：認証暗号，ハッシュ関数，署名アルゴリズム u 鍵交換プロトコル：Signal，Olm，MLSなどを利⽤ n 標準化動向 u 2020-05-19: draft-omara-sframe00 u 2020-11-16: draft-omara-sframe01 u 2021-03-29: draft-omara-sframe02 u 2021-09-17: draft-omara-sframe03 今ここエンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame 80 リアルタイム通信⽤のE2EE技術 n 設計者：GoogleとCoSMo softwareのグループ
n 仕様書：インターネットドラフト [OUGM21] u 暗号プロトコル：認証暗号，ハッシュ関数，署名アルゴリズム u 鍵交換プロトコル：Signal，Olm，MLSなどを利⽤ n 標準化動向 u 2020-05-19: draft-omara-sframe00 u 2020-11-16: draft-omara-sframe01 u 2021-03-29: draft-omara-sframe02 u 2021-09-17: draft-omara-sframe03 今ここエンドツーエンド暗号化SFrameに対する安全性評価評価対象はここ

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性暗号プロトコル（draft-omara-sframe-01） 81 frame_metadata frame 𝑀 S
header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 82 frame_metadata frame 𝑀 S header
KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝑲𝒆 𝑲𝑰𝑫 ，認証鍵*1 𝑲𝒂 𝑲𝑰𝑫 ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑵 ⽣成 l 𝒔𝒂𝒍𝒕𝑲𝑰𝑫: KeyStore[KID], HKDF l 𝑵 = 𝒔𝒂𝒍𝒕𝑲𝑰𝑫 ⊕ 𝐂𝐓𝐑 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝑲𝒆 𝐊𝐈𝐃, 𝑲𝒂 𝐊𝐈𝐃, 𝑵, 𝐚𝐚𝐝, 𝑴 l 出⼒：𝑪, 𝑻𝒊 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝑲𝐬𝐢𝐠 , 𝑻𝒊 ∥ 𝑻𝒊*𝟏 ∥ ⋯ ∥ 𝑻𝒊*𝒙) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性暗号プロトコル（draft-omara-sframe-01） 87 No. 名称鍵⻑ナンス⻑
タグ⻑ 1 AES_CM_128_HMAC_SHA256_8 16バイト 12バイト 8バイト 2 AES_CM_128_HMAC_SHA256_4 16バイト 12バイト 4バイト 3 AES_GCM_128_SHA256 16バイト 12バイト N/A 4 AES_GCM_256_SHA512 32バイト 12バイト N/A *CM: カウンタモード n 認証暗号 u AES-GCM，AES-CM-HMAC (AES-CTRとHMACの⼀般的構成) n ハッシュ関数 u SHA256，SHA512 n 署名アルゴリズム u EdDSA over Ed25519，ECDSA over P-521 u タグ（のリスト）に対して署名を計算暗号スイートエンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性暗号プロトコル（draft-omara-sframe-01） 88 No. 名称鍵⻑ナンス⻑
タグ⻑ 1 AES_CM_128_HMAC_SHA256_8 16バイト 12バイト 8バイト 2 AES_CM_128_HMAC_SHA256_4 16バイト 12バイト 4バイト 3 AES_GCM_128_SHA256 16バイト 12バイト N/A 4 AES_GCM_256_SHA512 32バイト 12バイト N/A *CM: カウンタモード n 認証暗号 u AES-GCM，AES-CM-HMAC (AES-CTRとHMACの⼀般的構成) n ハッシュ関数 u SHA256，SHA512 n 署名アルゴリズム u EdDSA over Ed25519，ECDSA over P-521 u タグ（のリスト）に対して署名を計算暗号スイート Sig = Sign(𝐾+,- , 𝑻𝒊 ∥ 𝑻𝒊/𝟏 ∥ ⋯ ∥ 𝑻𝒊/𝒙) エンドツーエンド暗号化SFrameに対する安全性評価⾚字：脆弱性に関係

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性本研究の貢献 89 No. 対象タグ⻑*1 攻撃種別
攻撃者*2 備考 1 認証暗号任意 - - 問題点*3を議論 2 AES-CM-HMAC 短偽造攻撃 P - 3 AES-CM-HMAC ⻑ - - 安全性証明済 4 AES-GCM 任意偽造攻撃 P - 5 AES-GCM 短認証鍵回復攻撃 O - *1 8バイト以下が短いタグ⻑，それ以上が⻑いタグ⻑と仮定（攻撃者の能⼒に依存） *2 O（アウトサイダー）：ミーティングへのアクセス権を有しないユーザ *2 P（参加者）：ミーティングへのアクセス権を有するユーザ，グループ鍵を所有 *3 SFrameでは安全であるものの，⼀般的構成を考えた場合に安全性が損なわれる問題具体的な攻撃⽅法，その実⾏可能性，攻撃に対する効果的な対策⼿法を提案認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥を発⾒ 2021年3⽉：SFrameの設計者に報告済，ドラフト更新（01 → 02） n 問題点*3の改善，仕様から署名アルゴリズムを削除エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性本研究の貢献 90 No. 対象タグ⻑*1 攻撃種別

