自堕落な技術者の日記 : OpenSSL - livedoor Blog（ブログ）

OpenSSL

2017年02月23日20:00

カテゴリ: SSL証明書; PKI

HPKP(HTTP Public Key Pinning)公開鍵ピニングについて考える

もくじ
1. はじめに
 2. HPKPが生まれた背景
 3. HPKPの仕組み
 4. ピンの設定の考察
　 4.1. ピンの値の取得方法
　 4.2. 証明書チェーンに一致するピンの選択
　 4.3. 証明書更新とHPKPヘッダの設定変更の運用方法
　 4.4. バックアップピンという名前のイケてなさ
　 4.5. CA鍵のバックアップピンのオススメの値
　 4.6. 証明書チェーン中で複数ピンをつけても意味はない
　 4.7. 同じCA証明書にPinし続ける場合の課題
　 4.8. 2つのCA証明書にPinする場合の課題
　 4.9. max-ageのオススメ値を考える
 5. HPKPはどの程度使われているのか
 6. 今のHPKPの何がいけなかったのか
 7. おわりに
 8. (参考) HPKP関連の勉強になるリンク
 9. 追記
　 9.1. 追記(2017.02.26) HPKPのブラウザサポート状況
　 9.2. 追記(2017.02.26) smashingmagazine.comで発生したHPKP障害

1. はじめに

HPKPとはHTTP Public Key Pinningの略で、RFC 7469 Public Key Pinning Extension for HTTPで規定されており、ウェブサイトのオーナーが、ニセのサイトで意図しない証明書チェーンが使われないように保護するための仕組みです。

日本語解説は少ないですが、敬愛する jovi0608さんの記事やJxckさんの記事などでも解説されています。

私も3年ちょい前、IPAのガイドを書いていた前あたりから、HPKPの運用上の課題について、何かブログ等で書きたいと思っていたのですが、なんか日頃のヘンなことに忙殺されて、これまでまとめて書くことができませんでした。(なんか書こうと思ってたらjoviさんのが出ちゃって、まぁいいかと思っちゃったっていうのもありますw) IPAのガイドの時も書かせてもらおうとしたんですが、なんだか大人の事情で追加させてもらうことができませんでした。とほほ。

今回は、HPKPとは何かといった基本的なことは、他の方のブログに譲るとして、HPKPの現状やHPKPの運用上の課題についてフォーカスして書きたいと思っています。長くなりそうですが、ごめんなさいね。

結論から言えば、本番サイトで安易にHPKPを使うのはやめた方がいいと考えています。それは、HPKPの仕様自体が運用をしっかり考えて設計されておらず、一般的なサイトでは大したセキュリティ上の効果が無い割に、長期の運用でサービスを提供できなくなる期間が発生するリスクが高すぎるし、証明書のコストも余計にかかるからです。

おそらく、HPKPの運用について深く突っ込んでかいた、世界では初めての解説資料かなと思います。ご笑納くださいw

2. HPKPが生まれた背景

2011年頃から、認証局を対象にしたサイバー攻撃や、認証局の運用上の不備などで、攻撃に利用しやすいGoogleやFacebookといった有名サイト向けのワイルドカード証明書(*.google.com等)を取得されてしまうという事件が増えてきました。Googleを怒らせちゃったのは2011年のオランダの認証局DigiNotarが不正侵入を受け、*.google.comのワイルドカード証明書を発行され、イランのプロバイダの盗聴や攻撃に使われたという事件がありました。
hpkp-digi
このような事件を防ぐためには、ウェブサイトに対して、サイトオーナーの意図しない証明書が使われた場合に、警告を発する仕組みが必要です。そこで開発されたのが、HPKPです。HPKPでは、証明書チェーンの証明書公開鍵のハッシュの一致を確認することにより、ウェブサイトオーナーの意図した証明書かどうか検証することができます。
hpkp-hpkp1
joviさんのブログの1章で背景と仕組みをわかりやすく解説されているので、そちらもご覧頂ければと思います。

3. HPKPの仕組み

HPKPの実装方法には2つの方法があります。

1) Google、Facebook、Twitterなどの有名サイト向けの、Chrome、Firefoxなどブラウザに組み込まれたピンのリスト(Preloaded Known Pinned Host List)と照合する方法
2) HTTPSで通信する際に、サーバーからピン情報のHTTPヘッダを取得し、それをブラウザに保管しておき、以降の通信で照合に使う方法

1) の方法は、ブラウザを最新になっているならば何も設定しなくても、有名なサイトについてはHPKPを使って安全に接続することができます。今回の記事で議論したいのは2)のサイトオーナーが設定する場合についてなので、2)の仕組みについて説明します。
hpkp-sethead

ウェブサーバーに不正な証明書チェーンに接続させないためのHPKP HTTPヘッダを設定するのですが、これはウェブサーバーのHTTPS設定で使用するルート証明書からSSLサーバー証明書までの証明書チェーンを元に設定します。HTTPヘッダとその値の書式は以下のようになっています。


Public-Key-Pins: \
　　pin-sha256="チェーン中の公開鍵のどれかのSHA256ハッシュ値のBase64"; \
　　pin-sha256="チェーン中の公開鍵のどれにも一致しないSHA256ハッシュ値のBase64"; \
　　[pin-sha256="その他ハッシュ値1"; ...; ] \
　　max-age=ブラウザにこのHPKPヘッダが保管される秒数; \
　　[includeSubDomain;] \　　　　サブドメイン(example.comならsub.example.com)もHPKPの対象にするか
　　[report-uri="JSON形式のエラーレポートがPOSTされるURL"; ]

[...]はオプション

pin-sha256は証明書チェーンを元に設定しますが、その設定方法や考察については後で述べます。
max-ageの保存期間はRFCの4.1節で考察しており60日(=5184000秒)が良いのでは？としていますが、その考察も後で述べさせて下さい。
includeSubDmainは、サブドメインまで含めるか、例えば example.com にHPKPを設定したら、sub1.example.comも、www1.sub2.example.comもHPKPの対象にするというフラグです。現時点で持っていないなら安易に設定しない方が良いように思います。
HPKPは、CSPなどと同様ににブラウザ側で検証するので、サーバー側にはエラー原因が把握できず困ることがあります。report-uriを使えば、ブラウザでHPKPのエラーが発生した際に、指定したURLのウェブサーバーにJSON形式のエラーレポートをPOSTすることで送信しますので、設定上の問題を知るのに役立つかもしれません。Jxckさんのブログで設定を試してみたという詳しい報告がされているのでご覧になると良いでしょう。ブログでも書かれていますが、レポートが出力される条件がよくわからず、ブラウザやバージョンにも依存するようで、私もレポート生成がうまくできていません。

また、HTTPヘッダについて "Public-Key-Pins" ではなく、"Public-Key-Pins-Report-Only" と設定すれば、ブラウザではエラーを発生させることなく、エラーレポートの収集はできますので、テストの際にこれを使うと良いでしょう。

4. ピンの設定の考察

pin-sha256属性を使ってピンを設定することにより、サーバーオーナーが意図しない証明書が使われることを防ぐことができます。ピンの値は、証明書チェーンの証明書の何れかの証明書に一致するものを最低一つ、どれにも一致しないものを最低一つの計2つ以上により構成されます。
hpkp-intersect

4.1. ピンの値の取得方法

さて、一番簡単なハッシュ値の取得方法ですが、すでにウェブサーバーのHTTPS設定が完了しているならば、Scott Helme氏のHPKPハッシュの所得ページを利用するのが良いです。自分のでも他人のでもHTTPSサイトのURLを入力すれば、証明書チェーンの各証明書のピンのハッシュ値を計算してくれます。

