自堕落な技術者の日記

いや〜、今年は脆弱性対策が当たり年ですね〜〜(トホホ)。 bash ShellShockの対策も継続して観察しているなか、 新しいPOODLEというSSLv3プロトコルに関する脆弱性が出てしまいました。 子犬のプードルだって！可愛くないっつ〜〜の！！ SSLv3プロトコルのパディングの問題点を突いて、効率的に暗号文を 復号できしまうので、例えばセッションクッキーを復号して通信を盗聴することが できるのだそうです。 POODLEはPadding Oracle On Downgraded Legacy Encryptionの略だそうで、 パディングオラクルとはパディングを含む暗号文を入力として送りつけると、 そのパティングが正しいかどうかを返してくれるブラックボックスのような 計算機のこと。 SSLv3みたいなできて15年にもなる弱い暗号通信プロトコルに、 強制的にダウングレードさせて、 オラクルに対して何回もいろいろ入力を変えて試行して、 エラーメッセージなどどう反応するかを見る事で、 暗号文の解読が効率良く行えるという攻撃です。

気がついたまでの経緯は当日どんな感じだったかというと、日本時間で10月14日の23:30頃、 The Registerの「NASTY SSL 3.0 vuln to be revealed soon」の記事を見つけていまい、こりゃ、やばげだなと。知り合いに明日ヤバイのがまた来そうと連絡しました。TLS 1.0とSSL 3.0とバージョン番号が違うだけだと言い張る人も多い中、Macとか、パディングとかそのちょっとの違いが仇になるんじゃないかと、ずっと気になってたんですが、とうとう来たかと。詳細情報は夜が明けないとわからないので、半分 wktk しながら寝て待ってたんですが、朝になって、Googleのブログ 「This POODLE bites: exploiting the SSL 3.0 fallback」が出てきたものの、わかったことはプードルという可愛らしい攻撃の名前と、GoogleサイトとChromeはとっくにTLS_FALLBACK_SCSVに対応しているぜ！みたいな。 自慢かっ？技術詳細なく自慢だけなのかっ！と憤りつつ、しばらく待ってると、 やっと安定のImperialVioletで 「POODLE attacks on SSLv3 (14 Oct 2014)」 技術解説が出たのを見て、こりゃマジやべ〜〜な、と・・・ その後、情報のとりまとめにいそしんでおりました。

この記事では、様々なHTTPSサーバーに対するPOODLE脆弱性対策の 方法について、まとめておきたいと思います。

古いガラケーや、一部のゲーム機や、古い環境でのAPI利用などを除いて、 一般のブラウザであればSSLv3でしか通信できないという事は無いので、 SSLv3を無効化するというのが、一番正当なPOODLE対策であると思います。 この章では、SSLv3を無効にするために、 サーバーのソフトウェア毎にどのように設定すればよいかをまとめます。

httpd.confやssl.confに

SSLProtocol All -SSLv2 -SSLv3

nss.confもしくはhttpd.confで

NSSProtocol TLSv1.0,TLSv1.1

ssl_protocols TLSv1 TLSv1.1 TLSv1.2

lighttpd 1.4.28 以降を使用。それ以前ではSSLv3を無効化できません。

ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"

コマンドラインで以下を実行することで、レジストリ設定により無効化します。 (参考 [1] [2] [3])

reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 0 /f

Tomcatの設定ファイル "server.xml"の"Connector"要素において、 Tomcatのバージョンに依存して、 sslEnabledProtocols属性もしくはprotocols属性に 使用するプロトコルをSSLv3を除いたTLSv1、TLSv1.1、TLSv1.2 を設定することにより、 SSLv3での接続を無効化することができます。 (参考 [4])

<Connector port="8443" protocol="HTTP/1.1"
  SSLEnabled="true" maxThreads="150" 
  scheme="https" secure="true"
  clientAuth="false"
  keystoreFile="/etc/tomcat/server.jks"
  keystorePass="password"
  sslProtocol="TLS"
  protocols="TLSv1,TLSv1.1,TLSv1.2"/>

<Connector port="8443" protocol="HTTP/1.1"
  SSLEnabled="true" maxThreads="150" 
  scheme="https" secure="true"
  clientAuth="false"
  keystoreFile="/etc/tomcat/server.jks"
  keystorePass="password"
  sslProtocol="TLS"
  sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"/>

