暗号目線で俯瞰するSSL/TLS / security minicamp in Tokyo 2022 TLS

Transcript

1. 暗号目線で俯瞰するSSL/TLS セキュリティ・ミニキャンプ 東京 2022 2022/12/18 うしがぃ

2. • うしがぃ@ushigai_sub • 所属 • 都立産業技術高等専門学校（5年） • SECCON Beginners 運営チーム

   • 趣味 • ピアノ：小6から8年間 • ルービックキューブ：1/5/12/100=12.32/15.42/17.06/17.93 • 将棋：アマ二段 2 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 自己紹介

3. • SSL/TLSの基礎 • イントロダクション • SSL/TLSで守りたいものは何か • 構成している標準化 • 具体的な暗号アルゴリズム

   • 暗号基礎 • SSL/TLSで使用されている暗号技術の 整理 • [共通|公開]鍵暗号，鍵交換，乱数， ハッシュ，メッセージ認証，署名 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 3 内容 • SSL/TLSとセキュリティ • SSL/TLSに存在する脅威 • 脆弱性の例 • 現行のバージョンに存在する脅威

4. • SSL/TLSの通信がなぜ安全なのか 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 4 到達目標

5. • 講義中で使用するファイルはGitHubにおいてあります • 適度に休憩を取ってください 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 5 留意事項

6. • HTTPSやSMTPSなどで使用されている暗号プロトコル 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 6 SSL/TLS メールの送受信 クレジットカード決済 アカウントログイン

7. • 1995年 SSL(Secure Sockets Layer)3.0が公開 • Netscape Communications社が開発 • 1999年

   TLS(Transport Layer Security)1.0の制定 • 国際標準化のためにSSLから名称変更 • 既にSSLという名称が定着していたためSSLという名前も残る • SSLはTLSの前身で現在は使用されていない（プロトコルとしては） • 本講義ではSSL/TLSと表記し、バージョンを指定する場合はSSL2.0, TLS1.2のように表記 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 7 SSL/TLSという名称

8. • JIS Q 27001での情報セキュリティの定義 • 機密性，完全性，可用性 • ただし真正性，責任追及性，信頼性，否認防止などの特性を維持することを含めるこ ともある •

   SSL/TLSの暗号技術では… • 機密性，完全性，真正性を保証する 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 8 SSL/TLSで守りたいものはなにか 機密性 データが通信途中で第三者により盗聴されても復号できないこと 完全性 データが通信途中で改ざんされていない状態を確保すること 真正性 通信相手がなりすましではなく確実に本人だと認証されていること

9. SSL/TLSはセキュア通信プロトコルなので「プロトコル」と「暗号技術」 に関するRFCが存在する 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 9 SSL/TLSに関係する標準化 RFC番号 標準化プロトコル 6101

   SSL3.0 2246 TLS1.0 4346 TLS1.1 5246 TLS1.2 8446 TLS1.3 9000 QUIC

10. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 10 SSL/TLSに関係する標準化 ドキュメント番号 関係する暗号技術 SP 800-90A 疑似乱数

    SP 800-90B 疑似乱数のエントロピー（真性乱数） FIPS PUB 186-4 DSA SP 800-56A DH/ECDH FIPS PUB 197 AES FIPS PUB 180-4 SHA-1, SHA-256, SHA-384, SHA-512 SP 800-38A 暗号利用モードCBC, CFB, CTR, OFB SP 800-38C 暗号利用モードCCM SP 800-38D 暗号利用モードGCM SP 800-38B CMAC FIPS PUB 198-1 HMAC NISTによるSP-800, FIPS PUBシリーズのドキュメントも存在する

11. 1. ハンドシェイク 1.1 通信先サーバの認証 1.2 鍵共有アルゴリズム 2. 通信の暗号化 2.1 共通鍵暗号による暗号化/復号

    2.2 HMAC（メッセージ認証符号） 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 11 SSL/TLSで使用されている暗号技術 ハンドシェイクとは…… サーバとクライアントの間で通信の暗 号化時に使用する暗号スイートや各種 パラメータの合意のこと

12. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 12 ハンドシェイク(TLS1.2) 1. Client Hello 2. Server

    Hello 3. Key Exchange プリマスターシークレット マスターシークレット セッション鍵,IV,HMAC鍵 4. 暗号通信の開始

13. 暗号スイート 13 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 $ openssl ciphers -v TLS_AES_256_GCM_SHA384

    TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128) Mac=AEAD ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD ~ snip ~ 1 2 3 4 5 6 7 8 9 10 opensslコマンドによる暗号スイートの確認方法を以下に示す Transport Layer Security (TLS) Parameters (iana.org)も参照されたい

14. パスワード他 暗号技術の整理 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 14 共通鍵暗号 公開鍵暗号 疑似乱数 真性乱数