SSLサーバー証明書から順にルート証明書まで、ピンのハッシュ値が

pin-sha256="hUIG87ch71EZQYhZBEkq2VKBLjhussUw7nR8wyuY7rY="

のように表示されますので、どのピンを使うのかを決めてHTTPヘッダに設定するだけです。

一つのピンのハッシュ値の計算ですが、証明書からでも、証明書発行要求(CSR/PKCS#10)でも、秘密鍵と鍵アルゴリズムによっては鍵パラメーターから抽出されたPKCS#8公開鍵からでもハッシュ値を計算することができます。ただ、いろんな人のブログでは、わざわざCSRを作ってからハッシュ値を計算しているようですが、特に証明書のまだ無いバックアップピンの場合には、そんなことをしなくとも、公開鍵からハッシュ計算するのが良いように思います。先ほどと同様に、Scott Helme氏のツールでPEM形式のPKCS#8公開鍵、CSR、X.509証明書を入力すれば、ピンのハッシュ値を計算してくれるページがあるので、これを使うのが簡単です。

手作業でピンを取得する場合には、以下を実施すれば公開鍵のSHA256ハッシュであるピンの値が取得できます。他の解説記事では、base64コマンドを使ったり、CSRをいちいち生成するのを強制させたりしているようですが、ここで紹介する方法はOpenSSLコマンドしか使わず、いろいろなケースに対応して、ピンの取得ができるように、例を示しておきました。


X.509証明書からsubjectPublicKeyInfoフィールドにあるPKCS#8公開鍵のピンの入手
% openssl x509 -in PEM証明書 -pubkey -noout | openssl rsa -pubin -outform DER |  \
    openssl dgst -sha256 -binary | openssl enc -base64
te4kc4F/5BhtIosKLOS9sy049x7a/LQHNRRG1WHfvyU=

CSRからsubjectPKInfoフィールドにあるPKCS#8公開鍵のピンの入手
% openssl req -in PEMCSRファイル -pubkey -noout | openssl rsa -pubin -outform DER |  \
    openssl dgst -sha256 -binary | openssl enc -base64
te4kc4F/5BhtIosKLOS9sy049x7a/LQHNRRG1WHfvyU=

PKCS#8秘密鍵からピンの入手
% openssl rsa -in PKCS#8秘密鍵 -pubout -outform DER |  \
    openssl dgst -sha256 -binary |  openssl enc -base64
te4kc4F/5BhtIosKLOS9sy049x7a/LQHNRRG1WHfvyU=

PKCS#8公開鍵からピンの入手
% openssl rsa -pubin -in PKCS#8公開鍵 -pubout -outform DER |  \
    openssl dgst -sha256 -binary | openssl enc -base64
te4kc4F/5BhtIosKLOS9sy049x7a/LQHNRRG1WHfvyU=

得られた値を
pin-sha256="te4kc4F/5BhtIosKLOS9sy049x7a/LQHNRRG1WHfvyU="
のようにヘッダに設定する。

値を取得したら、ウェブサーバーのHTTPヘッダに設定します。例えば、Apache HTTP Serverの場合には、以下のように設定します。


<VirtualHost _default_:443>
...
Header set Public-Key-Pins \
  "pin-sha256=\"MRnxhYBVCMAxZHwalTJ7ZVl6P2005lll4ttWr+RN1Ro=\"; \
   pin-sha256=\"633lt352PKRXbOwf4xSEa1M517scpD3l5f79xMD9r9Q=\"; \
   max-age=2592000; \
   report-uri=\"https://report.example.com\""
...
読みやすさのためにバックスラッシュと改行を入れています。2592000秒は30日です。

4.2. 証明書チェーンに一致するピンの選択

HPKPでは、証明書チェーンに一致するピンを1つ以上設定する必要があります。本節では、次の2つに分けて考察してみたいと思います。

1) 証明書チェーン中のどれか一つのみを選択する場合の比較検討
2) 証明書チェーン中の2つ以上、または全部を選択する場合の考察

4.2. 証明書チェーンに一致するピンの選択

証明書チェーンで、SSLサーバー証明書、中間CA証明書、ルート証明書のような3段の証明書になっている場合、不正な意図しない証明書チェーンになっていないかどうか検証するために、どれか一つのピンを選ぶとすれば、どれを選べば良いでしょうか。これら3つのケースで、それぞれ長所、短所があるので、考察してみたいと思います。 SSLサーバー証明書については、数年後証明書更新の際に使用する鍵ペアがあらかじめ決まっている場合(=鍵事前生成)、決まっていない場合(=鍵事前生成なし)のケースに分けて考察します。

証明書	長所	短所	安全性	運用負担
①ルートCA証明書	有効期間が長いためピン変更の頻度が少なくて済む。おそらく10年程度は変更不要ブラウザ組み込みのプリロードピンではルート証明書を使用	鍵更新後の公開鍵は事前にはわからずバックアップピンは使えない新しいSSLサーバー証明書を購入した場合に、同じルート認証局とは限らず、その際はピンの移行が必要ルート証明書配下の証明書の数は非常に多く、その認証局が不正な証明書を発行された場合に、攻撃を防げないリスクは高い。例えば、シマンテック社がGoogleに許可なくGoogleの証明書を発行する事件があった。証明書更新でルートCAが変更になる可能性は低いが、変更になった場合には、max-ageに配慮した面倒な移行が必要で運用負荷が高い	低	高
②中間CA証明書	有効期間がやや長いためピン変更の頻度が若干少なくて済む。おそらく5年程度は変更不要安全性と運用負担の面でバランスが取れているか？ピンする中間CAの公開鍵に変更がなかった場合のSSLサーバー証明書の更新は比較的楽	ピンしている中間CAの公開鍵が、次回のSSLサーバー証明書更新時に同じであるという保証はない。 SSLサーバー証明書の更新時に、中間CA証明書が変更になるリスクがあるが、それが事前周知されないために、SSL接続不具合によるサービス停止リスクが高い中間CA証明書が変更になった場合の移行に係る運用負担は、回数も、作業負荷も非常に高い同じ中間CAから、不正に同じドメインに対する証明書が発行された場合にも検証有効となってしまうリスクがある。①よりはリスクは低いが、③④よりは高い証明書更新で中間CAが変更になる可能性はある程度あり、①よりは確率が高い。変更になった場合には、max-ageに配慮した面倒な移行が必要で運用負荷が高い	中	中
③SSLサーバー証明書(鍵事前生成)	SSLサーバー証明書の更新時に、ピンした公開鍵のマッチング設定に失敗する可能性が低く、HPKP設定不備によるサービス停止のリスクは最も低い HPKPのRFCでは、(さらっと簡単にできると取れるような記述がされており)推奨されているように取れる方法不正証明書チェーンが使われるリスクは、(秘密鍵漏洩のリスクを除けば)④と同程度に、①②より高い証明書更新の前後で、変更されるピンがあらかじめわかっているので、(max-age内に再度証明書更新をすることをしなければ)max-ageをあまり気にせずに証明書の更新ができる	SSLサーバー証明書の更新時に、鍵ペアの事前生成が可能なのは、OpenSSL等により手作業で鍵ペア生成した場合のみであり、証明書の発行時に、CSRを自前で生成する必要がなく、ブラウザのコンポーネントで自動的に鍵ペア生成するような証明書発行サービスの場合には、本方式は使えない Let's Encryptは使えず、SSLサーバー証明書自動更新に係る運用負担の軽減は見込めない鍵ペアは一般に、証明書の更新時に行われるものだが、それを2年程度前に実施することになる。事前生成しておくと、その分、SSLサーバー証明書の秘密鍵が漏洩するリスクは高く、機密保管の運用負担は大きい証明書の更新時には、それなりに設定変更に気を使う必要がある。また、その回数も2年弱程度おきであり、運用負担は比較的高い	中	中
④SSLサーバー証明書(鍵事前生成なし)	全てを自己制御でき、設定不備によるサービス停止リスクは③と同程度に高い ③に比べてSSLサーバー証明書の秘密鍵が漏洩するリスクも低い不正証明書チェーンが使われるリスクは、(秘密鍵漏洩のリスクを除けば)④と同程度に、①②より高い	SSLサーバー証明書を使える期間が、必ず (max-age + α)×2 分だけ減る。2年物証明書の場合、max-ageを2ヶ月とした場合、テストや余裕も含め4～5ヶ月程度は短くなることになり、証明書の費用負担が増える証明書更新の前後で証明書の有効期間をmax-age+αでオーバーラップさせれば、必ずmax-ageに配慮しながらピンの変更を行うことになる。運用の負担はあるが、ピンが変更になるか認証局次第でどうなるかわからない①②に比べて、必ずmax-ageに配慮した、証明書更新、HPKP設定変更のスケジュールが組めるので、定型運用にできるため運用の心理的負担は①②よりは若干少ない	高	中