Tomcat同様これもインターネット直出ししている事はないと思いますが 以下の実装例のようにsecureOptionsでSSLv2,SSLv3を使用しないよう設定が可能です。 (参考 [6])

var constants = require('constants')
  , https = require('https')
  , path = require('path')
  , tls = require('tls')
  , fs = require('fs');
https.createServer({
  secureProtocol: 'SSLv23_method',
  secureOptions: (constants.SSL_OP_NO_SSLv3 | constants.SSL_OP_NO_SSLv2),
  cert: fs.readFileSync(path.join(__dirname, 'ssl', 'server.crt')),
  key: fs.readFileSync(path.join(__dirname, 'ssl', 'server.key')),
}, function (req, res) {
  res.end('works');
}).listen(443);

アドバイザリ が公開されています。httpd.confで以下のように設定し、サーバーを再起動します。

<VirtualHost *:443>
SSLEnable
SSLProtocolDisable SSLv2 SSLv3
その他の設定
</VirtualHost>

AWSから セキュリティアドバイザリが公開されており何度もアップデートされています。 利用するサービスによってそれぞれ対策が必要です。

その他のサーバーについては、以下を参考にしてみてください。

• ask ubuntu: How do I patch/workaround SSLv3 POODLE vulnerability (CVE--2014--3566)? - とても参考になります。Postfix SMTP, Sendmail, Dovecot, Courier-imap, HAProxy Server, OpenVPN, Puppetなど、特にメール関連サーバーはこちらを参考にしてみて下さい。

現在サポートされているPCやスマートフォンのブラウザではTLSv1.0以降 がサポートされているので問題にならないと思いますが、 例えば、2007年秋以前のdocomoのガラケーやSONY PS3では、SSLv3しかサポート していないことを実機で確認しています。 古いガラケー、ゲーム機、組込み機器に対応するウェブサーバーを 運用する場合には、接続できずクレームになる可能性もありますので、 クライアント側の対応環境を確認すると良いと思います。

また、ウェブサーバーをAPIで利用する場合にも、どのような環境、 言語実装を使うかで問題があるケースがありますので、 確認しておくと良いと思います。TwitterやFacebookも API利用されているためにトラブルになったそうです。

• しばやん雑記: Twitter や Facebook が SSL 3.0 を無効にしたので死にかけた話 (2014.10.15)

OpenLDAPについてはslapd.confを以下のように設定します。 (参考 [?])

バージョン 2.4.36以降の場合
TLSProtocolMin 3.1
バージョン 2.4.14〜2.4.35の場合
TLSProtocolMin 769

一般的なブラウザに関してはSSLv3を無効化する方向で進んでおり、 ウェブサイトでもSSLv3を無効化するのが、正しい対応だと思いますが、 古い環境をサポートしなければならないために、SSLv3を有効に しておかなければならないケースもあると思います。 3章では、SSLv3をサポートしなければならないケースでの、 脆弱性の緩和策について説明したいと思います。

POODLE脆弱性はSSLv3とブロック暗号のCBCブロックモードを使用した 場合に影響があるので、暗号スイートとして以下を選択することで 問題を緩和することができます。

• 認証付暗号化方式(AEAD)であるGCMブロックモードの暗号スイートを使用する
• ストリーム暗号(RC4,ChaChaなど)を使用する

RC4ストリーム暗号は、現実的な時間内に部分的に解読することが 可能な危殆化した暗号で使用すべきでないとされていますが、 POODLE脆弱性は適用条件や解読にかかる手間が極端に少ないので、 Triple DESをCBCモードで使うよりもRC4の方が、まだ安全であると 言えます。

• TLS_RSA_WITH_3DES_EDE_CBC_SHA を含む全ての暗号スイートを無効化
• その上で、TLS_RSA_WITH_RC4_128_SHA のみを有効化
• 同時に新しめのクライアントも環境もサポートしたいならGCMの暗号スイートを有効にする

ただし、マイクロソフト製品では2014年8月のアップデート以降、RC4は無効になっていますので、 Windows系のサーバー機を使用する場合には、Apacheなど他のサーバーを使う必要があるでしょう。

SSL/TLSで通信を開始した直後はTLSv1.0以上で問題ない接続であったとしても、 ある種の攻撃により脆弱なSSLv3.0以下にダウングレードさせる攻撃があります。

