qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいssl/tls

© 2015 Kenji Urushima All rights reserved.

一歩先を行くインフラエンジニアに知ってほしい SSL/TLS設定

　　　

qpstudy 2015.11：キューピー３分インフラクッキング勉強会　セキュリティに万全を求めるのは間違っているだろうか於：東銀座ドワンゴ株式会社 2015年11月14日(土) 14:00〜17:00

@kjur

　　

(15:15-16:30 75分)


・経歴

　・富士ゼロックス(2010～)

　・エントラストジャパン(2005～2010)

　・セコム(1988～2005)

・興味：

　　PKI, TLS, 電子署名, SSO, 認証, 暗号,

　　CSIRT, 脆弱性検査, フォレンジック,

スマホ, プログラミング, ビットコイン

・別名

　・証明書ハンター

　・(TLS)暗号スイートウォッチャー

・委員、標準化、認定基準、実証実験、普及啓蒙

　・JNSA, CRYPTREC, 日本データ通信協会

　　IPAセキュキャン講師

　・旧ECOM, PKI-J, 欧州ETSI

　・PKI, TLS, 長期署名, タイムスタンプ

自己紹介: 漆嶌賢二(うるしま), CISSP

jsrsasign –JavaScript 実装暗号ライブラリ

ブログ：自堕落な技術者の日記

@kjur

ちょっと、その前に質問コーナー

　　　



•  今日は、インフラエンジニアとしてSSL/TLS、HTTPS、特にサーバー設定について抑えておくといいかなっていうポイントをお話します。

•  SSL/TLSとは何か•  今サーバー証明書をゲットする際の注意点•  最近のSSL/TLS関連の脆弱性と設定の重要性•  暗号スイートの設定•  他に必要な設定

•  ﾎﾟｶ〜〜〜ﾝ　　　　　　とする暗号の話のおまけ

今日のアジェンダ

SSL/TLSとは

　　　


アマゾンの購入確認画面


出典：アマゾン(www.amazon.co.jp)

暗号化されているか

氏名、住所、電話番号

何を買ったか？

カード番号

購入個数

HTTPS暗号通信ってなんでいるの？


例えばアマゾンでお買いもの

クレジットカード番号住所・氏名

秘密にしたい買い物

「カード番号、住所、氏名、買い物の内容」を途中で見られたくない

ニセのアマゾンサイトに「カード番号、住所」なんかを送りたくない。

途中で「届け先住所」を書き換えて商品を騙し取られたくない。

SSL/TLSが守る今のネットに必須の機能

SSL/TLSの3つの機能


「カード番号、住所、氏名、買い物の内容」を途中で見られたくない

ニセのアマゾンサイトに「カード番号、住所」なんかを送りたくない。

途中で「届け先住所」を書き換えて商品を騙しとられたくない。

機密性相手認証完全性暗号通信により通信相手以外に通信内容を盗み見(盗聴)されないようにする

証明書(PKI)などを使い通信相手が正しい相手であるか認証する

通信の途中でデータが書き換え(改ざん)されないよう、改ざん検知できる

共通鍵暗号を使うPKI(公開鍵暗号)、パスワード、

Kerberos認証を使う

MAC(メッセージ認証コード)を使う

覗き見(盗聴)防止なりすまし防止改ざん防止

SSL/TLSの特徴(HTTPでも何でも乗る)


物理層

データリンク層

ネットワーク層

トランスポート層

セッション層

ﾌﾟﾚｾﾞﾝﾃｰｼｮﾝ層

ｱﾌﾟﾘｹｰｼｮﾝ層

OSI参照モデル従来通信の例

10baseT,RS232,DSL

Ethernet

IP

TCP

Socket

HTTP

UDP

POP3

IMAP

SMTP‥

10baseT,RS232,DSL

Ethernet

IP

TCP

HTTPS

UDP

POP3S

IMAPS

SMTPS

‥

Socket

SSL/TLS

SSL化(※1)

従来のアプリケーションプロトコルを全て安全な通信に(SSL化)できてしまう。

※1: 他にLDAPS, FTPS, TELNETSとか

追加

HTTPS=HTTP over SSL

イマドキの証明書を購入する際の注意点

　　　



　　

✔ ︎簡単✔ ︎安全✔ ︎早い✔ ︎無料✔オープン


DV(ドメイン認証)証明書であることの注意点 / OV,EVとの違い

DV(ドメイン認証) OV(組織認証) EV(拡張認証)