では、①～④では、何を選択するかですが、ブラウザ組み込みのピンが使えない一般サイトの場合は、 ②～③のいずれかが妥当だと思いますが、どれも運用の負担や、サービス提供不能になるリスクがあり、個人がテスト目的で設定する場合は何でも良いとして、自分が商用サイトの運用を任されているならば、もっとも懸念すべきは長期間サービス提供不能になりクレームが起きることなので、 HPKPは使わないという判断をすると思います。

4.3. 証明書更新とHPKPヘッダの設定変更の運用方法

4.2節では、証明書チェーンのどこにピンを設定するかで、どのような違いがあるのかについて考察しました。

本節では、4.2節の考察を受けて、設定不具合によるサービス利用不能を防ぎながら、HPKPを使ったサイトの証明書更新、HPKPヘッダの変更を、どのように運用すればよいのかについて考察します。

HPKPを使った場合の証明書更新の運用の仕方は4つのケースにわけることができます。

a)証明書更新のmax-ageより前に確認し、ピンを行っている鍵に変更がない場合
b)証明書更新のmax-ageより前に証明書更新の前後でピンを行う公開鍵が何に変更されるかわかっている場合
c)証明書更新のmax-ageより前に証明書更新の前後でピンを行う公開鍵が何に変更されるかわからない、もしくは変更が明らかだが、更新の前後の証明書の有効期間をmax-age + αオーバーラップできる場合
d)証明書更新のmax-ageより前に証明書更新の前後でピンを行う公開鍵が何に変更されるかわからない、もしくは変更が明らかだが、更新の前後の証明書の有効期間をmax-age + αオーバーラップできない場合

このような説明では、具体的なイメージがわかないと思いますので、証明書チェーン中の証明書に分けて具体例を示してみましょう。

a-1) ルート証明書や中間CA証明書にピンを設定しており、顧客サポートに問合せたら、次回、max-age後の証明書更新では、使用するルート証明書、中間CA証明書には変更がないことがわかった場合。(顧客サポートに嘘をつかれたら、一部ユーザに2ヶ月(=max-age)サービス障害になるリスクあり。)
b-1) ルート証明書や中間CA証明書にピンを設定しており、顧客サポートに問合せたら、次回、max-age後の証明書更新では、使用するルート証明書、中間CA証明書がどれに変更されるか教えてもらえた場合。もしくはサポートページなどで告知されている場合。証明書発行サービスの変更、EVへの変更なども同様。
b-2) SSLサーバー証明書にピンを設定しており、OpenSSL等で次回の証明書更新で使用する鍵ペアがすでに事前生成され、保管されている場合
c-1) ルート証明書や中間CA証明書にピンを設定しているが、次回証明書更新後のルート証明書、中間CA証明書の変更について、顧客サポートからの回答が得られず、変更されるかどうか判断がつかないため、仕方なく、証明書更新をmax-age + α前に実施して有効期間を重ねるよう事前証明書発行したら、やはりルート証明書、中間CA証明書は変更になっていた場合(変更がなければa-1のケースとなる。)
c-2) SSLサーバー証明書にピンを設定しているが、OpenSSLを使わず、ブラウザの機能で鍵ペア生成するタイプの認証局であるため、事前に更新後の公開鍵はわからず、証明書更新をmax-age + α前に実施して有効期間を重ねるよう事前証明書発行できる場合
c-3) SSLサーバー証明書にピンを設定しているが、HSM機能を使うSSLアクセラレーターを使っており、事前に更新後の公開鍵はわからず、証明書更新をmax-age + α前に実施して有効期間を重ねるよう事前証明書発行できる場合。移行の図はc-2と同じになります
d-1) SSLサーバー証明書にピンを設定しているが、Let's Encryptや一部の認証局のように、証明書更新後、前の証明書は即時に失効処理がされ、max-age + αの期間の有効期間のオーバーラップができない場合

自分の運用がどのケースにあてはまるか、上記の説明でわかったでしょうか。さて、a～dのケースで、どのように対応するかを以下に示します。

aの対応) 証明書更新に際し、ウェブサーバーのHPKPヘッダの設定は変更しなくてよい
bの対応) max-ageをはあまり気にせず、証明書更新後の、ウェブサーバーの証明書設定、HPKPヘッダを設定変更してよい
cの対応) もっとも神経を遣う、max-ageに配慮した、証明書更新、HPKPヘッダ設定が必要。証明書の更新の前後で、有効期間のオーバーラップが必要
dの対応) このケースではHPKPは使えない。他の証明書、証明書発行サービスへのピン設定の変更を検討する必要がある。使っても、一部ユーザにサービス接続不能障害がmax-age程度発生する。

どんな証明書更新、HPKPヘッダ設定の移行を行うにしても、証明書の有効期限、max-age、秘密鍵の保管など、様々なことに気を遣いながら、移行計画を立て、移行しないとならず、きちんと考えないと長期のサービス障害発生するという運用上の負担やリスクは大きいと思います。

4.4. バックアップピンという命名のいけてなさ

先に述べたように、何か一つ、証明書チェーンとはマッチしないピンを必ず含めなければいけません。SSLサーバー証明書にピンをする場合は、現在使っているSSLサーバー証明書の秘密鍵に対して、将来、証明書更新で使う予定の秘密鍵も事前に生成しておけるなら、その公開鍵をバックアップピンとして設定しておけば、まさしくバックアップとして使用でき、(後述の問題ありありですが)スムースな証明書とピンの移行が可能です。

しかしながら、秘密鍵を移行先のバックアップとして事前生成しておき、これが利用できるというケースはレアケースです。例えば以下の一般に起こりうるケースでは、証明書更新の際に、その事前生成した秘密鍵を使用することはできません。

CA証明書のバックアップPin: 認証局が行う証明書更新もしくは鍵更新において、事前に移行先の秘密鍵が存在するということもありませんし、移行先の公開鍵のPinをユーザに公開してくれる認証局もありません。
HSMを使っている場合のバックアップ: 認証局やSSLアクセラレーターを使っているケースでは、秘密鍵を取り出し不可能なハードウェアセキュリティモジュール(HSM)で管理するのが一般的です。HSMを使用した鍵更新、証明書更新では、事前に秘密鍵を幾つか生成しておき、更新時にそれを指定して更新に使用するということができません。更新時には、新たに鍵ペアを生成して、これを使用します。このために、認証局ではバックアップPinを公開することができないのです。
ウェブ画面で鍵ペア生成してSSLサーバー証明書発行する認証局の場合: 認証局によっては、ウェブブラウザの機能を使用して、ボタンを押せば自動で鍵ペア生成を行い、これを用いて証明書を発行し、新しい証明書を格納するものがあります。そのような認証局では、事前に生成しておいた鍵を発行時に使用するということができません。
Let's Encryptを使う場合: 無料で世界一の発行数を誇る証明書発行サービスであるLet's Encryptでは、証明書の発行プロセスがスクリプトにより自動化されていますが、これも証明書の更新時には自動で鍵ペア生成されるので、事前に生成していた鍵ペアを使用することができません。