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果１：SFrameで使⽤する認証暗号の安全性 91 以下で⽰す⼀般的な仮定の下で安全 n AES：擬似ランダム置換 n
HMAC：擬似ランダム関数問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる l 𝑁を偽造 → タグ検証は正常に⾏われるが，正しい平⽂が得られないエンドツーエンド暗号化SFrameに対する安全性評価 Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝐚𝐚𝐝, 𝑪) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure

HMAC：擬似ランダム関数問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる l 𝑁を偽造 → タグ検証は正常に⾏われるが，正しい平⽂が得られない Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝐚𝐚𝐝, 𝑪) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure エンドツーエンド暗号化SFrameに対する安全性評価

HMAC：擬似ランダム関数問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる l 𝑁を偽造 → タグ検証は正常に⾏われるが，正しい平⽂が得られない Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝐾% "#$, aad, 𝐶) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 94 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u
タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏被害者参加者参加者エンドツーエンド暗号化SFrameに対する安全性評価

タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑵, 𝐚𝐚𝐝, 𝑴 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏被害者参加者参加者エンドツーエンド暗号化SFrameに対する安全性評価

タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑵, 𝐚𝐚𝐝, 𝑴 に対応する暗号⽂ 𝑪 と 𝝉 ビットタグ 𝑻 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏被害者参加者参加者エンドツーエンド暗号化SFrameに対する安全性評価

タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝑪, 𝑻 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏被害者参加者参加者 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮ エンドツーエンド暗号化SFrameに対する安全性評価

タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑴 で 𝟐𝒕 回繰り返し実⾏被害者参加者参加者 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮ エンドツーエンド暗号化SFrameに対する安全性評価

タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲット（被害者）から送信されたフレーム 𝑵, 𝐚𝐚𝐝, 𝑪,, 𝑻,, 𝐒𝐢𝐠 を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, aad, 𝐶∗, 𝑇′, Sig を他の参加者に送信被害者参加者参加者 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮ 𝑁, aad, 𝑪2, 𝑻2, Sig エンドツーエンド暗号化SFrameに対する安全性評価

タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲット（被害者）から送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑻∗ = 𝑻, かつ 𝑪∗ ≠ 𝑪, となる 𝑪∗, 𝑻∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, aad, 𝐶∗, 𝑇′, Sig を他の参加者に送信被害者参加者参加者 𝑁, aad, 𝑪2, 𝑻2, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′ エンドツーエンド暗号化SFrameに対する安全性評価

タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲット（被害者）から送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝑪, を 𝑪∗ に差し替えたフレーム 𝑵, 𝐚𝐚𝐝, 𝑪∗, 𝑻′, 𝐒𝐢𝐠 を他の参加者に送信被害者参加者参加者 𝑁, aad, 𝑪2, 𝑻2, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′ 𝑁, aad, 𝑪∗, 𝑻′, Sig エンドツーエンド暗号化SFrameに対する安全性評価

タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲット（被害者）から送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, 𝑎𝑎𝑑, 𝐶∗, 𝑇′, Sig を他の参加者に送信被害者参加者参加者 𝑁, aad, 𝑪2, 𝑻2, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′ 𝑁, aad, 𝑪∗, 𝑻′, Sig タグ長が4バイトの場合： n 232 通りの 𝑪∗, 𝑻∗ ペアを事前計算テーブルに保存 n 攻撃成功確率：1 エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果３：⻑いタグを出⼒するAES-CM-HMACの安全性 103 定理１．𝒜 を AES-CM-HMAC に対する
SCU 攻撃者とする．この時，AES-CM- HMAC に対する 𝒜 の SCU advantage は，𝐻 に対していかなる eSec 攻撃者 𝒜, が存在する場合においても，以下の不等式が成⽴する． 𝐀𝐝𝐯𝐀𝐄𝐒1𝐂𝐌1𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 9 ℓ< 𝓐, ここで， ℓ, はハッシュ関数への⼊⼒ビット⻑ ℓ に1ブロック分のビット⻑を追加した値を表す．ハッシュ関数が SHA256 の場合は ℓ, = ℓ+512 である． SCU 安全性 [DGRW18] n 攻撃者に秘密鍵が与えられた状況でメッセージの偽造困難性を保証 Second-ciphertext Unforgeability (SCU) 安全な認証暗号 [DGRW18] Y. Dodis et al. Fast Message Franking: From Invisible salamanders to encryptment. In CRYPTO 2018. [RS04] P. Rogaway and T. Shrimpton. Cryptographic Hash Function Basics. In FSE 2004. Everywhere Second-Preimage (eSec) 耐性 [RS04] n ⼀般的な第2原像計算困難性よりも強⼒な安全性要件 u 𝑚4 が与えられた状況で𝐻 𝑚4 = 𝐻 𝑚5 となる𝑚5 を⾒つけることが困難エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果４：任意⻑のタグを出⼒するAES-GCMの安全性 104 GHASH演算の具体例： n 2ブロックのメッセージ M
= (M1 , M2 ) と 1ブロックの関連データ aad = aad1 𝑪𝟐 , G 𝑳𝟐 = 𝑻 ⊕ 𝐚𝐚𝐝𝟏 , G 𝑳𝟒 ⊕ 𝑪𝟏 , G 𝑳𝟑 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏 , , 𝑪, G 𝑳 ⊕ 𝑬𝑲 𝑵, ∥ 𝟏 攻撃⼿順 1. 任意の 𝑴𝟏 , , 𝑵,, 𝐚𝐚𝐝𝟏 , を選択し，𝑪𝟏 , を計算 2. 以下の等式が成り⽴つように 𝑪𝟐 , を決定悪意のある参加者によって偽造攻撃が可能 n 問題点：GHASH関数の線形性（鍵が与えられた状況で容易に偽造可能） u タグ（のリスト）に対して署名Sigを計算エンドツーエンド暗号化SFrameに対する安全性評価 𝐶? = 𝐸" 𝑁 ∥ 𝑖 + 1 ⊕ 𝑀? *認証鍵：𝐿 = 𝐸" 0@AB 𝑻 = GHASH 𝐿, aad ∥ 𝐶 ∥ Len aad, 𝐶 ⊕ 𝐸" 𝑁 ∥ 1 = 𝐚𝐚𝐝𝟏 G 𝑳𝟒 ⊕ 𝑪𝟏 G 𝑳𝟑 ⊕ 𝑪𝟐 G 𝑳𝟐 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏, 𝑪 G 𝑳 ⊕ 𝑬𝑲 𝑵 ∥ 𝟏

= (M1 , M2 ) と 1ブロックの関連データ aad = aad1 𝐶? = 𝐸" 𝑁 ∥ 𝑖 + 1 ⊕ 𝑀? *認証鍵：𝐿 = 𝐸" 0@AB 𝑻 = GHASH 𝐿, aad ∥ 𝐶 ∥ Len aad, 𝐶 ⊕ 𝐸" 𝑁 ∥ 1 = 𝐚𝐚𝐝𝟏 G 𝑳𝟒 ⊕ 𝑪𝟏 G 𝑳𝟑 ⊕ 𝑪𝟐 G 𝑳𝟐 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏, 𝑪 G 𝑳 ⊕ 𝑬𝑲 𝑵 ∥ 𝟏 𝑪𝟐 , G 𝑳𝟐 = 𝑻 ⊕ 𝐚𝐚𝐝𝟏 , G 𝑳𝟒 ⊕ 𝑪𝟏 , G 𝑳𝟑 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏 , , 𝑪, G 𝑳 ⊕ 𝑬𝑲 𝑵, ∥ 𝟏 攻撃⼿順 1. 任意の 𝑴𝟏 , , 𝑵,, 𝐚𝐚𝐝𝟏 , を選択し，𝑪𝟏 , を計算 2. 以下の等式が成り⽴つように 𝑪𝟐 , を決定悪意のある参加者によって偽造攻撃が可能 n 問題点：GHASH関数の線形性（鍵が与えられた状況で容易に偽造可能） u タグ（のリスト）に対して署名Sigを計算エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果５：短いタグを出⼒するAES-GCMの安全性 108 t 32 64 L
q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量アウトサイダーによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 2* のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] エンドツーエンド暗号化SFrameに対する安全性評価

q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量アウトサイダーによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 2* のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] エンドツーエンド暗号化SFrameに対する安全性評価

q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量アウトサイダーによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 𝟐𝒕 のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性対策 111 [DGRW18] Dodis et al.
Fast message franking: From invisible salamanders to encryptment. In CRYPTO 2018 短いタグを出⼒するAES-CM-HMACへの偽造攻撃 n 短いタグ⻑，特に4バイトのタグを出⼒するAES-CM-HMACを使⽤しない任意⻑のタグを出⼒するAES-GCMへの偽造攻撃 n タグ（のリスト）だけでなくフレーム全体に対して署名を計算短いタグを出⼒するAES-GCMへの認証鍵回復攻撃 n 短いタグを出⼒するAES-GCMを使⽤しない n NISTが⽰す制約事項を仕様に明記その他 n HFC [DGRW18] のような安全なEncryptment⽅式を採⽤エンドツーエンド暗号化SFrameに対する安全性評価