値段無料、1千〜1.5万円/年 9千〜11万円/年 2万〜11万円/年

用途個人, API利用, 開発用企業/一般利用, 問合せカード番号, 個人情報

アドレ

スバー

OVと同じ DVと同じ緑アドレスバーに組織名が表示される

ペー

ジ情報

組織名は表示されない組織名は表示されない組織名が表示される

証明書

ビ

ー

ア

組織名は表示されない組織名が表示される組織名が表示される

企業のホームページでDV証明書を使うと、会社組織名が表示されないために、本当にその会社が運営しているサーバーか？フィッシングサイトでないか？利用者を不安にさせてしまう。


1) 必ず証明書発行の都度、鍵ペアを再生成する

2) RSA 2048bit以上の鍵を使う

3)  SHA256への移行をなるべく早く(Chromeでは警告表示される)

4)  EV証明書を利用する場合、Certificate Transparency(CT)に対応した証

明書を購入する(CT非対応の場合Chromeだと緑バー表示されない)

5) OCSPに対応している所がよい

6) フィーチャーフォン、ゲーム機、VoIPの対応が必要ならベンダーによく確

認を(鍵長, SHA2, パス長, 搭載ルート認証局で問題になることも)

7) ワイルドカード証明書、マルチドメイン証明書は鍵の運用も考えて導入

イマドキのSSLサーバー証明書に関するポイント


• Windowsルート証明書プログラムのルートCA配下は2016年1月1日以降、SHA1証明書を発行できない。

• Windows製品では有効期限が2017年1月1日以降の証明書を受理しないためエラーとなる。

• Google ChromeはSHA1証明書の有効期限により、2015年1月以降のリリース版より下表の警告表示を開始し、2017年1月以降は受理しない。

• MSはWindows製品のSHA1停止を2016年6月に早めると発表

Microsoft製品、Google ChromeのSHA1証明書からの移行

Google Chrome SHA1証明書の有効期限

Chromeバージョン

安定版リリース日

2015.12.31まで

2016.05.31まで

2016.12.31まで

2017.01以降

38 2014.10.08

39 2014.11.18

40 2015.01.21

42 2015.04中旬

2017.01直後 2017.01中旬

記号：☆：Googleのポリシにより、★：証明書期限切れにより

☆

☆ ☆ ☆

☆

☆

★★★

SHA1からSHA2証明書への移行

RSA3072bit鍵の証明書の率

SHA256withRSA証明書の率

SHA1withRSA証明書の率

RSA2048bit鍵の証明書の率

RSA4096bit鍵の証明書の率 SHA256withECDSA証明書の率

%

データ出典：SSL Pulse(h,ps://www.trustworthyinternet.org/ssl-‐pulse/)

各ブラウザの2017年1月SHA1停止を受け2015年5月にSHA256とSHA1証明書の比率が逆転


CT対応のサイト(=GlobalSign or DigiCert)

例の出典 https://www.digicert.com/鍵を右クリック

「公開監査が可能」＝

Certificate Transparency対応のサイト


なぜ、HTTPS(SSL/TLS)の設定は大切か？

　　　



時期問題・事件対策

2005.11 OpenSSL SSLv2バージョンロールバックアップデート

2009.01 RapidSSL MD5衝突偽造中間CA アップデートやPinning

2009.07 NULL終端による証明書ホスト名一致不備アップデートやPinning

2009.11 再ネゴシエーション脆弱性アップデート

2011.03 Comodo不正証明書発行(RA攻撃) アップデートやPinning

2011.08 DigiNotar不正証明書発行(RA攻撃) アップデートやPinning

2011.09 BEAST攻撃暗号スイート/プロトコル設定(非CBC)

2011.11 Digicert Sdn不正証明書発行(RSA512) アップデートやPinning

2012.05 FLAMEマルウェア用Windows Terminal ServerによるMD5衝突偽造中間CA, Windows Update攻撃

アップデートやPinning

2012.09 CRIME攻撃圧縮解除設定(SSL)

2013.01 Lucky13攻撃暗号スイート/プロトコル設定(GCM利用)

2013.01 TURKTRUST不正証明書発行(オペミス) アップデートやPinning

2013.03 SSLにおけるRC4暗号危殆化暗号スイート(非RC4)

2013.03 TIME攻撃圧縮解除設定(SSL)

2013.06 BREACH攻撃圧縮解除設定(HTTP gzip)

2013.06 スノーデン氏暴露(NSAの全SSL通信保管) 暗号スイート/プロトコル設定(ECDHE,DHE使用)