本当の意味での「バックアップPin」が使えるのは、以下の場合にのみ可能であるということです。

SSLサーバー証明書に対してPinをする場合で、かつ、
OpenSSLなどのコマンドで鍵ペア生成し、マニュアルで証明書発行要求を生成して、証明書発行してもらえる認証局を使用する場合

従って、証明書チェーンにマッチしないものを、「バックアップPin」と呼ぶのは、上述のほとんどのケースで適切でないので、名称には問題があると考えています。

4.5. CA鍵のバックアップピンのオススメの値

ルート証明書や中間CA証明書にピンを設定する場合、一致しないピンは、将来の更新先がわからない場合には何でもよく、さらには、本物の公開鍵のハッシュである必要もありません。 SHA256なので、単に32バイトの値であれば何でも良いわけです。

ただ、HPKPヘッダで一見して一致しないピンだとわかったほうが、誤って削除するなどの運用ミスを防ぐ意味でも良いと考えており、そこで、オススメしたいのが、以下の値です。


pin-sha256="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=";
これは、16進数で
0000000000000000000000000000000000000000000000000000000000000000 (32バイト)

となります。流行るといいなと思っていますw

4.6. 証明書チェーン中で複数ピンをつけても意味はない

これまで、証明書チェーンと一致するピンの数は1つを前提に議論してきましたが、これを複数、例えば、ルート証明書と、中間CA証明書と、SSLサーバー証明書のピンを一致させた場合には、どうなるのかを考察したいと思います。

まず、SSLサーバー証明書にピンを打って、次に中間CA証明書、次にルート証明書のピンを追加していくことを考えてましょう。同じ鍵ペアを複数の認証局からのサーバー証明書発行で使用しないという、当たり前の事を前提とします。 SSLサーバー証明書にピンを打つ事が最も、範囲が限定的でニセHTTPSに対する最も強い対策であると、4.2節③④で述べました。

そこに中間CA証明書の一致するピンを足してみたらどうでしょうか。ピンで特定する証明書の範囲は全く変わりませので、中間CA証明書のピンを足すことで、ニセHTTPSサイト作りが難しくなったりはせず、セキュリティの強度も上がりません。また、運用面では、ピンの一致の配慮がピン一つと比べて難しく、また、ウェブサイトオーナーだけで管理できない範囲となるので証明書やピンヘッダ変更の運用は格段に複雑で面倒になります。これに対し、ルート証明書のピンを加えた場合でも全く同じことです。セキュリティ強度は上がらず、移行の運用は複雑になるのです。
hpkp-multipin

従って、証明書チェーン中で複数のピンをつけても意味がなく、かえって運用が複雑になるだけなので、止めたほうがよいということが言えます。

4.7. 同じCA証明書にPinし続ける場合の課題

今後当面は、同じルート認証局、中間認証局から発行してもらう場合に、その認証局の証明書の公開鍵にPinすることができます。その場合には、バックアップPinは、認証局から移行先のPinを教えてもらえるわけではないので、なんでも適当な値で良いことになります。公開鍵のハッシュである必要もなく、32バイトの値のBase64表現であれば(衝突しなければ)何でも良いことになります。

ただし、「当面は」と書きましたが、SSLサーバー証明書を発行する使用していた中間認証局が、次の証明書発行時にも同じ中間認証局、同じ公開鍵であるという保証がありません。以下の理由により、同じ中間CA証明書が使われない可能性があります。

中間CA証明書の有効期限は、5年から10年程度です。その有効期限の半分程度から、最長でも2、3年を残して、その中間認証局からは証明書が発行されなくなり、利用者は別のCAから証明書を発行してもらうようになります。
証明書の発行数枚数が多くなると、それだけ、証明書失効リスト(CRL)のサイズも大きくなりますので、一つの中間CAから発行枚数を制限して、以降の証明書発行は、新しい中間CAから発行させるケースがあります。
近年、認証局の運用上の不備、サイバー攻撃などから証明書発行サービス全体や、特定の中間CAが運用停止、サービス終了になることがあります。

このような場合には、同じ中間CAのPinを使うことができません。

有効なPinを設定した同じルートCAもしくは中間CAから、新しい証明書が発行してもらえないとわかった際に、別の証明書の移行は、すぐにはできず、max-ageで指定した期間、一般には1ヶ月から1年程度は、証明書の入れ替えができません。最悪の場合、その期間、有効なHTTPS通信ができないという事もありえます。

このような影響を、軽減する方法が無いわけではありません。証明書を更新すると判断し、同じ中間CAから証明書が発行できないとわかった時点Aで、そこからmax-age経過した時点Bを記録しておき、新しい証明書を取得します。(が使いません。)。バックアップPinとして、その新しい証明書の別の中間CA証明書の公開鍵のPinをウェブサーバーのヘッダに設定します。時点Bになって、初めて新しい証明書への入れ替えを実施します。この事から、max-ageを1年等、長くとれば偽サイトの防止には役立ちますが、今述べたような証明書更新のリスクもあり、半月から1ヶ月程度に設定するのが妥当なように思います。

4.8. 2つのCA証明書にPinする場合の課題

SSLサーバー証明書の更新の際に、2つの証明書発行サービス、例えばSymantecとGlobalSignを交互に乗り換えるとして、これら2つの中間CA証明書のPinをヘッダに設定し、使用してないない方をバックアップPinとするのは、なかなか賢い方法だと思います。
hpkp-two

しかしながら、前述の理由により、Symantecの次に発行してもらおうと予定していたGlobalSignの中間CA証明書のPinが使えないケースがあります。

以上のように、CA証明書にPinを打つケースでは、証明書発行サービスの気まぐれにビクビクしながら、ウェブサーバーのHPKPを運用するのはとても面倒だと思いませんか? それなら、まだ、自分でコントロールできるSSLサーバー証明書にPinを打つ方が、面倒でも良いような気もしてきます。

4.9. max-ageのオススメ値を考える

RFC 7469 4.1節のセキュリティ考察において、max-ageの最大値について以下のように記載されており、「60日がバランスの取れた値かもね」と言っています。

RFC 7469 4.1. Maximum max-age より
However, a value on the order of 60 days (5,184,000 seconds) may be considered a balance between the two competing security concerns.

ただ、5章のScott Helme氏のHPKP対応ドメインリストに基づいた私の調査では、まともな運用をしている設定の中では、 30日が26%、次いで60日が19%と多いです。

max-ageの値が長すぎると、

設定ミスによる障害発生時に長期間接続できないユーザが出てしまう
有効期間のオーバーラップが必要な場合、実質的な証明書有効期間が目減りして運用コストに影響する

というリスクについて、4.2節で説明させて頂きましたが、逆に、max-ageが短すぎるとどうなるのでしょうか？

簡単には、ニセのHTTPSサイトに乗っ取られる可能性が高くなるという事かと思います。本物サイトのmax-ageが短くて、有効期限が切れたタイミングで、ドメイン乗取り等の被害にあって偽サイトが作られ、そこで1年等長いmax-ageのHPKPヘッダ対応のニセサイトが作られたとすると、一度そのようになれば、当面1年間は、ニセサイトにしか繋げないようなユーザが発生することがあります。
hpkp-maxage
max-ageが短いと、それだけ攻撃のチャンスは増えるため、max-ageはある程度長くしておく必要があります。