    ハッシュ 公開鍵署名 鍵交換 証明書 鍵導出 MAC 参考『徹底解説TLS1.3（翔泳社）』p42 図3.1

15. 暗号化方式 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 15 暗号化 復号 秘密鍵暗号化方式 暗号化と復号で同じ鍵を使い、 暗号化で使用する鍵を秘密にする方式

    e.g. DES, AES, ChaCha20 暗号化 復号 公開鍵暗号化方式 暗号化と復号で別の鍵を使い、 暗号化で使用する鍵を公開する方式 e.g. RSA暗号, Rabin暗号

16. 秘密鍵暗号化方式 暗号化と復号で同じ鍵を使用する暗号化方式 共通鍵暗号化方式はストリーム暗号とブロック暗号に大別される 例：ワンタイムパッド 16 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 XOR XOR

    11000101 01101001 11000101 01101001 01101001 ？？ ？？ ？？ 10101100 秘密鍵： A B Y 0 0 0 0 1 1 1 0 1 1 1 0 XORの真理値表

17. ストリーム暗号とブロック暗号 平文を固定長(ブロック)に分割し分割したブロックごとに暗号化を行う方式 をブロック暗号といい、平文と同じ長さの乱数を生成し暗号化を行う方式を ストリーム暗号という。 17 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 平文 m1

    m2 m3 m4 暗号文 c1 c2 c3 c4 平文 暗号文 乱数 ブロック暗号 ストリーム暗号

18. AES(Advanced Encryption Standard) • NISTがDESにとって代わる暗号として公募 • 2022年の時点で十分な鍵長,ラウンド数,暗 号化モードを設定した場合の有効な攻撃は見 つかっていない 18

    暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 SubBytes 平文 m1 m2 m3 m4 暗号文 c1 c2 c3 c4 ShiftRows AddRoundKey MixColumns 処理 処理 処理 処理 平文をブロックに分割しそれぞれ ラウンド関数(SubBytes → ShiftRows → AddRoundKey → MixColumns)で暗号化を行う いくつかの暗号利用モードが定義 されている(e.g. ECB,CBC,GCM, CCM, etc...)

19. 公開鍵暗号 暗号化と復号で別の鍵を使う方式 暗号化に使用する鍵を公開し復号で使用する鍵を秘密にする 19 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 秘密鍵 公開鍵 私へのメッセージは

    公開鍵を使って 暗号化して送ってね ？

20. RSA暗号 20 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 • Rivest, Shamir, Adlemanによって発明 •

    古参の公開鍵暗号 • 1977年に発明 • 公開鍵暗号を具体化した初の暗号化アルゴリズム • SSL/TLSでは真正性を保証するためにデジタル署名で使用 • TLS1.3では暗号化として使用されていないので注意 • 素因数分解が困難であることを安全性の根拠としている

21. 公開鍵暗号/秘密鍵暗号（演習） • 1_pubkey_seckey_encryptionディレクトリにあるファイルを実 行してみよう • Q. RSA暗号において公開&秘密にされている変数はなにか • Q. どちらの暗号化方式のほうが高速か

    • Q. 大量のデータを送信する場合どちらが適しているか 21 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022

22. 暗号化した通信の送受信において鍵を盗聴されることなく共有したい 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 22 鍵交換アルゴリズム 暗号鍵今度から 「_gc!sp_XyvcQ9y._m」 で頼むわ 先ほどお送りしたzip

    ファイルのパスワード は「hL2g.V@」です

23. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 23 DH/ECDH 𝑝 𝑞 𝑦, 𝑥 𝐴_𝑝𝑢𝑏

    𝐵_𝑝𝑢𝑏 𝐵_𝑠𝑒𝑐 𝐴_𝑠𝑒𝑐 計算 計算 計算 計算 𝐴_𝑝𝑢𝑏 𝐵_𝑝𝑢𝑏 数学を利用した鍵交換アルゴリズムとしてDH/ECDH鍵共有がある。以下に DH鍵共有の鍵共有までの模式図を示す。

24. 鍵交換アルゴリズム（演習） • 2_key_exchangeにあるファイルを実行してみよう • 1ページ前のスライドでの の処理は実際どのような計算をし ているだろうか 24 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京

    2022 計算

25. 鍵交換とPFS • 右図では常に同じ鍵で暗号化したメッ セージのやり取りをしている • 今までの暗号文を盗聴している攻撃者が 秘密鍵を手に入れた場合、暗号文をすべ て復号されるリスクが存在する • PFS(Perfect

    Forward Secrecy)とは鍵 交換で共有した秘密鍵と暗号文が盗聴さ れても、盗聴者は暗号文を復号できない という概念のことである 25 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 秘密鍵 秘密鍵 暗号化 暗号化

26. 鍵交換とPFS PFSをもつ鍵共有アルゴリズム をDHE(Ephemeral)/ECDHEと よぶ 26 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 暗号化 暗号化

    DH(r1)⇒ DH(r2)⇒ 暗号化 DH(r3)⇒ 秘密鍵 が漏洩しても前方秘匿性 で , は特定できないジャーン！ TLS1.2では鍵交換アルゴリ ズムとしてDH/ECDHや静的 RSAが採用されていた。しか しTLS1.3では完全前方秘匿 性を確保するためにそれらは 廃止されDHE/ECDHEのみが 採用された。

27. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 27 乱数 現実世界で乱数が使用される場面は？ • 公開鍵/秘密鍵 • Webサイトのセッションキー

    • ソシャゲのガチャ, エンカウント乱数 • 統計処理の研究 それら乱数に対する要件は？ • 高速かつ軽量に生成できること • 統計的に無作為であること • 過去の出力から未来の出力を予測できないこと

28. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 28 乱数の種類 乱数 疑似乱数 XorShift 線形合同法 メルセンヌツイスタ

    真性乱数 ハードウェア雑音 原子核崩壊

29. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 29 真性乱数生成器(TRNG) ハードウェアの熱雑音や原子核崩壊などを利用した予測できない乱数。私た ちが使用しているPCのプロセッサには乱数生成するための機能が提供され ており、各種プログラミング言語から簡単にアクセスできる。 • メリット

    • 非決定的な方法で生成するので次の値を予測できず真にランダムな値を提供できる • デメリット • 生成に時間がかかる • サイドチャネル攻撃などによりバイアスがかかる可能性がある

30. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 30 疑似乱数生成器（PRNG） 真性乱数は予測できないがハードウェアの状態をわざわざ観測しているので 生成に時間がかかる。特に原子力シミュレーションには数十億の乱数を消費 する。乱数を高速に生成するためには疑似乱数生成器を使用する。 疑似乱数生成器の例 •

    XorShift • 線形合同法 • LFSR • メルセンヌツイスタ 疑似乱数生成器は決定的アルゴリズムで生成される ので内部状態を観測出来たら予測できるよ。 乱数生成器の品質測定のための統計的テストとして ダイハードテストなどがあるよ。

31. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 31 PRNGの例 線形合同法（LCG） ある自然数𝐴, 𝐵, 𝑀に対し漸化式𝑋𝑛+1 =

    𝐴 × 𝑋𝑛 + 𝐵 mod 𝑀 で与えられる疑似乱数生成器 である。 例えば𝐴 = 7, 𝐵 = 6, 𝑀 = 11, 𝑋0 = 4とすると 𝑋1 = 𝐴 × 𝑋0 + 𝐵 mod 𝑀 = 7 × 4 + 6 mod 11 = 1 𝑋2 = 𝐴 × 𝑋1 + 𝐵 mod 𝑀 = 7 × 1 + 6 mod 11 = 2 𝑋3 = 𝐴 × 𝑋2 + 𝐵 mod 𝑀 = 7 × 2 + 6 mod 11 = 9 のようにその都度計算していけば乱数を生成できる。 ただし線形合同法は周期が高々𝑀でまた6つ連続した乱数を得られればそれ以降の乱数を 予測することができる。 → メルセンヌツイスタを使用するのが一般的

32. 暗号論的疑似乱数(CSPRNG) 疑似乱数生成器はハードウェアによる真性乱数生成器と比べ高速に動作する が前述のとおり過去の出力をもとに予測できてしまう可能性がある。 • PRNGは出力から内部状態を復元できてしまうのでCSPRNGには出力する 前にハッシュ関数や共通鍵暗号を使用している • Linuxの場合/dev/randomや/dev/urandomはTRNGをエントロピーとし、 ストリーム暗号によって乱数を生成するCSPRNGである 32

    暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 決定的に生成しつつも予測される危険性を不可逆な処理 によって予測困難にしているね TLSでの鍵生成などもこのCSPRNGが使用されているよ

33. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 33 乱数（演習） • pythonのrandomモジュールやsecretsモジュールを動かしてみ よう • Q.

    疑似乱数(randomモジュール)と暗号論的疑似乱数生成器 (secretsモジュール)はどちらが高速か • Q. （Linuxを使用している人向け）/dev/randomを使用して乱 数を生成してみよう

34. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 34 乱数の内部状態ついて 疑似乱数生成期なら乱数の内部状態の SEED値を保存すれば乱数の再現が可能 >>> import random

    >>> random.seed(20221218) >>> random.random() 0.2738322477485595 >>> random.random() 0.4520362298316164 >>> random.random() 0.5829241440549098 >>> random.seed(20221218) >>> random.random() 0.2738322477485595 >>> random.random() 0.4520362298316164 >>> random.random() 0.5829241440549098 >>> 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Q.乱数のSEED値の初期値は何が適切か？

35. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 35 余談ゲームでの乱数調整について ゲーム(TAS)における乱数調整とは 5 rand(5,10) seed() 10

    rand(5,10) seed()

36. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 36 ハッシュ • md5 • sha1 •

    sha256 • sha512 • bcrypt ハッシュ関数 データ abc hogehoge p@ssw0rd! etc... 9001...7f72 a999...d89d ba78...15ad cb00...25a7 ハッシュ値 固定長のデータ ハッシュ化 データHello world!!!をハッシュ関数sha1でハッシュ化する場合、 ハッシュ値は6555aa9d245f6dc2b57aa13366cc6c6fcccab6adとなる