これを、防ぐための新しく提案されている仕組みが TLS_FALLBACK_SCSV オプションを使う方法です。これをサーバーとクライアントの双方が サポートする場合、TLSからSSLv3.0以下に強制ダウングレードさせることは できなくなります。

ただ、これをサポートしている環境は現時点(2014.10.18)では非常に限定的です。

• クライアント
  • Google Chromeのみ
• サーバー
  • 最新の2014.10.15リリースのOpenSSL 1.0.1j/1.0.0o/0.9.8zcを利用するApache,Nginx,Lighttpdなどのサーバー
  • Google提供のサービス(2014年2月頃からサポートしていたらしい)

• CBCブロック暗号モードをどうしても使う必要があり、
• TLSで最初接続できた利用者にはSSLv3ダウングレードせず安全に使用して欲しい。
• SSLv3で接続してきた利用者にはリスクを承知でCBCモードで接続してもらってもよい。

自分なりにケース毎の対応策(案)を整理してみました。よかったら参考にしてください。

表について、少し補足したいと思います。対策としては、SSLv3を無効にするのが基本的な対策となりますが、SSLv3を残しておく必要がある場合に、幾つかのケースに分類してみました。

一番良いのは、やはり(ケース2-1)のようにTLSv1.xのサーバーと、SSLv3のサーバーとを分ける事であるように思います。最近のウェブアプリケーションではHTML5、JavaScript、CSSなどリッチコンテンツが増えて、そうしたモダンなブラウザ向けのサービスと、SSLv3しかサポートしないサービスとを分けることで、互いに安全に利用することができます。

どうしても1台のサーバーでモダンなブラウザのユーザと、SSLv3のみにしか対応しないユーザに 対応する必要がある場合には、(ケース2-2)のように、CBCモードを使うことをあきらめ、モダンなブラウザユーザは TLSv1.xをGCMモードで接続することになり、GCMモードに対応できないユーザは、弱い暗号であるRC4のリスクを 受容して利用してもらうことになります。例えば、以下の順序で暗号スイートを設定するのが良いでしょう。

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA
• TLS_RSA_WITH_RC4_128_SHA

以上、SSLサーバーでPOODLE脆弱性対応をする方法について、いろいろなサーバー 毎にまとめてみました。参考になればうれしいです。今日は、こんなとこで。

SSLv3のパディングについては、いろいろ勉強したので、近いうちに記事にできるといいなと思っています。

• 2014.10.19 IBM HTTP Server, AWS, 対応策(案)の整理について追記しました。
• 2014.10.22 OpenLDAP ついて追記しました。
• 2014.10.28 Apache Tomcatの設定についてコメント頂きましたので、 実際に調査をし、 記述を修正しました。コメント頂きましたuraさん、takeshiさん、Youngdong.lee さん、ありがとうございました。

いや〜〜っ、誕生日も近かったんで、気の迷いですかねぇ。Android WearでもApple Watchでもない、SIM対応のフルAndroidのスマートウォッチARES EC309を買ってしまいました。ゲットしてから随分経ったので、まだ使い込んでない部分もあるんですが、そろそろレポしたいと思います。

元々は米国などで2013年12月頃からgoophone EC309という名前で出ていた中華系のスマートウォッチを ARESさんが日本で使えるように技適マークなど取得したのがARES EC309みたいです。

Android Wear対応のお洒落なやつが Motorolaから出てたり、 Apple Watchも出ようと したりしてるわけですが、自分には今ひとつピンとこないわけです。こいつらって、 ネットワークに繋がるiPhoneやAndroidと繋がって何かするものじゃないですか。 それに何でもできるわけじゃない。

• 別に脈拍やら健康状態やらを腕時計で管理して欲しいわけじゃない。
• こうしたガジェットをつけてランニングしたりする趣味も無い。 むしろ泳ぐ方が好きなので、こうしたガジェットは全く役に立たない。
• 単体で動作してくれないデバイスなど、両方の電池切れの心配を しなきゃいけないから面倒臭い。
• これで動くアプリを手軽に作って試してみたい。
• 使えそうなアプリもそんなになさそう。

この手のAndroidスマートウォッチは他にもあるそうなんですが、この件に関しては海外サイトで購入とかそういう面倒臭いのはいやだったので、日本で買えてサポートもしてくれそうなやつというとARES EC309ぐらいしか無い事がわかり、誕生日も近かったので自分への誕プレかなと、8月末頃ぽちっとなしてしてしまいました。9月末ごろ発送だというので気長に待ってたら秋分の日あたりに到着しました。