2014.04 HeartBleed攻撃アップデート

2014.06 CSSInjection攻撃アップデート

2014.10 POODLE攻撃暗号スイート/プロトコル設定(非SSLv3,CBC)

2015.03 FREAK攻撃暗号スイート(非EXPORT)

2015.03 live.fi、CNNIC/MCS不正証明書発行(運用不備) アップデートやPinning(CABF BR要件に課題も)

2015.03 パスワード盗聴可能なRC4暗号スイート攻撃暗号スイート設定(非RC4)

2015.05 Logjam脆弱性暗号スイート設定, DH設定(DHE_EXPORT512bit無効化)

2015.07 RC4NOMORE攻撃暗号スイート設定(非RC4)

2015.07 Alt証明書チェーン検証不備アップデート

2015.10 Free-Start SHA1 Collision攻撃現時点では早急な対策は不要(SHA2証明書移行

SSL/TLSの過去の問題と対応方法サーバー設定で回避し

続けならないものも多数

古い脆弱性であっても、

アップデートだけでは

解決しない問題が

多数残っている


サーバー管理上のこれまでのSSL/TLSの問題と対策の整理

暗号危殆化の問題MD2, MD5, RC4, SHA1, RSA1024bit, DH1024bit

SSL/HTTP プロトコル設計の問題SSLv2, SSLv3, CBCモード,TLS圧縮, HTTP圧縮,再ネゴシエーション

個別の実装の問題OpenSSL(HeartBleed, CCSInjection等)MS (識別名NULL終端, ASN.1)

CAの運用の問題CA攻撃により不正証明書発行CAオペミスで不正証明書発行暗号危殆化で偽造証明書発行(MD5)

管理上

SSL/TLS

問題

対策

証明書ブラックリストの更新

Cert Pinning, CT, DNSSEC設定による検知

各種パッチ、アップデートの適用

暗号スイート、プロトコル、圧縮の設定

各種パッチ、アップデートの適用

アップデートの適用

暗号スイート、プロトコル、圧縮の設定

側設定

対策

古い脆弱性であっても、アップデートだけでは解決しない問題が多数残っているデフォルト設定でなく、きめ細かい設定で問題に対処する必要がある

暗号スイート(CipherSuite)の設定

　　　


暗号スイート(CipherSuite)とは

ClientHello, ServerHelloでウェブブラウザとウェブサーバーが合意する暗号アルゴリズムのセット

ClientHello TLS_RSA_WITH_RC4_128_MD5

TLS_RSA_WITH_DES_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

をサポートしてますけど、どうしましょうか?

ServerHello では、これでお願いします

TLS_ECDHE_RSA_WITH_AES_128_ADES_GCM_SHASHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256　　値 c02f

(例)

鍵交換と(公開鍵暗号を使った)認証のアルゴリズム

データの共通鍵暗号のアルゴリズム

メッセージ認証(MAC)のアルゴリズム

相手認証データ暗号化改ざん防止

標準(RFC)では

300種以上規定されている

通信暗号強度が決まるのでサーバー側では注意が必要

TLS_RSA_WITH_AES128_CBC_SHA　　値 0010

※ハッシュ関数SHA1でなくMAC関数 HmacSHA1



鍵交換認証暗号化 MAC

使

てよい

ECDHEECDHRSADHEDH

RSAECDSA

AES_128_GCMAES_256_GCMAES_128_CBCAES_256_CBC3DES_EDE_CBC

SHA384SHA256SHA

使

ち

ダメ

RSA_EXPORTDSS_EXPORT

RC4_128DES_CBC

MD5

現在使われている主要な暗号、ダメな暗号

強い

弱い

残りの3つの大切なHTTPS設定

　　　



① POODLE対策として使用プロトコルバージョンv  SSLProtocol all –SSLv2 –SSLv3v  POODLE対策としてSSLv3を無効化できるか？v  レガシーな環境ではSSLv3を残す必要があるかも

② CRIME対策としての圧縮設定の解除v  SSLCompression Offv  CRIME攻撃、TIME攻撃対策としてSSL圧縮を無効化する

残りの大切な設定１、２


大切な設定３：SSLHonorCipherOrder On暗号スイートのサーバー側優先

デフォルト設定のクライアント側暗号スイートを優先するサイト

クライアントから送る暗号スイート一覧の順序を優先して接続すると弱い暗号が使われることがある

Android や JRE 1.4-1.6 の Java API (URLConnection, Apache HTTP Components/HTTPClient)を使用した場合、RC4-MD5が最優先されてしまう。(WebViewは問題無し)