37. ハッシュの特性 (1/2) 決定的で固定長の出力 37 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 Hello,world hogehoge P@ssw0rd!

    excellent_password d34db33f h1m0n1n4r1t41 325bc476 5d167d5c 6e52715b 591838bd 14405a91 24db46c5 ハッシュ関数 固定4byte出力 1 対 1 対 応

38. ハッシュの特性 (2/2) 原像計算困難性 38 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 Hello,world hogehoge P@ssw0rd!

    excellent_password d34db33f h1m0n1n4r1t41 8bd24db46c596 325bc476 5d167d5c 6e52715b 591838bd 14405a91 24db46c5 ハッシュ関数 固定4byte出力 1 対 1 対 応 第一原像攻撃 第二原像攻撃

39. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 39 ハッシュがどこで使われているのか

40. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 40 ハッシュがどこで使われているのか 改竄されたかどうか わっかんね

41. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 41 ハッシュがどこで使われているのか hash:9d24...c2ca hash:d34d...b33f hash値が違うから 途中で改ざんされてる ジャーン！

42. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 42 ハッシュがどこで使われているのか username password usagi usausa123 azarashi

    p@ssw0rd! name:usagi pass:usausa123 name:azarashi pass:p@ssw0rd! ログイン情報をもつテーブルが流出したときに 攻撃者はパスワードを入手できてしまう

43. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 43 ハッシュがどこで使われているのか name:usagi pass:usausa123 name:azarashi pass:p@ssw0rd! username

    password usagi 568a...4de8 azarashi 2c01...5814 sha256() 568a...4de8 2c01...5814 hashは一方向性だから hash値だけ入手しても分 かんないジャーン！

44. ソルトとストレッチング • ハッシュ値をより強固にするためのもの • ハッシュ化したいdata以外にprefix, rounds, saltが必要 • prefix •

    ハッシュ化を行うbcryptのバージョンで2a, 2x, 2y, 2bのように指定できる • salt • 22文字（128bit）のランダムな文字列 • dataが同じでもsaltが異なることで全く違うハッシュ値が出力される • rounds • ストレッチング（ハッシュ値のハッシュ値を取る）回数を表し例えば5と指定すれば 2^5=32回ストレッチングを行う • NISTよれば2^10=1024回ストレッチングを行うことが推奨されている 44 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022

45. ソルトとストレッチング 45 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 bcrypt ハッシュ関数 data p@ssw0rd! prefix

    2b rounds 10 salt uQqF/9uXv5x8n3A9ovonju data Hello world!!! prefix 2b rounds 10 salt MpfT5BGJZ55hrppsYYWhaO $2b$10$MpfT5BGJZ55hr ppsYYWhaOJGj0OxaAKu5 ujSvHk6ZQ8AzXs8/z1WG $2b$10$uQqF/9uXv5x8n 3A9ovonjuvCWyOFLMAr0 uvLfNaUqnG0RbwE1wvTu 入力データ ハッシュ値

46. 演習（ハッシュ） • 4_hash_functionディレクトリにあるファイルを実行してみて ください • bcryptがソルトによって違うハッシュ値を生成することを確か めてみてください 46 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京

    2022

47. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 47 鍵導出 • 安全性を高めるために鍵共有で共有した鍵をそのまま使用せず、 鍵導出関数に渡しその出力を秘密鍵として使用 • 鍵交換アルゴリズムを使用してプリマスターシークレットとい

    う同じ値を共有 • プリマスターシークレットと鍵導出関数を使用してマスター シークレットやセッション鍵（共通鍵）やIVなどを生成

48. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 48 TLS1.2の鍵導出関数 PRF master_secret premaster_secret PRF server_random

    + client_random server_random + client_random MAC_key, client_key, server_key, client_IV, server_IV TLS1.2ではPRF(Pseudo Random Function)が 使用されており、master_secret及び暗号化で 使用する各種パラメータの生成に使用されている PRFは48bytesの出力をもち、鍵生成での呼び出 し時には、要求される長さになるまでPRFを呼び 出し結果を連結させる ハンドシェイクでの中間者攻撃(RacconAttack, Logjam Attackなど)でセッション鍵が予測され る攻撃が発表され、TLS1.3では別の鍵導出関数 が使用されている

49. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 49 TLS1.3の鍵導出関数 HKDF-Extract 0 HKDF-Extract binder_key, client_early_traffic_secret,

    early_exporter_master_secret client_handshake_traffic_secret, server_handshake_traffic_secret client_application_traffic_secret, server_application_traffic_secret, resumption_master_secret, exporter_master_secret PSK (EC)DHE 0-RTT用の鍵 ハンドシェイク用の鍵 メッセージを暗号化するための鍵 セッション再開時に使用する鍵

50. 鍵導出（演習） • 5_hkdfディレクトリにあるファイルを実行してみよう • test_caseを通過させてみよう 50 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022