私は腕が細いので少し大きめ、厚めに見えますが、まぁ、 ファッションウォッチにもこれくらいのあるだろうし我慢できるサイズで、 重さもむしろ見た目より軽いくらいでつけ心地は悪くないです。 Windows 8風のランチャーがデフォルトで入っています。

時計の文字盤パターンはたった3種類でどれもイケてなくPebbleのようにはいかないみたいです。まぁ、時計としてあんまり使わないからいいかw Windows 8風のランチャーの時計で十分な気もします。

まぁ、スマートウォッチなもんで、ネットに繋がないと意味がないわけですが、そのためには、 まず、家のWiFiに繋ぐ必要があります。SSIDとWPAキーを入力する必要がありますが、 これが泣きそうに面倒臭い。一応フリック入力なんですが、こんなもん小さすぎて入れられるか〜〜〜っ！！！何度も打ち間違えをし、途中で入力キャンセルされたり、間違っていたり、入力になれていないせいもあり、かなりの時間格闘しながら、ようやく家のWiFi接続できました。特に打ち間違えた際に使うDELETEキーがあるんですが、画面の右下自体がAndroidのバックボタンとかぶっているために、文字削除しようとすると、前の画面に戻っちゃって苦労したわけです。

AndroidではGoogleアカウントを入力しないと、Google Playでアプリの追加もできないし、メールも読めません。ウチの場合は、無線LANのアカウントよりもGoogleのアカウントの方が入力が面倒臭いものになっていたので、そこでも最初に苦労しました。イライラしすぎて、その晩はあきらめ、寝てしまい、翌日100円ショップなどでスマホ入力用のタッチペンなど買うかなぁと思ってたんですが、何日か忘れてしまい、結局気合いでGoogleアカウントを登録でき、ようやくアプリのダウンロードができるようになりました。どうです？画面かなりちっちゃいでしょ？

Google Playのサイトで「Smart Watch」で検索してみると、Smart Watchのような小さな画面でも動くアプリがいっぱい紹介されており、「これらなら、画面が小さいヤツでもイケるだろ」と

• 雨雲レーダー for SmartWatch
• 乗換案内 for SmartWatch2

2つ入れてみたスマートフォン用らしいアプリがどちらも動かなかったので、こりゃメモリカード関係の故障か、アプリのインストール先の設定が間違っているんじゃないかと、自分で解決できそうになかったのでARESさんのサポートにメールしてみました。１、２日後にはお返事を頂けるのでとても有り難いと思いました。

で、回答は要約すると、

画面が小さいため全てのアプリが動くわけではなく、全てのアプリの 検証をやっているわけではないです。産経アプリスタさんのサイトにレビュー 「衝撃の”腕時計型スマホ”を使ってみた！LINEもTwitter も使えるぞ」もご覧ください。

ARES EC309の醍醐味はSIMカードをさす事ができるフツーのAndroidであることです。外出先でも使えないと意味ないじゃないですか。NEXUS 7に挿してあったIIJmioのカードを挿してみたのですが、何とも認識してくれずエラーが出ちゃいます。こちらもまた、ARESさんのサポートに問合せさせて頂いたところ、APNが設定されていないのでは？との事で以下のサポートページをご紹介いただきました。

• ARES EC309の設定（APN設定編）使えるSIMはこれ！
• APN設定について（FAQ）

で、SIMやらWiFiやら使ってみるとよくわかるんですが、本体が結構熱くなって電池もぐんぐん減っていきます。通信が必要ない時にはマメに機内モードにしておくといいみたいです。機内モードにしておけば、充電は2、3日ぐらいは持つみたいです。

AirDroidは、AndroidとPCを無線等でつなげて操作できるようにするアプリで例えば以下のような事で助かったりします。

• クリップボードの変更(これはEC309で文字入力面倒なのでとても助かる。面倒なパスワードとかもこれで送ってしまう。)
• Androidのデスクトップのキャプチャ(このブログで使った)
• ファイルの送受信
• アプリの削除、インストール。特に自作アプリをGoogle Playにアップしなくても、USB接続してコマンド打ったりしなくてもインストールできるのは有り難い。

