bassoon/contrabassoon Play DJ at clubs (also at RubyMusicMixin!) Ride a lot of trains (Rails!) (travelled on 99% of JR) Build keyboards if anything catches your interest let's talk! 今回はあっさり飛ばします 5
talk: Freelance web developer focused on Digital Identity and Security Worked/ing on writing/editing and implementing standards HTTPS in Local Network CG / Web of Things WG @ W3C, OAuth / Messaging Layer Security WG @ IETF Worked as an Officer of Internet Society Japan Chapter (2020-23) 特に今回のトークで重要な点としてはW3C とかIETF とかで標準化に関わる活動をしてきました 6
misuse Operational Security is also very difficult I've done my research, but I don't consider myself a cryptography expert a.k.a. "I am not djb" If you're not sure, please have your system audited by a security expert before going to production 暗号API は間違った使い方を容易にしてしまいがちです。あと私はdjb じゃないのでどうしても気になる場合 はセキュリティ専門家にレビューを依頼してね 7
progress Passes most test vectors "Passive Clients - Random" is not passing yet Lacks validation on error cases I am planning to release the complete version before the next IETF (2025/7) 実装はテストベクターを通す程度には作ったけどまだ完全ではないよ、特にエラーケースのバリデーション とかが落ちてるよ、次の7 月のIETF 目安で完全版リリースしたい(希望的観測) 8
read your messages LINE, Facebook Messenger, Signal, WhatsApp, ... They each have their own version of E2EE エンドツーエンド暗号化とは、サービスを運営している人があなたのメッセージを読むことができない、と いうことです。みなさんの使ってるメッセージングアプリにもなんらかの形で実装されていることが多いで す 12
affairs Powerful people wanting to control the Internet even in democratic countries! Provides a safe method to communicate under oppression / in war zones エンドツーエンド暗号化の重要性はかつてなく高まっています。それは国際情勢の緊張の高まりだったり、 民主主義国家においても力を持つ人がインターネットをコントロールしたいと考えるようになっているから です。抑圧や戦争の下でも安全な通信を保証してくれる暗号化の重要性がわかると思います 14
by authorities even in democratic countries! Even if you ban E2EE, criminals will use it anyways Banning E2EE disproportionately harms vulnerable people えっ?犯罪者を助けるからE2EE を禁止しなきゃって?そう、E2EE は民主主義国家においてすら法執行機関 から敵対視されています。犯罪者はE2EE 禁止しても犯罪するんだから、E2EE を禁止することは立場の弱い 人を一方的に不利にするだけです 15
provides key exchange Protocol (RFC 9420), Architecture (to be an RFC soon) Today's topic is the implementation of the Protocol Now we (kinda) have RFC 9420 in Ruby! MLS はE2EE のための相互運用性のある鍵交換を提供します。MLS にはプロトコル定義の文書とアーキテクチ ャのドキュメントがあって、アーキテクチャはそろそろRFC になりそうです。今回はプロトコルの話をしま す。 19
in time are secure in the face of later compromise of a group member secure against "harvest now, decrypt later" attack 暗号化メッセージングに欲しいセキュリティ性質は2 つあり、そのうちの1 つはForward Secrecy 、長期鍵があ る時点で破られたとしても過去のメッセージの安全性には影響がない、という性質です。TLS 1.3 の説明でよ く聞くアレですね 26
group member was compromised at some point in the past Each member updates their key so that group secrets are not always encrypted with private keys that have been compromised もう1 つはPost-Compromise Security 、これは逆に、ある時点での長期鍵が破られても、鍵の更新が適切に行 えることで、将来のメッセージの安全性には影響がない、という性質です。 27
generation n # derive_tree_secret is essentially a hash function key = Crypto.derive_tree_secret(ratchet_secret[n], "key", n) nonce = Crypto.derive_tree_secret(ratchet_secret[n], "nonce", n) ratchet_secret[n + 1] = Crypto.derive_tree_secret(ratchet_secret[n], "secret", n) This gives you the key and nonce to encrypt the actual messages. 実質的にはさっき説明したやつ(Signal のDouble Ratchet のうちHash Ratchet の部分)と同じ。 37