51. メッセージ認証符号（MAC:Message Authentication Code）とは通信が 改ざんされていないかどうかを検知し、完全性を保証する暗号アルゴリズム 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 51 メッセージ認証 MAC関数

    MAC関数 メッセージ メッセージ（？） MAC値 MAC値（？） MAC値 秘密鍵 秘密鍵 ≟

52. MACの方式 52 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 平文 m1 m2 m3 m4

    処理 処理 処理 処理 処理 MAC ブロック暗号を使用したMAC関数の概略図 HMACの概略図 ハッシュ ハッシュ key XOR ipad m B=hash関数の出力bytes長 ipad=(0x36のB回繰り返し) opad=(0x5cのB回繰り返し) MAC key XOR opad

53. • 6_message_authenticationにあるファイルを実行してみよう • test_caseを通過させてみよう 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 53 MAC（演習）

54. AEAD(Authenticated Encryption with Associated Data)とは共通鍵暗号 による秘匿性とMACによる完全性を両立した認証付き暗号のこと TLS1.3ではAES-GCMやChaCha20-Poly1305が規格化されている 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022

    54 AEAD MAC関数 AEAD 秘密鍵 メッセージ MAC値 秘密鍵 メッセージ MAC値 nonce 暗号文

55. • 6_message_authenticationディレクトリにあるファイルを実 行してみよう • メッセージを途中で改ざんしたらErrorが返ってくることを確か めてみよう 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 55

    AEAD（演習）

56. AEADの場合経路上でメッセージが改ざん検知による完全性と、暗号化によ る秘匿性を提供している 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 56 デジタル署名 • 通信相手（あざらし）がほんとう にメッセージのやり取りをしたい

    本人かどうか分からない • あざらしは自分にしかできない署 名（Signature）を行うことで自 分が送信した内容だと証明するこ とができる ？

57. 現実世界では手書きのサインや捺印で署名を行うが、デジタルの世界では 簡単にコピペできてしまう デジタル署名ではメッセージに対して署名鍵（秘密鍵）で署名を行い、検 証鍵（公開鍵）で検証を行う 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 57 デジタル署名 署名

    検証 メッセージ メッセージ（？） 署名 署名（？） 署名鍵 検証鍵 検証鍵

58. デジタル署名（演習） 58 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 • opensslコマンドを使用してpubkey.pem, privkey.pemを配置してみよう • 7_digital_signatureにあるファイルを実行してみよう

    • digital_signature2.pyにおいて署名鍵、検証鍵はなんという変数名か

59. 否認防止 否認防止とは契約書などに本人が署名を行い時間が経過してもその契約が言 い逃れできないものにすることである。デジタル署名ではタイムスタンプと 併用することで否認防止を実現している 59 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 現在 過去

    契約書 秘密鍵 公開鍵 秘密鍵が漏洩して不正に署名されたんだ！ 俺じゃないって！信じてくれよ！ 鍵流出 いやいや、契約したのは 鍵が流出する前でしょ？ 秘密鍵 による署名

60. 公開鍵認証 サーバにリモートでアクセスしたいときのSSHやGitHubで自分のリモート リポジトリにpushしたいとき、公開鍵認証を使用する 60 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 署名 検証 ランダムな値

    ランダムな値 署名 署名（？） 署名鍵 検証鍵 検証鍵

61. 公開鍵基盤 61 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 通信相手の認証 改ざん検知(MAC) MAC鍵交換 通信の暗号化 鍵交換

    中間者攻撃への耐性 検証鍵の共有 中間者攻撃への耐性 • 今までの暗号技術ではお互いの依 存を断ち切ることができない • 公開鍵とその持ち主を保証する仕 組み（公開鍵基盤 PKI）が必要 • PKIの実現には証明書とそれを発行 する認証局などの仕組みが使用さ れている

62. 認証局による通信相手の認証 62 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 認証局(CA) 証明書の有効性の確認 証明書 秘密鍵 公開鍵

    秘密鍵を持っていないから 正当な署名が作れないジャーン

63. 認証局と階層モデル 63 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 CA-D CA-B CA-C CA-A CA-E

    CA-F うさぎ←CA-B CA-B←CA-D CA-D←CA-F X←Y： Yが署名したXの証明書 PCのルート証明書 ルート認証局 （トラストアンカー）

64. 証明書の発行 64 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 証明書要求者 認証局 公開鍵 秘密鍵 証明書要求

    (CSR) 署名 公開鍵 秘密鍵 証明書 署名 証明書

65. • 公開鍵証明書が証明するもの • 所有者の公開鍵と秘密鍵 • 所有者情報 • 1996年X.509 v3証明書という規格が 標準化され今日も広く使用されている

    暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 65 公開鍵証明書 バージョン シリアル番号 署名アルゴリズム 発行者 有効期限 主体者（CAなど） 主体者公開鍵情報 一意の識別子 拡張 X.509 v3証明書の構造