その他にもとりあえずでこんなアプリを入れ重宝しています。ポイントとして↓な感じでしょうか。

• Yahoo Japanのアプリは概ね極小画面にも対応しておりとても操作しやすいからおすすめ
• for SmartWatchと名前がついたものは概ね動かない

小さなキーボードによる入力の間違いとの格闘に辟易して、音声入力で何とかならないかなと考えています。で、いろいろ音声入力系のアプリを入れてみたんですが、動かないやつが多すぎ。音声入力をしようとするとアプリケーションが落ちるのです。気になって、設定等見てみると、

どうやらAndroid 4.0からデフォルトで入っているはずのGoogle 音声入力が入っていないようなのです。 アプリケーションとしてインストールを幾つか試してみたんですが、結局入ってくれそうにありません。 これが原因で音声入力系のAndroidアプリの殆どが使えなくなってるみたいなんです。

Android 4.0.4でGoogle音声入力を後インストールする方法をご存知の方は是非教えてください。

Google音声入力は結局、入れ方もわからず、困ったままなんですが、「Yahoo音声アシスト」というのを入れるとSiriみたいにウェブ検索してくれたり、アプリ起動してくれたりします。認識率も良くて結構使えると思います。

ウルトラセブンのウルトラ警備隊の人は腕時計型のテレビ電話システム「ビデオシーバー」を持っているんですが、 ARES EC309も、

• これ単体で3G/LTEで通信ができる
• 液晶ディスプレイがある
• CCDカメラがある

まぁ、こんな感じでスマートウォッチARES EC309と格闘しており、2chでの書き込みも「ダメダメじゃん」みたいな風潮になっているようですが、自分としては「意外に愛い(うい)やつ、フフフフ」という感じになっています。ARES EC309で動いたアプリ、どういう不具合で動かなかったかは別館で今後もまとめていこうと思っています。

• 自堕落な技術者のウィキ：ARES EC309の便利なリンク

• YouTube: Smartwatch Goophone EC309 Test par GLG du JT Geek (2013.12.27) - フランス語でのEC309使用レビュー
• 胃袋: 腕にいつでもAndroid！Goophone Smart Watch EC309 (2013.12.30) - 日本語でのレビュー
• Amazon US: EC309 Smartwatch Phone Android 4.0 3G WCDMA Unlock Watch Phone 5.0M Camera - Wifi - GPS (Blue) - 米アマゾンの購入ページ。カラーバリエーションがある。

一昨日、Bitcoinの技術解説のスライドをslideshare.netに公開したんですが、

難解な資料にもかかわらず、あまりの反響の多さに少し驚いています。

二日ぐらいで17800を超えるslideshareへのアクセスを頂き、「it is one of the most popular this week on SlideShare」に選んで頂いたり、
たくさんTwitterでつぶやいて頂いたり、Facebookでいいねを頂いたり、

はてなブックマークでもたくさんブックマークやコメントを頂いたり

感謝至極でございます。この場を借りて御礼申し上げます。ありがとうございました。

会社からの許可が下りたので(^^; 2014年6月に日本ネットワークセキュリティ協会(JNSA) PKI相互運用WG・電子署名WGの共催で行われた「Bitcoin勉強会(技術編)」の資料を公開させて頂きました。

これまでにも、いろいろBitcoinを解説した資料はあったんですが、自分は電子署名屋なもんで、どんなデータにどうやって署名するのか、署名検証するのか、ハッシュ計算するのか、もやもやした感じですっきりしなかったので、実際にプログラム書いてデータ覗いたり署名やハッシュが正しいか確認したりしながら、時間をかけてじっくりいろいろ調査した結果を資料にまとめました。

例えば、blockexplorer.comのトランザクションの詳細情報なんかにしても、詳細表示といいながらこんなふうにJSONで表示されちゃうと、JSONの連想配列は順序関係がないので署名対象がどうなってるのか、理解が止まっちゃうんですよね。そのあたりが、この資料ではすっきりできるのかなと思ってます。よかったら参考にしてください。

私は、暗号の専門家ではなくて、暗号アプリケーション屋だと思っているですが、楕円曲線公開鍵暗号についても今まで理解が十分でなかったものを、これを期にかなり勉強しまして、公開鍵からECDSA署名まで「数学者」ではなく「技術屋」さんのイメージが湧くようにたった「7枚」のスライドで「なんとなく」理解できるようなものができたかなと思います。(専門家の方に言わせると「だめじゃん」みたいな話になっちゃうかもしれないですけど。)

サッカー、同点になりましたね。後半期待できそうです。今日はこんなところで。