様々な情報ソースから、ニセサイトを作られていたと気づくまでに、それほど時間はかからないと思います。数日から1週間もあれば問題に気づくと思います。半月や1ヶ月も気づかないままいる事はないでしょう。「ニセHTTPSサイト問題に気づくまでに遅くともどれくらいかかるか」によって max-ageの最小値を決めるのがよいと思います。

従って、攻撃と可用性のリスクのトレードオフで、私はmax-ageを15日か30日程度に設定するのが良いように思っています。

5. HPKPはどの程度使われているのか

2016年3月のNetcraft社のSSL利用調査によれば、世界でわずか0.09%の4100サイト以下ぐらいしか、HPKPを設定しておらず、設定の誤りも多いそうで、正しく設定できているのは、そのうち3000サイト程度なのだそうです。

また、CSP(Content Security Policy)やHPKPに詳しく、HPKPの検証やレポート先サイトを運営しているScott Helme氏のブログによれば、Alexa上位100万のサイトのうちHPKPを設定しているのは、わずか375サイトであったという報告もあります。

Scott Helme氏は、調査の際のデータも公開しており、2016年8月時点でのHPKP対応サイトのドメイン名リスト448件があったので、それをベースに2017年2月現在でもHPKPヘッダを返すサイト283件に対して少し調査してみました。

	まず、HPKPヘッダとして正しいフォーマットになっているか、また、仕様上PINのハッシュ値は2つ以上必要ですが、2つ以上あるかという観点で、ヘッダがどの程度正しいかを調べました。16%は設定が正しくないことがわかりました。間違っているものの中には、pin-sha256属性が無い、pin-sha256の値が不適切、pin-sha256属性が一つしかない、など様々です。例えばこんなものがありました。 `...` `pin-sha256="base64+info1="; max-age=3`
	次に、HPKPヘッダのPINのハッシュ値の個数です。一般にはPINのハッシュ値は2つで十分で、2つとなっているサイトが多く占めますが、1個しかない誤ったサイトや、3つ以上を設定しているサイトも相当数あります。15個設定しているという猛者もありました。
	HPKPで有効な公開鍵ハッシュの保存期間を定めているのが、max-ageの値です。RFCでは、60日を推奨しているようですが、実際には30日を設定するサイトが多いとわかります。また、テスト中なのか1日以下にしているサイトも相当数あります。短いとサイトを乗っ取られる可能性が高まりますし、長すぎると設定に失敗した場合その期間接続不能になってしまいます。1年などと設定すると、設定失敗していたら1年間接続できないユーザーが出てクレーム確実なのに恐ろしいですね。
	report-uriを設定すると、対応ブラウザならば、HPKPのエラーの際に指定したURLにレポートを送ることができます。Jxckさんのサイトでは設定されているそうですが、まだまだ設定しているサイトは少なそうです。
	HPKPヘッダの値には、includeSubDomainというプロパティをつけることができます。これをつけるとexample.comにHPKPを設定しておけば、sub1.example.comドメインに対しても適用されるようになります。
	HPKPヘッダとして、通常は"Public-Key-Pins"を使いますが、"Public-Key-Pins-Report-Only"を使えば、ブラウザはHPKPを検証せずに、エラーとなってもHTTPS接続は続けられるテスト用の機能があります。約10%のサイトがこのテスト用の設定を使っているとわかります。
	Scott Helme氏の2017年時点で接続可能なHPKP対応サイト283件のうちgTLD(com、org等)、ccTLD(de、ru、jp等)別に件数を調べてみると、comが多いのは当然でとして、実際の各TLDの登録件数に比較して顕著に多いTLDが見られました。comは1.3億、netとdeは1600万、ruは540万ドメインが登録されていますが、ドメイン登録数に比べて、比率的にru、org、deは突出して多くまた、グラフ上はその他としていますが、マイナーなccTLDの国についても、比較的HPKP設定が多い国があります。また、eduが異常に少ないのも気になりました。その他には、ar/br/cl/il/pt/nl/tn/skなど、マイナーなものが 50近くありました。

6. 今のHPKPの何がいけなかったのか

hpkpの発想自体は、不正発行された証明書を使った偽サイトを防ぐための仕組みとして有用であり、ChromeやFirefoxのブラウザ組み込みのプリロートピンはうまく機能しているように思えます。その一方でHPKPヘッダを使った方式は、かなり運用が複雑で難しく、失敗すると 2ヶ月といった、長期間、一部のユーザは接続できないという、障害が発生するリスクも高いことがわかりました。

個人や中小のサイトで不正証明書を使ってまで偽サイトを作るメリットは見当たらず、攻撃を受ける可能性も極めて低いため、HPKPを使ってサービス障害のリスクを取ってまでHPKPを導入する必要はないと思います。

では、一般サイト向けにHPKPの普及が進むためには、運用のしやすいサービス障害が起きにくい仕様の変更が必要だと思いますが、どうすればこれが可能になるでしょうか？

max-ageを2ヶ月と仮定して、 HPKPヘッダで運用上の課題なのは、証明書更新の2ヶ月前に、ピンが変更になるなら設定を事前設定しなければならず、間違えに気づいてヘッダ設定を直しても、2ヶ月は通信障害が発生するということです。

そこで、間違えに気づいた時には、すぐに設定変更が反映できたり、サーバー側で暫定的にブラウザのHPKP検証を無効化できるキルスイッチがあるとよいと思うのです。深く考察した訳ではありませんが、例えば、HPKP更新日をヘッダに記載するなどして、設定に更新があればmax-ageに関わらず更新し、無効化するなら、無効化するといった機能を提供すれば、運用はmax-ageや設定ミスの呪縛から解放されるように思います。

他にもこの問題の解決方法はあるかもしれませんが、何らかの手当てをしない限り、HPKPは普及しそうにはありません。

7. おわりに

以上、HPKPについて、どこにピンを打つか、max-ageはどうするかなど運用面から、いろいろ考察や整理をしてみました。現時点では、HPKPを導入するのは時期尚早で、運用に負担をかけ、サービス停止のリスクも高いということもご理解いただけたのではと思います。

これで、自分がHPKPについて前から書きたいと思っていたことを、落ち着いて整理でき、3年越しぐらいに吐き出せました。わかりにくかったり、理解が間違っていたらすみません。個人的には、HPKPについては、これでわだかまりとかモヤモヤ感というは概ね払拭されたように思います。まぁ、「ブログなんてそんなモノよね」ってことで、、、ｗ

8. (参考) HPKP関連の勉強になるリンク

Netcraft: Secure websites shun HTTP Public Key Pinning: HPKPが流行っていないことの統計。なぜ流行らないかの解説。良記事。
Netcraft: HTTP Public Key Pinning: You're doing it wrong!: Netcraft社の、世の中のHPKP対応サイトの設定誤りに関する解説。良記事。
Scott HelmeさんのHPKPブログ記事: CSPやHSTSやHPKPなどSSL関連技術の専門家で、HPKPなどのレポート先サイト report-uri.io を運営しているScott Helmeさんのブログ。HPKP対応サイトのドメインリストなどのデータもあります。
Qualys Blog: Is HTTP Public Key Pinning Dead?: Ivan Ristic氏の、「HPKPが終わっているか？」に関する議論。
Raymii.org: HTTP Public Key Pinning Extension HPKP for Apache, NGINX and Lighttpd: 解説は充実。各サーバー毎のHPKPヘッダの設定例。
MDN: Public Key Pinning: MozillaによるHPKP解説。ChromeやFirefoxでのHPKP対応バージョンの記述。サーバー設定例レポート機能は新しいChromeしか使えない事の言及など、参考になる。
Public Key Pinningについて - Chris Palmer (原文): Chris PalmerによるHPKP解説。誤解もあるが、初めて証明書チェーンのどこにピンを設定するか、そのケース分けについて考察した記事。
ぼちぼち日記：不正なSSL証明書を見破るPublic Key Pinningを試す: joviさんによるHPKP(ドラフト)に関する詳細かつ広範な解説です。
Jxckさんのブログ：Public Key Pinning for HTTP(HPKP) 対応と report-uri.io でのレポート収集: Jxckさんの解説。特にreport-uriの機能を試してみた報告が貴重。
公開鍵ピンニングによるユーザ追跡 HPKP Supercookies: 今回の記事とはあまり関係ないですが、にしむねあさんのHPKPを使ったクッキーを使わないユーザー特定の面白い試みに関するスライド資料。
OWASP: Certificate and Public Key Pinning: OWASPの解説記事。無駄な情報も多い。