66. 実際の証明書を確認してみる 66 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022

67. 実際の証明書を確認してみる 67 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 $ openssl genrsa 2048 >

    private.key # 2048bitのRSA秘密鍵の作成 $ cat private.key $ openssl req -new -key private.key > server.csr # 証明書署名要求 (CSR)の作成 $ cat server.csr $ openssl genrsa 2048 > ca-private.key # CAの秘密鍵を作成 $ cat server.csr | openssl x509 -req -days 365 -signkey ca- private.key > server.crt # CSRをもとにCAが秘密鍵をもとに証明書(CRT)を 作成 $ cat server.crt $ cat server.crt | openssl x509 -text -noout # 証明書の内容を確認 1 2 3 4 5 6 7 8 9

68. 演習 • 現実での身分証は顔写真や住所によって一意性を確保している が、電子証明書の場合なにと紐づけることによってその一意性 を確保しているか • 証明書の秘密鍵が流出してしまったら？ 68 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京

    2022

69. DV, OV, EV証明書 現実の身分証では顔写真や住所で一異性を確保している デジタルの世界ではドメインや管理者の住所で保証している 69 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 種類

    認証項目 DV証明書 申請者がドメインの利用権を持っているか OV証明書 DV証明書での認証項目 申請者(組織)の法人番号確認 EV証明書 OV証明書での認証項目 申請者(組織)の住所 組織の運用状況

70. SSL Pulseによる統計 70 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 kjur.github.ioより引用

71. 71 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 秘密鍵 公開鍵 秘密鍵が 流出しちまった 証明書 偽造証明書

    証明書の秘密鍵が漏洩してしまったら？ • 悪意のある攻撃者が秘 密鍵で署名を偽造する ことができる • 認証局に報告し署名を 失効してもらう必要が ある

72. OCSP Stapling 72 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 認証局(CA) ① 秘密鍵が 流出しちまった

    ② 証明書の失効依頼 OCSPレスポンダ ③ CRLの更新 ② OCSPリクエスト ③ OCSPレスポンス ④ OCSPレスポンス ⑤ 証明書が 失効してる ジャーン OCSP(Online Certificate Status Protocol) Staplingとはユーザが証明書の失効を確 認するための仕組みである。OCSPレスポンダで証明書失効リスト(CRL)を保持してお き、クライアントがサーバにアクセスしたとき（ハンドシェイク時）にサーバがOCSP レスポンダに問い合わせてクライアントにOCSPレスポンスを返す。 ① ハンドシェイク

73. ブラウザの拡張機能による証明書検証 認証局が取り組む以外にもWebブラウザ内で証明書の検証を行っている場合 がある 73 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 Webブラウザ 提供する機能 Google

    Chrome CRLSets Moizilla FIrefox OneCRL Microsoft Edge Microsoft Defender SmartScreen

74. パスワード他 暗号技術の整理 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 74 共通鍵暗号 公開鍵暗号 疑似乱数 真性乱数

    ハッシュ 公開鍵署名 鍵交換 証明書 鍵導出 MAC 参考『徹底解説TLS1.3（翔泳社）』p42 図3.1

75. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 75 ハンドシェイク(TLS1.2) 1. Client Hello 2. Server

    Hello 3. Key Exchange プリマスターシークレット マスターシークレット セッション鍵,IV,HMAC鍵 4. 暗号通信の開始

76. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 76 ハンドシェイク(TLS1.3) 1. Client Hello PSK, KS

    2. Server Hello Certification KS, PSK 3. 暗号通信の開始 TLS1.2と比較して暗号通信の開始までのプロセスが短くなってて、 暗号化して送信されるデータ（証明書など）も増えてるね

77. 実際に使用されている暗号 77 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 → SSL/TLSであらかじめ暗号アルゴリズムの組み合わせが決められており、 その組み合わせのことを（暗号スイート）という 私は... 鍵交換でECDHE

    暗号化でAES-GCM 署名でRSAを使用します 私は... 鍵交換で静的RSA 暗号化でAES-CBC 署名でDSAを使用します 鍵長は増やせば増やすほど 安全って、ばあちゃんが 言ってた AES-GCM1048576bit

78. 暗号スイート（再掲） 78 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 $ openssl ciphers -v TLS_AES_256_GCM_SHA384

    TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128) Mac=AEAD ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD ~ snip ~ 1 2 3 4 5 6 7 8 9 10 opensslコマンドによる暗号スイートの確認方法を以下に示す Transport Layer Security (TLS) Parameters (iana.org)も参照されたい

79. 暗号スイート 79 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 TLS暗号設定ガイドライン p19, 表6 暗号スイートで の利用推奨暗号アルゴリズ

    ムより引用

80. 利用推奨アルゴリズム 80 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 TLS暗号設定ガイドライン p42, 表17 推奨セキュリティ型での利用 禁止暗号アルゴリズム一覧より引用

81. 利用禁止アルゴリズム 81 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 TLS暗号設定ガイドライン p42, 表16 推奨セキュリティ型での利用 推奨暗号アルゴリズム一覧より引用