0 creates an UpdatePath, node 1 has a path_secret the path secret is encrypted to 2 's public key node 2 knows the (snip) 2 ユーザーの場合で見てみましょう。0 がUpdatePath を作り、1 が path_secret を持ちます。2 の公開鍵で暗号化すると、2 は2 の秘密鍵を知っ ているのでpath_secret を復号でき、commit_secret を得られます。 43
We calculate the resolution of the copath node to figure out which node's keys are available. Then, we encrypt the path secret of the UpdatePath node to each key でも木が常に全部埋まっているとは限りません、というか埋まっていないことのほうが多いです。その場合 はどうする?実際にやっているのはUpdatePathNode のcopath node に対してそのノードのresolution を計算 し、そのノードの下全ての葉が鍵を知っているノードの組み合わせを計算し、それぞれのノードの鍵に対し てpath_secret を暗号化します。 44
2] The indicated node has unmerged leaves so its resolution is itself + list of unmerged leaves 右の例ではresolution は[3, 2] (※順序付き)と計算されます。3 は unmerged leaves list を持っているので本体→unmerged list の順に計算 します。 45
for each node on UpdatePath then encrypt (snip) なので実際は、各UpdatePathNode に対して、copath node の resolution を取得し、resolution の各ノードの鍵に対して path_secret を暗号化する、ということをします。 47
called proposals and commits Proposals Add and remove users Notifies an update of user's leaf key Injects Pre-Shared Keys Commits will fix those information and advances the group's epoch UpdatePath s are conveyed in the Commit 次はグループの変遷を見ていきましょう。Proposal とCommit という2 種類のメッセージを使ってグループの 状態を変更していきます。 48
group publishes their identity (including its public key) to a Directory using a KeyPackage グループに入りたいユーザーは、それぞれDirectory に自身の アイデンティティ情報を示すKeyPackage というものを登録し ます。 49
To add User B , A sends an Add proposal adding B , then Commit s (snip) A は最初のグループを作り、B を追加するためには、B の KeyPackage を含むAdd メッセージとCommit を送信し、B には Welcome を送信します。 50
from the KeyPackage in the proposal to the leftmost empty node Then add the leaf index to intermediate nodes' unmerged list Add のTreeKEM での動作はこう。KeyPackage からleaf_node を 取り出し一番左の空きに追加、でroot まで順にunmerged list に対象のノードindex を加えていきます。 51
notifying the group of its leaf key update Then User A Commit s that update to include it in the epoch advancement ユーザーが鍵を更新するときはUpdate メッセージを送信しま す。 52
node of the sender with the leaf_node inside the Update proposal Then blank all nodes on its direct path up to the root Update のときは更新先のleaf_node が含まれてくるので、それ をsender のleaf_index に足し、root までのノードを空白化しま す 53
During the processing of a Commit When processing a Commit , the UpdatePath inside the Commit is merged into the ratchet tree ParentNode s are created based on the UpdatePath content 空白化するといったけど中間ノードはどうやって埋まるの?ということについては、Commit の際に UpdatePath から得たUpdatePathNode を使って埋めていきます。UpdatePathNode を復号できたユーザーは path_secret を知っているので、そこからそのノードの鍵を導出します 56
Hashes Hashes that summarize the proposals/commits taken place in the last epoch Signing/Verification of messages There are public messages and private messages というわけでMessaging Layer Security Any% 、タイマーストップです。完走した感想… ではなくて、Any% では 説明していない項目がかなりあります。RFC とか実装を読んでね 57
a flat array For example, the tree on the right will be written as: [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, nil, 11, nil, nil, nil] あとRuby で木構造扱うのってポインタでやろうとすると 生のポインタないから厄介で、完全二分木だったらarray で表現できるのでそうします 70
has APIs that do this Talked about it at RubyConf Taiwan 2023 Haven't worked on it much since OpenSSL gem そのものにHPKE を入れる話をRubyConf Taiwan 2023 でしたんですが、そっからあんまり触って ないです 75