9. 追記

9.1. 追記(2017.02.26) HPKPのブラウザサポート状況

caniuse.comサイトでは様々なブラウザの機能のサポート状況を情報提供していますが、 2017年2月時点での HPKPのブラウザサポート状況についても記載されているので、示しておきます。Firefox、Chrome、Opera、Android版Chromeではサポートされていますが、それ以外ではサポートされていません。
hpkp-caniuse

9.2. 追記(2017.02.26) smashingmagazine.comで発生したHPKP障害

その後、HPKPについて継続して調べ物をしていたら、 smashingmagazine.comのブログで、 HPKPにより発生した接続障害についての考察が書かれていました。ここでは、以下のように書かれていました。

HPKPは中間者攻撃に対して有効な機能だが
HPKPの設定ミスで2016年10月21日から25日にかけHTTPS接続障害が発生
証明書期限切れでHPKPヘッダを更新したらエラーになった
すでに証明書は期限切れでロールバックはできない

教訓として、ブログでは、

金融サイトなどならば、HPKPを使う価値はあるが、単なる情報提供サイトなら、その必要もない。HPKP設定ミスによるサービス停止は、中間者攻撃よりも大きな脅威だ
max-ageを短くすることにより問題を緩和できる

私もサービス提供不能の方が、大きな問題だというのは同意ですが、前にも述べた通り、max-ageを短すぎる値に設定するのは懸命ではなく、注意が必要です。このサイトでは、max-ageを1年としているようですが、確かにこれは長すぎます。新しく設定されたHPKPヘッダを見てみましたが、現行のSSLサーバー証明書の他に 3つピンが設定されており、max-ageは1日に設定されており、いろいろと設定には問題がありそうです。

タグ：: #HPKP; #SSLTLS; #TLS; #Public-Key-Pins; #RFC7469; #X.509証明書; #証明書更新; #OpenSSL

k_urushima

2016年12月18日18:07

カテゴリ: JavaScript; PKI

X.509証明書の識別名などで使われるMulti-valued RDNとjsrsasignのサポートについて

久々にちょっとPKI関連ネタです。いわゆるデジタル証明書(X.509証明書)には、主体者名(Subject Name)や発行者名(Issuer Name)に識別名(DN: Distinguished Name)を使います。例えば、

CN=yourname@example.com,O=example,C=JP

のようなものです。カンマで区切った一つ一つを相対識別名(RDN: Relative Distinguished Name)と呼んでいます。

O=example

一般的には相対識別名(RDN)は、「一つの」属性タイプと属性値のペア(AttributeTypeAndValue) より構成されます。

属性タイプ=属性値
O=example

ただ、「一般的には」と書いた通り、RDNについて複数のAttributeTypeAndValueを持つことも可能です。これをMulti-valued RDNと呼んでおり、プラス"+"記号でつないで以下のように表現します。

属性タイプ1=属性値1+属性タイプ2=属性値2...
CN=User1+serialNumber=123

Googleとかで「Multi-valued RDN」で検索するとわかると思うんですが、英語では結構あるのに、日本語で触れている記事って、自分のブログ以外みつからないみたいなんですよね。今日は、拙作の暗号ライブラリ jsrsasign や OpenSSL を使いながら、証明書識別名のMulti-valued RDNや、識別名について掘り下げてみたいます。

エントリと識別名

LDAPや、その元となっているX.500ディレクトリサービスでは「エントリ」のツリー構造により情報を管理し、例えば会社、部門、社員は以下のように管理することができます。

LDAPでは、あるエントリを特定するために「○×商事」の「総務部」の「佐藤二朗」さんという特定の仕方をします。エントリの名前、「総務部」や「佐藤二朗」という値は、属性タイプという型をつけることができ、組織名(O: Organization Name)、部署名(OU: Organizational Unit Name)、一般名(CN: Common Name)などのタイプがあります。

例えば、営業の鈴木さんを特定するときに一番上までのエントリを辿って、以下のように表現します。これを「識別名(DN: Distinguished Name)」と呼びます。これにより他の部署のSuzukiさんとも区別できます。

CN=Suzuki,OU=Sales,O=MaruBatsu

識別名のうち、「OU=Sales」のようにエントリの丸の中を相対識別名(RDN: Relative Distinguished Name)と呼びます。

また、このエントリのツリー構造をDIT(Directory Information Tree)と呼びます。

Muti-valued RDNとは？なぜ必要か？

上記で説明した識別名(DN)で、同じ営業部に鈴木花子さんが二人いたらどうしましょう。一般名に区別するための数字を追加したり、追加の値として、社員番号やメールアドレスで区別することもでき、エントリを追加しても良いのですが、どれもイマイチ。

そこで、一つのエントリに複数の値をつけて識別することもできます。これを Multi-valued RDNと呼んでいます。

同性同名の人は多分いるでしょうから、社員番号やメールアドレスなど他の一意なものと組み合わせて管理するのはスマートな管理方法だと思いますし、一部の商用のディレクトリサーバー製品では、利用者数ベースでライセンス課金するために、エントリ数を使うものもありますので、Multi-valued RDNを使うことによってコスト削減を狙うこともできます。ただ、Multi-valued RDNは、すべての製品で使えるというものでもないので(例えば、とある製品のスマートカードとか802.1X認証とかで後になって問題になったことがありましたよね、、、)本当に使ってしまってよいかどうかは、アプリケーションと相談して決める必要があるでしょう。

識別名の文字列表現

識別名の文字列表現にはざっくり2つの表現があります。

CN=Matsuda Kenji,OU=Sales,O=MaruBatsu
/O=MaruBatsu/OU=Sales/CN=Matsuda Kenji

DITのツリー構造の下から順にカンマ","でつないだ方法と、上から順にスラッシュ"/"でつなぐ方法です。

カンマで逆順につなぐ方法はRFC 2253 Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Namesや後継の4514で規定されています。LDAPのアプリケーションソフトウェアでは一般的に使われている方法です。

もう一方の、先頭にスラッシュを付け、スラッシュで正順でつなぐ方法はOpenSSL compatフォーマットと呼ばれ、OpenSSLで標準的に使われるとともに、OpenSSL系のウェブサーバーであるApache HTTP Server、nginx、lighttpdなどの設定などで使われる方法です。

Multi-valued RDNの場合には、どちらの形式でも値をプラス"+"記号でつないで表現します。

CN=Matsuda Kenji+emailAddress=matsu@mb.com,OU=Sales,O=MaruBatsu
/O=MaruBatsu/OU=Sales/CN=Matsuda Kenji+emailAddress=matsu@mb.com

プラスで繋がれた値の表示順序については、特に決まりは無いと認識しており、以下のMulti-valued RDNでCNとemailAddressのどちらを先にしても良いはずです。これがどのようにASN.1でエンコードされるかは後で述べます。

CN=Matsuda Kenji+emailAddress=matsu@mb.com
emailAddress=matsu@mb.com+CN=Matsuda Kenji