82. RFCによる規定 82 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 発行日 RFC番号 概要 03/2011 6176

    SSL2.0の禁止 06/2015 7568 SSL3.0の廃止 06/2021 8996 TLS1.0,TLS1.1の廃止 02/2015 7465 RC4暗号スイートの廃止

83. SSL Pulseでの統計 83 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 TLS1.3 TLS1.2 TLS1.1 TLS1.0

    SSL3.0 SSL2.0 12/2022 58.9% 99.9% 37.0% 34.0% 2.1% 0.2% 12/2020 41.3% 99.1% 56.9% 50.1% 4.0% 0.6% 12/2018 10.5% 94.3% 79.1% 71.3% 8.7% 2.2% 12/2016 - 82.6% 80.0% 95.6% 19.2% 6.1% 12/2014 - 50.1% 47.4% 99.6% 53.5% 15.5% 12/2012 - 8.4% 6.7% 99.4% 99.8% 29.2% SSL Pulseによる主要15万サイトのプロトコルのサポート状況

84. 暗号の安全性の指標 84 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 • 現実的な時間で解けるものと解けないものの境界はどこか • 安全性の指標としてビットセキュリティが使われている •

    計算量が2𝑛のときその暗号を𝑛ビットセキュリティと呼ぶ 10010100 00000000 00000001 10010011 10010100 :

85. 暗号の安全性の指標 85 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 暗号強度要件設定基準 (cryptrec.go.jp) 表5セキュリティ強度要件の基本設定方針より引用

86. SSL/TLSでの暗号とビットセキュリティ 86 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 cryptrec 暗号強度要件（アルゴリズ ム及び鍵長選択）に関する設定基準 p8表2より引用 公開鍵暗号の推定セキュリティ強度

    鍵長は増やせば増やすほど安全っ て、ばあちゃんが言ってた AES-GCM1048576bit

87. 鍵長のトレードオフ性 87 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 RSAに156bitのビットセキュリティを持たせるには鍵長を115360bitに する必要がある。57680bitの素数を生成するために必要な時間は？ 暗号を運用するうえでは適切な鍵長を設定する必要がある >>> from

    Crypto.Util.number import * >>> from time import time >>> >>> def f(bits): ... start = time() ... getPrime(bits) ... print(time()-start) ... >>> f(3840) 39.238982915878296 1 2 3 4 5 6 7 8 9 10

88. SSL/TLSは通信をサーバ,クライアント間の通信を保護し、機密性,完全性, 真正性を保護する。しかし暗号アルゴリズムに対してピンポイントに脆弱性 が見つかることはまれでも、実装上の問題やサーバの設定不備など特定の条 件下で問題を引き起こす可能性が存在する。 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 88 SSL/TLS通信に存在する脅威 •

    Heartbleed Bug • 暗号の危殆化 • 量子コンピュータの登場 • 認証局への侵害 • フィッシングサイトのSSL/TLS化 • CookieのSecure属性

89. 認証局への侵害 • 2011年オランダのルート認証局DigiNotarが侵害され少なくとも531枚 の偽造証明書が発行された • この事件以降ドメイン管理者が自身に対して発行される証明書を任意に 許可しないCAAや、従業員の管理体制を把握し運用状況のチェックを規 定したBaseline Requirementsが導入された。 89

    暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 証明書 偽造証明書 認証局(CA) 秘密鍵 公開鍵 example.com example.com

90. • 近年HTTPS化が推進されWebブラ ウザではHTTPSでないものは「保護 されていないサイト」など警告を出 すようにしている • しかしフィッシングサイトでは 2019年の時点で70％以上がHTTPS 化しているという統計がある •

    フィッシングサイトへの誘導はSMS がよく使用されているのでユーザー 側の注意が必要 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 90 フィッシングサイトのSSL/TLS化

91. • OpenSSLの拡張である「Heartbeat」にあるプロ グラムのミスによるバグ • Heartbeat要求のサイズと応答のサイズがチェッ クされないこと利用して1度に最大64KBのデータ （e.g. 利用者のセッションキー, サーバの秘密 鍵）をメモリから抜き出すことができる

    • OpenSSLはApacheやnginxでも使用されていた ので影響は広かった 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 91 Heartbleed Bug

92. • 112bit以上のビットセキュリティを 持つ暗号は2030年でも安全とされて いる • ある日突然画期的なアルゴリズムが 発見されて少ない計算量で解読され てしまう可能性がある • 日本の場合CRYPTRECが運用監視暗

    号リストを公開しているので監視が 必要である 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 92 暗号の危殆化 素因数分解の困難性に関する計算量評価 CRYPTREC暗号技術検討会２０２１年度 報告書図3.2-1より引用

93. 現在私たちが使用するコンピュータは0,1という2つの状態をもつ。量子コ ンピュータは0の状態と1の状態を重ね合わせて表現されている。 • 共通鍵暗号に対する影響 • AESにおいて現行利用されている暗号利用モードで、鍵長の半分程度のビットセキュ リティに低下させる攻撃手法がある • 公開鍵暗号に対する影響 •