Protocols need the whole cipher suite Not only encap/decap and open/seal Also want access to constants such as hash/key length OpenSSL's HPKE context remembers which algorithm to use, but to use them separately you have to call them separately でも本当に嬉しいかと言われるとそうでもない気がしていて、プロトコルはハッシュの長さとかの定数や、 encap/decap 以外の機能へもアクセスしたくて、それはOpenSSL のHPKE は直接は提供してくれないからです ね 76
not gonna fix it. You have to know what you're doing to use them 前も言った気がするけどOpenSSL gem にはundocumented API がけっこうあります。がそれを直す気はない。 わかってる人にのみ使って欲しいAPI なんですよ 77
suite.pkey.deserialize_private_signature_key(private_key) public_pkey = suite.pkey.deserialize_public_signature_key(public_key) if suite.pkey.equal?(Melos::Crypto::CipherSuite::X25519) || suite.pkey.equal?(Melos::Crypto::CipherSuite::X448) # is an Edwards curve; check equality of the raw public key private_pkey.raw_public_key == public_pkey.raw_public_key else # is an EC; check equality of the public key Point private_pkey.public_key == public_pkey.public_key end end もしかしたらないかもって機能として鍵ペアの対応を得る機能があった。こんな感じのしんどいコードにな る 78
if suite.pkey.equal?(Melos::Crypto::CipherSuite::X25519) || suite.pkey.equal?(Melos::Crypto::CipherSuite::X448) # is an Edwards curve [pkey.raw_private_key, pkey.raw_public_key] else # is an EC [pkey.private_key.to_s(2), pkey.public_key.to_bn.to_s(2)] end end あとTLS やMLS が欲しい形のEC 鍵ペアのフォーマットを得る方法は自明じゃない 79
ML-KEM, ML-DSA, SLH-DSA There is an Internet-Draft that adds ML-KEM in MLS OpenSSL 3.5.0 は耐量子暗号アルゴリズムのサポートがあります。ML-KEM のMLS への導入のドラフトがある ので、もしOpenSSL gem でサポートできたらRuby のMLS は真っ先にサポートできますね! 80
libraries Desktop: OpenSSL Compatible (to an extent) with LibreSSL, BoringSSL, and the like Browser: Web Crypto API Embedded: Mbed TLS, wolfSSL, ... ruby-wasm の話をしたので、ブラウザで暗号機能を動かす場合、Web Crypto API の助けを得る必要がありま す。各プラットフォームで異なる依存ライブラリに対して、 「大統一暗号ライブラリ」を提供することはで きないか?ということを最近考えています 83
Crypto API's random number generator require "js" array = JS::eval('return new Uint8Array(16)') JS.global[:window][:crypto].getRandomValues(array) p array ruby-wasm 経由でWeb Crypto API の乱数生成を呼ぶ簡単なサンプルがこれです。こんな感じで主要な暗号機 能に対してラッパーを用意していくことを考えています 84
just use Python, Go, Rust, whatever the cool kids use these days 第一に、Ruby がこれらを持たない場合、 「えーRuby にないの?じゃあいいや、イケてるモダンな言語である ところのPython/Go/Rust... で作っちゃえ」ってなるでしょう。ところでPython ってまだMLS 実装ないらしい ですね? 88
implementers in Ruby (the list is growing!) RubyKaigi 2025 organizer team, esp. the local organizers 謝辞。そういえばこの後プロトコル実装者のトークが本編セッションとLT に1 個ずつあるんですよ、当然聞 きに行きますよね? 90
me in the venue / at drinkups! I am at: codeTakt Day2/Day4 Drinkup, RubyMusicMixin @ Day3 このへんにいるから気になることある人は話しかけてね。あと本番のスライドにはこの前に2 枚入ってるけ どそれは本編限定です 92
sylph01
trallard
bkeepers
chriscoyier
geoffreycrofte
lara
eileencodes
mza
destraynor
morganepeng
skipperchong
lemiorhan
62gerente
![Secret Tree def self.populate_tree_impl(suite, tree, index, secret) tree.array[index] = {](https://files.speakerdeck.com/presentations/4da53177114b475088d9e622c0c5b32f/slide_34.jpg){kind=link}
![Questions? / Comments? Twitter: @s01 or Fediverse: @[email protected] also find](https://files.speakerdeck.com/presentations/4da53177114b475088d9e622c0c5b32f/slide_91.jpg){kind=link}