次にCNやOUなどの属性タイプの文字列表現ですが、どのように表記しなければならいといった厳格な標準はなく、実装もバラバラであることがわかっています。8年前にXAdES長期署名に関連して、識別名の中の属性タイプの表記の実装状況について調査しており、その時にまとめた表を再掲します。

X.509証明書プロファイルを定めたRFC 5280の4.1.2.4節発行者名(Issuer)では、識別名の属性タイプとして対応しなければならない(MUST)リストと、対応すべき(SHOULD)属性タイプのリストが掲載されており、表中ではMUSTを黄緑、SHOULDを黄色、その他、証明書で実際に使われることのある属性タイプのリストを白とし、.NETや各種Javaベースの暗号ライブラリでどのように属性タイプが表記されるかをテストしました。表を見ればわかるとおり、結果はかなりバラバラです。また、S/MIMEのために使用される事があり、実際の証明書でもかなり含まれているemailAddressの属性タイプも、標準では実装を求めていないために対応にばらつきが出ているように思います。

今、見直してみると当時はなかったEV証明書用の以下の属性タイプも、今ならテストすべきだったかなぁと思います。

jurisdictionOfIncorporationL - 法人登録管轄地(市町村)
jurisdictionOfIncorporationSP - 法人登録管轄地(都道府県)
jurisdictionOfIncorporationC - 法人登録管轄地(国)

また、カンマつなぎの識別名表記であるRFC 2253とその後継のRFC 4584の違いについて8年前の記事でまとめており、仕様の改定によって、より識別名表記が一意になる方向に修正されていますが、仕様の中で「RFC 4514は識別名文字列は一意にならない(=正規化しない)」という事が明記されており、識別名文字列は、様々な表現が許されており、単純な文字列比較では同じであるかどうかを判断できない事に注意しなければなりません。

識別名のASN.1定義と構造

次に、識別名が、ASN.1 DERエンコーディングにより、どのようにバイト列にエンコードされるのかを、説明したいと思います。まず最初に、識別名のASN.1定義を紹介しましょう。 RFC 5280 4.1.2.4 Issuerより


// X.500名、識別名(DN)はRDNの並び(SEQUENCE)
Name ::= CHOICE { rdnSequence  RDNSequence }
RDNSequence ::= SEQUENCE OF RelativeDistinguishedName

// RDNは、AttributeTypeAndValue 1つ以上のSET
// つまり、複数AttributeTypeAndValueがあってもよい。
// これが複数あれば Multi-valued RDN
RelativeDistinguishedName ::=
  SET SIZE (1..MAX) OF AttributeTypeAndValue

// 属性タイプと属性値のペア
AttributeTypeAndValue ::= SEQUENCE {
  type     AttributeType,
  value    AttributeValue }
AttributeType ::= OBJECT IDENTIFIER
AttributeValue ::= ANY

// 属性値はANYと定義していながらも、DirectoryStringで
// 定義されたいずれかの文字タイプを使用する
DirectoryString ::= CHOICE {
      teletexString           TeletexString (SIZE (1..MAX)),
      printableString         PrintableString (SIZE (1..MAX)),
      universalString         UniversalString (SIZE (1..MAX)),
      utf8String              UTF8String (SIZE (1..MAX)),
      bmpString               BMPString (SIZE (1..MAX)) }

つまり、

識別名(DN)は、相対識別名(RDN)の並び(SEQUENCE OF)であり
相対識別名(RDN)は、属性タイプと値(AttributeTypeAndValue)の集合(SET OF)であり
属性タイプと値(AttributeTypeAndValue)は、属性タイプと値の並び(SEQUENCE)である

という事です。SEQUENCEとSETは構造型と呼ばれるASN.1プリミティブですが、

SEQUENCEは配列のようなもので、順序関係のある並びを表す際に使います。
SETは集合のようなもので、構成要素の中には特に順序関係はない場合に使います。

ついでに、SEQUENCEやSETと、SEQUENCE OF ～、SET OF ～の違いですが、

単にSEQUENCEやSETとなっている場合には、構成要素のASN.1クラスが異なる場合に使います。上の例ではAttributeTypeAndValueがそれに当たります。
SEQUENCE OF、SET OFとした場合、構成要素のASN.1クラスが同じ型の場合に使います。上の例では、NameやRDNがそれに当たります。

それでは、例として以下の識別名をASN.1 DERエンコーディングしてみましょう。

CN=aaa,O=TEST,C=JP

RFC 2253の場合には、逆順でRDNが並ぶので、以下のようにエンコードされます。


302A                SEQUENCE(30) OF       -- DN
  310B                SET(31) OF          -- RDN[1]
    3009                SEQUENCE(30)      -- AttributeTypeAndValue
      0603550406          ObjectIdentifier(06) countryName
      13024A50            PrintableString(13) "JP"
  310D                SET(31) OF          -- RDN[2]
    300B                SEQUENCE(30)      -- AttributeTypeAndValue
      060355040A          ObjectIdentifier(06) organizationName
      0C0454455354        UTF8String(0C) "TEST"
  310C                SET(31) OF          -- RDN[3]
    300A                SEQUENCE(30)      -- AttributeTypeAndValue
      0603550403          ObjectIdentifier(06) commonName
      0C03616161          UTF8String(0C) "aaa"

ASN.1データはデータ型を表すタグ、バイト長、値データより構成され、上の例の最後の行では、0CがUTF8String型、03がバイト長(=3)、616161(=aaa)が値を表しています。

さて、次にMulti-valued RDNの場合にはどのようにエンコードされるのか、下の例を元に見てみましょう。ここでは、CN=aaaとCN=aの2つのAttributeTypeAndValueが使用されています。

CN=aaa+CN=a,O=TEST,C=JP

これをASN.1 DERエンコーディングすると以下のようになります。最後のRDNに注目してください。CN=aとCN=aaaと二つのAttributeTypeAndValuesがあることが確認できます。また、また、CN=aとCN=aaaでは、必ずCN=aが先に来ることにも注目です。


3034                  DN
  310B                  RDN[1] C=JP
    3009
      0603550406
      13024A50
  310D                  RDN[2] O=TEST
    300B
      060355040A
      0C0454455354
  3116                  RDN[3] CN=aaa+CN=a SEQUENCE(30)が2つある
    3008                  ATV[1] CN=a  CN=aの方が先に来ている
      0603550403
      0C0161
    300A                  ATV[2] CN=aaa
      0603550403
      0C03616161

このRDN中のCN=a、CN=aaaの順序関係にはASN.1 DERとBERのちょっとした違いが関係があります。DERはBERのサブセットでなんですが、BERでは複数の表現が許されるのに対し、DERでは必ず一意な表現になります。その違いを表にまとめました。

	ASN.1 DER	ASN.1 BER
概要	ASN.1の一意なエンコード規則	ASN.1のエンコード規則。DERのスーパーセットでDERであればBER
共通の特徴	通信の世界では長い歴史のある、CPUや整数型のサイズに制限されない、巨大なデータも扱える、任意の構造化データを扱えるデータ表現。XML, JSONに比べコンパクト。
用途	証明書、CRL、OCSP、RFC3161タイムスタンプ	S/MIMEデータ、CMS署名・暗号化データ、PKCS#12
比較	必ず表現は一意。超巨大なデータでも長さが予めわかっていないといけないので、ストリーム処理など不向き	複数の表現がある。超大きなデータでも取り扱い可能
SET	要素のバイト列で昇順ソートする	ソートしなくて良い
BOOLEAN	TRUEのみ使え、FALSEは省略するようクラス定義	TRUE、FALSEが使える
不定長表現	長さ表現は一意で、予めデータサイズがわかっていないといけない。	長さ表現で不定長表現が使え、長さを8000とした場合それは開始記号で0000が続くまで一つの要素であり、大きなデータも扱いやすい。