    Shorのアルゴリズムを使用することでRSA4096bitでも36bitのビットセキュリティ 程度の攻撃可能である • ただしCRYPTRECの調査によると15の素因数分解に失敗したという発表があり、ま た4096bitの素因数分解には最低8192bitの量子ビットが必要である 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 93 量子コンピュータの登場

94. 最近の動向 (1/3) NIST Retires SHA-1 Cryptographic Algorithm 94 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京

    2022

95. 最近の動向 (2/3) draft-ietf-quic-v2-10 - QUIC Version 2 95 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京

    2022

96. 最近の動向 (3/3) https://pc.watch.impress.co.jp/docs/news/1463929.html 96 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022

97. 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 97 まとめ • SSL/TLSはセキュア通信プロトコルと呼ばれており、機密性,完全性,真正性 を保ちたい • 機密性を保つには共通鍵暗号による暗号化を、完全性を保つにはHMACによ

    る改ざん検知を、真正性を保つには証明書と署名検証アルゴリズムがある • ハンドシェイクで通信相手の認証と鍵共有を行い、暗号通信では暗号化と HMACを両立したAEADによるメッセージのやり取りを行っている

98. • Wikipedia • X.509, 暗号論的疑似乱数生成器, 公開鍵基盤, ハッシュ関数, Advanced Encryption Standard,

    暗号利用 モード, Transport Layer Security • IETFよりRFC関連, https://www.ietf.org/rfc/ • RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3 • RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2 • RFC 5705 - Keying Material Exporters for Transport Layer Security (TLS) • RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile • RFC 6234 - US Secure Hash Algorithms (SHA and SHA-based HMAC and HKDF) • RFC 7568 - Deprecating Secure Sockets Layer Version 3.0 • RFC 6176 - Prohibiting Secure Sockets Layer (SSL) Version 2.0 • RFC 2104 - HMAC 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 98 参考 (1/4)

99. • NIST SP800 https://csrc.nist.gov/publications/sp800 • SP800-57 Recommendation for Key Management

    • SP800-131A Transitioning the Use of Cryptographic Algorithms and Key Lengths • SP800-90A Recommendation for Random Number Generation Using Deterministic Random Bit Generators • SP800-22 A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications • Jean-Philippe Aumasson,『暗号技術 実践活用ガイド』, マイナビ出版, 2020年 • 古城 隆ほか,『徹底解剖 TLS1.3』, 翔泳社, 2022年 • 光成 滋生,『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』, 技術評論社, 2021年 • Joshua Davies, 『Implementing SSL/TLS』, Wiley, 2010年 • Neeru Mago PMAC: A Fully Parallelizable MAC Algorithm, https://acfa.apeejay.edu/docs/volumes/journal-2015/paper-05.pdf 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 99 参考 (2/4)

100. • TLS暗号設定ガイドライン, https://www.ipa.go.jp/security/ipg/documents/ipa-cryptrec-gl- 3001-3.0.1.pdf • APWG Year-End Report: 2019 A

     Roller Coaster Ride for Phishing, https://www.phishlabs.com/blog/top-phishing-trends-2019/ • The Heartbleed Bug, https://heartbleed.com/ • CRYPTREC 暗号技術検討会 2021年度 第１回, https://www.cryptrec.go.jp/report/cryptrec- rp-1000-2021.pdf • CRYPTREC 量子コンピュータ時代に向けた暗号の在り方, https://www.cryptrec.go.jp/report/cryptrec-mt-1441-2020.pdf • CRYPTREC 暗号強度要件（アルゴリズム及び鍵長選択）に関する設定基 準,https://www.cryptrec.go.jp/list/cryptrec-ls-0003-2022.pdf • IPA 暗号鍵管理システム 設計指針, https://www.ipa.go.jp/security/ipg/documents/ipa- cryptrec-gl-3002-1.0.pdf 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 100 参考 (3/4)

101. • SSL Pulse, https://www.ssllabs.com/ssl-pulse/ • Symantec 認証局におけるハッキング事件の原因と認証局業界の新しい取り組み, https://www.digicert.co.jp/welcome/pdf/wp_cahacking.pdf • Symantec

     SSL ハンドシェイクの裏側, https://www.digicert.co.jp/welcome/pdf/wp_ssl_handshake.pdf • herumi, RSA署名を正しく理解する, https://zenn.dev/herumi/articles/rsa-signature • 0a24, TLS1.3の中身をみよう（RFC8448）, https://zenn.dev/0a24/articles/tls1_3-rfc8448 • wolfSSL, 真性乱数生成器 VS 疑似乱数生成器, https://wolfssl.jp/wolfblog/2021/08/16/true- random-vs-pseudorandom-number-generation/ • The Heartbleed Bug, https://heartbleed.com/ • ISMS 情報セキュリティマネジメントシステムとは, https://isms.jp/isms/index.html 暗号目線で俯瞰するSSL/TLS@セキュリティ・ミニキャンプ 東京 2022 101 参考 (4/4)