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性まとめ 112 No. 対象タグ⻑*1 攻撃種別

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性全体のまとめ 113 1. Zoomのエンドツーエンド暗号化に対する安全性評価 n 6個の脆弱性
n 8種類の攻撃 n 攻撃の実⾏可能性 n 効果的な対策の提案 2. エンドツーエンド暗号化SFrameに対する安全性評価 n 認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥 n 3種類の攻撃 n 安全性証明 n 攻撃の実⾏可能性 n 効果的な対策の提案

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性参考資料

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 HFC [DGRW18] 115 付録 [DGRW18] Dodis
et al. Fast message franking: From invisible salamanders to encryptment. In CRYPTO 2018 𝑓 𝑓 𝑓 ⋯ 𝐾 IV 𝐻+ 𝑀+ 𝑇 𝑓 𝑀= 𝐾 𝐾 𝑀+ 𝐾 𝑀= 𝐶+ 𝐶=

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１ 116 定理１．𝒜 を AES-CM-HMAC に対する
SCU 攻撃者とする．この時，AES-CM- HMAC に対する 𝒜 の SCU advantage は，𝐻 に対していかなる eSec 攻撃者 𝒜, が存在する場合においても，以下の不等式が成⽴する． 𝐀𝐝𝐯𝐀𝐄𝐒1𝐂𝐌1𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 9 ℓ< 𝓐, ここで， ℓ, はハッシュ関数への⼊⼒ビット⻑ ℓ に1ブロック分のビット⻑を追加した値を表す．ハッシュ関数が SHA256 の場合は ℓ, = ℓ+512 である． SCU 安全性 [DGRW18] n 攻撃者に秘密鍵が与えられた状況でメッセージの偽造困難性を保証 Second-ciphertext Unforgeability (SCU) 安全な認証暗号 [DGRW18] Y. Dodis et al. Fast Message Franking: From Invisible salamanders to encryptment. In CRYPTO 2018. [RS04] P. Rogaway and T. Shrimpton. Cryptographic Hash Function Basics. In FSE 2004. 付録 Everywhere Second-Preimage (eSec) 耐性 [RS04] n ⼀般的な第2原像計算困難性よりも強⼒な安全性要件 u 𝑚4 が与えられた状況で𝐻 𝑚4 = 𝐻 𝑚5 となる𝑚5 を⾒つけることが困難

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１の証明 117 𝑓 𝑓 𝑓 ⋯
𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍*𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍*𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝐷 = aad𝐿𝑒𝑛 ∥ aad ∥ 𝐶 𝐷∗ = aad𝐿𝑒𝑛 ∥ aad ∥ 𝐶∗ 付録

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１の証明 118 𝑓 𝑓 𝑓 ⋯
𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍*𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍*𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 = 𝑺∗ ? Case 1: 𝒜 finds 𝑆 = 𝑆∗ 付録

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１の証明 119 𝑻 = 𝑻∗ ?
𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍*𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍*𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 ≠ 𝑺∗ Case 2: 𝒜 finds 𝑆 ≠ 𝑆∗ and 𝑇 = 𝑇∗ 付録

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１の証明 120 𝑻 = 𝑻∗ ?
𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍*𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍*𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 = 𝑺∗ ? Case 1: 𝒜 finds 𝑆 = 𝑆∗ Case 2: 𝒜 finds 𝑆 ≠ 𝑆∗ and 𝑇 = 𝑇∗ 𝐀𝐝𝐯𝐀𝐄𝐒*𝐂𝐌*𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 ≤ 𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 J ℓ/ 𝓐L + 𝐀𝐝𝐯𝑯 𝐞𝐒𝐞𝐜 J𝟏𝟎𝟐𝟒 𝓐L 𝐀𝐝𝐯𝐀𝐄𝐒*𝐂𝐌*𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 J ℓ/ 𝓐L ① ② 付録

ビデオ会議システムにおけるエンドツーエンド暗号化の安全性

ビデオ会議システムにおけるエンドツーエンド暗号化の安全性

Ryoma Ito

More Decks by Ryoma Ito

Other Decks in Research

Featured

Transcript