Windows XP上のIE7ではRC4-MD5のような弱い暗号が優先されてしまっていた。

SSLHonorCipherOrder On等設定してサーバー側を優先する設定を

RC4-MD5RC4-SHAAES128-SHA

AES256-SHA以下略

ClientHello

RC4-MD5

ServerHello

参考　PKIDay 2011 NTT武藤氏：SSLにおける暗号危殆化サンプル調査の報告　http://www.jnsa.org/seminar/pki-day/2011/data/03_mutoh.pdf　　　自堕落な技術者の日記 JRE 1.4-1.6やAndroidのAPIを使ったHTTPS接続のCipherSuitesのRC4-MD5優先　http://blog.livedoor.jp/k_urushima/archives/1727793.html

さらに知りたいとき

　　　



CRYPTREC/IPAのSSL/TLS暗号設定ガイド

SSL暗号設定ガイドライン

平成27年5月

独立行政法人　情報処理推進機構国立研究開発法人　情報通信研究機構

IPA版 CRYPTREC版

http://www.ipa.go.jp/security/vuln/ssl_crypt_config.html

http://www.cryptrec.go.jp/topics/cryptrec_20150522_oper_guideline_fy2014.html

2015年5月に

公開

IPA SSL ガイド検索

(非公式)設定ファイル自動生成ツールをご利用くださいhttps://kjur.github.io/jsrsasign/tool_httpscfg.html

•  基本、「お好みのガイド」と「サーバーの種類」を選ぶだけ。

•  CRYPTREC/IPAガイドを含む、様々なガイドラインに準拠したHTTPS設定ファイルを自動生成します。

•  今は、Apache HTTP 2.2/2.4、nginx、lighttpdに対応しています。

•  証明書(PEM)を貼れば、Certificate Pinningの鍵ハッシュ計算も自動で行います。

•  ガイド種類はCRYPTREC, NIST, Mozilla, Bulletproof他、OSデフォルトもサポート



Microsoft IISの暗号スイート/プロトコル設定オススメIISの暗号スイート/プロトコルの設定ツール(参考)

NARTAC IIS Cryptohttps://www.nartac.com/Products/IISCrypto/グループポリシーエディタでも設定可能だが、簡単に暗号スイート/プロトコルを設定できるフリーウェア


Apache Tomcatの暗号スイート設定 (参考)

Tomcatで使用するJavaがどのバージョンかで、設定できる暗号スイートやその名称が決まるため、サポートする暗号スイート一覧が簡単に得られると有り難い。このような時、SSLInfoというツールを使用している。

https://gist.github.com/MikeN123/8810553

コンパイルしてTomcatで使うJavaで実行すれば暗号スイート一覧が得られる。

※ J2SE 1.6.0_65のサポートするCipherSuites一覧Default Cipher* SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA* SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA* SSL_DHE_DSS_WITH_DES_CBC_SHA* SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA* SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA* SSL_DHE_RSA_WITH_DES_CBC_SHA SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 SSL_DH_anon_WITH_3DES_EDE_CBC_SHA SSL_DH_anon_WITH_DES_CBC_SHA SSL_DH_anon_WITH_RC4_128_MD5* SSL_RSA_EXPORT_WITH_DES40_CBC_SHA* SSL_RSA_EXPORT_WITH_RC4_40_MD5* SSL_RSA_WITH_3DES_EDE_CBC_SHA* SSL_RSA_WITH_DES_CBC_SHA SSL_RSA_WITH_NULL_MD5 SSL_RSA_WITH_NULL_SHA* SSL_RSA_WITH_RC4_128_MD5* SSL_RSA_WITH_RC4_128_SHA

* TLS_DHE_DSS_WITH_AES_128_CBC_SHA* TLS_DHE_DSS_WITH_AES_256_CBC_SHA* TLS_DHE_RSA_WITH_AES_128_CBC_SHA* TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DH_anon_WITH_AES_128_CBC_SHA TLS_DH_anon_WITH_AES_256_CBC_SHA* TLS_EMPTY_RENEGOTIATION_INFO_SCSV TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5 TLS_KRB5_EXPORT_WITH_DES_CBC_40_SHA TLS_KRB5_EXPORT_WITH_RC4_40_MD5 TLS_KRB5_EXPORT_WITH_RC4_40_SHA TLS_KRB5_WITH_3DES_EDE_CBC_MD5 TLS_KRB5_WITH_3DES_EDE_CBC_SHA TLS_KRB5_WITH_DES_CBC_MD5 TLS_KRB5_WITH_DES_CBC_SHA TLS_KRB5_WITH_RC4_128_MD5 TLS_KRB5_WITH_RC4_128_SHA* TLS_RSA_WITH_AES_128_CBC_SHA* TLS_RSA_WITH_AES_256_CBC_SHA※ ‘*’印はデフォルトで提供されるCipherSuites


最後にQualys SSLLabsで設定を確認しましょう

https://www.ssllabs.com/ssltest/ を開きあなたのサイトのドメインを入力し「Do not show the results on the boards」をチェックしボタンを押します。

•  あなたのサイトのSSL設定を様々な観点からチェックしてくれます。

•  対応している暗号スイート、プロトコルの確認•  主要クライアントで選択される暗号スイート•  証明書チェーン、OCSP、HSTS、Stapling•  最近の脆弱性や設定項目の対応状況

•  POODLE•  BEAST•  ダウングレード攻撃•  TLS圧縮の設定•  RC4•  CSSInjection•  Forward Secrecy•  HeartBleed•  LogJam•  セキュアな再ネゴシエーション•  Public Key Pinning

•  ブラウザのどのバージョンからアクセス可能か

ポカ〜〜〜ンネタ「楕円曲線暗号について」

　　　



•  暗号スイート(CipherSuite)の所で出てくる公開鍵暗号の一つ

•  EC (Elliptic Curve)•  ECDH(E)鍵交換、ECDSA署名/証明書

•  コンパクト•  鍵のデータサイズはRSAの10分の1以下•  処理に必要なメモリが小さく組込みやICカードに適

今日のSSL/TLSの話で出てくる楕円曲線暗号


•  ある計算は簡単だけど、逆演算は難しいという性質

•  大きな2つの数の掛け算は簡単だけどその結果を2つの因数に分解するのは難しい

→ RSA暗号

•  じゃぁ、楕円曲線暗号(ECC)は？

公開鍵暗号はどんな性質を使うか


楕円曲線公開鍵暗号(1)楕円曲線は楕円ではない

y2 = x3 + ax + bを満たす曲線を「楕円曲線」という注：楕円じゃない

(性質)

直線を引くと多くの場合3つの点A, B, Cで交わる

X軸で線対称

A

B

C

D


楕円曲線公開鍵暗号(2)点の足し算=2つの点から３つ目を見つけること

2つの点A,Bから3つめの交点Cを見つけそのX軸対称の点をDとする

これを

と足し算で表す

A

B

C

D

A=B

C

D

接点A=Bの場合

A+B=D

A+A=D

すると

A+A+…=nA整数と点の掛け算を定義できる


楕円曲線公開鍵暗号(3)実数ではなく整数Iを素数pで割った余りでやる

曲線上の点のx、y座標が「整数Iを素数pで割った余り」で行う

G

2G

3G

4G素数p

p

p

G

nGn

ある点nGが与えられた時、nが大きければnGからnを求めるのは非常に難しい

素数p

基準点


(参考) 例えば素数p=263の場合

点をプロットするとこんな感じ

出典： http://www.johannes-bauer.com/compsci/ecc/

y=p/2で点が線対称になるという特徴がある

n=1, 2, 3 … と軌跡を追うともうぐちゃぐちゃ

これをp=256bitの巨大な整数でやるから、もっとスゴイ事に！


楕円曲線公開鍵暗号(4)楕円曲線を使った公開鍵暗号

n nG

G(x,y)

p

基準点

剰余の素数

曲線定数 a 曲線定数 b

秘密鍵公開鍵

曲線パラメータ

公開鍵nGとパラメータG, p, a, bから秘密鍵nを見つけるのは困難→ 公開鍵暗号として使える！！

(特徴)データが小さい(256bなら公開65, 秘密32, パラ数byte以下


•  曲線パラメータの値によって•  暗号強度や計算の効率性が違う•  標準化団体、業界団体が良いパラメータを選んだ→ 名前つき曲線 (Named Curve)

•  以下が代表的•  NIST P-256、P-384、P-521•  secp256r1、secp256k1、secp384r1、secp521r1

曲線パラメータは何でもよくない→Named Curve

ご清聴ありがとうございました

qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいssl/tls

Technology