以上のような違いがあり、SETの違いによりMulti-valued RDNのSET OFの順序が決まっているわけです。

SETの要素は、各要素をASN.1エンコードしたときの昇順の辞書順でソートされ、ざっくり言えば、

要素の短い物程先
同じ長さなら属性タイプの長さが短い方が先

ということになります。例でみてみましょう。


3008 0603550403 0C0161        CN=a
300A 0603550403 0C03616161    CN=aaa
  ^^ 全体の長さLが08, 0Aの順になるので同じ属性タイプ長なら属性値の短い方が先
     C,O,OU,CNなど主要な属性タイプはOIDの値が2.5.4.xになるので同一属性タイプ長

全体の長さが同じ時、


  ^^ 全体の長さは同じなら
3011 0603550403 0C0A6162636465666768696A CN=abcdefghij
3011 060B2B0601040182373C020103 0C024A50 jurisdictionOfIncorporateC=JP
       ^^ 属性タイプの値の短い方が先

OpenSSLのMulti-valued RDN対応

OpenSSLはMULTI-valued RDNに対応しており、"-multivalue-rdn"をつけるだけです。例えば、既存の秘密鍵でワンライナーでMulti-valued RDNの自己署名証明書を作りたい時

openssl genrsa 2048 > a.prv
openssl req -new -key a.prv -x509 -subj /C=JP/O=Test/OU=b+CN=a -out c.cer -multivalue-rdn

Multi-valued RDNの証明書発行要求を作りたいとき

openssl req -new -key a.prv -subj /C=JP/O=Test/OU=b+CN=a -out c.csr -multivalue-rdn

となります。

jsrsasignのMulti-valued RDN対応

jsrsasignは、私が趣味で作ったPure JavaScriptによる暗号ライブラリでして、2010年ぐらいからボチボチ暇を見つけては昨日を追加しており、最初はRSA署名だけだったものが、ASN.1や証明書やタイムスタンプやJOSEなんか、自分が「欲しいな」と思った時に増築を繰り返しており、PKIやASN.1やJOSE(JWS,JWT,JWK)関係でちょっと試したいなと思った時に重宝しています。

ウェブブラウザ上でも、Nodeでも使え、APIドキュメントやサンプルも充実させているので、結構ユーザは世界中にいたり、最近はSONYや横河(や勝手にうちの会社（＾＾；)のハードウェア商品でも使われていることが発覚したり、Nodeのnpmパッケージは月間10万弱のダウンロードがあるようで、ホントありがたい話です。

JavaScriptの暗号ライブラリのAPIとしては、W3C Web Crypto APIなどあるんですが、モバイルブラウザでサポートしていないケースがあったり、古い暗号が使えなかったり、ちょっと書こうと思っても何行も書かなければいけなかったり、面倒くさいんですよね。そこで、jsrsasignでは、「なるべく少ない行数でやりたい事ができる」っていうのを目標にしていて、例えば鍵なんかは秘密鍵でも公開鍵でもPKCS#5でもPKCS#8でもJSON Web KeyでもなんでもKEYUTIL.getKeyに渡してしまえば適当に処理します。また、PCでもスマホでもNodeでも、多少古い環境でもJavaScriptさえ動けば使えるようになっています。また、APIドキュメントやチュートリアルの資料もできる限り潤沢に用意したつもりです。

割と最新の話まで入っている英語の入門スライドがあったり、

またちょっと古いですが、2013年にJNSAのWGでお話したjsrsasignとjsjwsが別の開発ラインだった時の入門スライドがあるのでよかったら参考にしてください。

ドキュメント類は拙い英語のものしかなくて申し訳ないですが、問題とかあれば、Issueには日本語で入れて頂いて構わないので入れて頂ければと思います。

で、jsrsasignをMulti-valued RDN対応させたり、カンマ繋ぎDN対応したいなと思っていて、ようやく6.2.2をリリースした最近になってから対応させました。例えば、Multi-valued RDNの識別名がどのようにASN.1 DERエンコードされるのかなんて話は、次のように確認できます。


% node
> var X509Name = require("jsrsasign").KJUR.asn1.x509.X500Name;
> new X509Name({str: "/C=JP/O=T1+CN=kjur"}).getEncodedHex();
'3027310b3009060355040613024a5031183009060355040a0c025431300b06035504030c046b6a7572'

あとは、証明書発行要求(CSR)を作ったり、


var rs = require("jsrsasign");
var kp = rs.KEYUTIL.generateKeypair("RSA", 2048);
pem = rs.KJUR.asn1.csr.CSRUtil.newCSRPEM({
  subject: {ldapstr: 'OU=T1+CN=example.com,O=Test,C=US'},
  ext: [
    {subjectAltName: {array: [{dns: 'example.net'}]}
  ],
  sbjpubkey: pubKeyPEM,
  sigalg: "SHA256withRSA",
  sbjprvkey: prvKeyPEM
});

証明書を発行したりする時にもMulti-valued RDNが使えます。


var pem = KJUR.asn1.x509.X509Util.newCertPEM({ serial: {int: 4},
  sigalg: {name: 'SHA1withRSA', paramempty: true},
  issuer: {str: '/C=US/O=a'},
  notbefore: {str: '130504235959Z'},
  notafter: {str: '140504235959Z'},
  subject: {ldapstr: 'OU=kjur+CN=kjur,O=b,C=US'},
  sbjpubkey: kp.pubKeyObj,
  ext: [
    {basicConstraints: {cA: true, critical: true}},
    {keyUsage: {bin: '11'}},
  ],
  cakey: kp.pubKeyObj
});

割と融通が利くので、よかったら使ってやってください。

おわりに

というわけで長々、Multi-valued RDNや識別名(DN)のことでダラダラ書いてしまいました。ごめんなさい。誰かの参考になれば良いかな、と思います。

追記(2016.12.19)

あっ、誤解されないように書いておきますと、私としては、Multi-valued RDNを広めたいとか、使うべきだとか言うつもりは毛頭ありません。相互運用性が高い方向でインフラ設計するのが原則であり、使わなくて済むなら使わない方がいいでしょう。ただ、受け取ったとしても、びっくりしないでね、と、、、、ｗ

タグ：: #X.509証明書; #識別名; #相対識別名; #RDN; #Multi-valued-RDN; #jsrsasign; #OpenSSL; #RFC2253; #LDAP; #ASN.1

2015年05月14日21:40

カテゴリ: SSLTLS; ウェブサーバー

CRYPTREC/IPA「SSL/TLS暗号設定ガイドライン」の公開と非公式設定ファイル生成ツールの公開

2015年5月12日に、IPAのサイトでCRYPTRECのWGで作成した「SSL/TLS暗号設定ガイドライン」が公開されました。

このSS/TLS設定ガイドラインが作成された背景や概要は菊池先生の CRYPTRECシンポジウム2015での講演資料にわかりやすく書いてありますので、これをご覧頂くのが一番よいかと思います。

このガイドラインはサーバー管理者向けに、なるべく暗号のことは細かく触れずに、 (とはいえ細かい暗号の話も多いですが、、、) 昨年度、特に多かったSSL/TLS関連の様々な脆弱性に対して、どのように設定すればいいのかを解説しています。紹介されているコラムなど読み物としてもなかなかおもしろいので、是非ご覧いただければと思います。

ガイドラインでは、用途に応じて3つのタイプに分けて設定を紹介しています。

政府・金融・医療など高いセキュリティが求められる場合の設定→高セキュリティ型
一般的な推奨設定→推奨セキュリティ型
古いブラウザ、ゲーム機、フィーチャーフォンなどへの対応も必要な場合→セキュリティ例外型

特に暗号スイートやプロトコルの設定を、昨今の脆弱性・暗号危殆化に照らしてどのように設定するのかというのが、管理者のみなさん悩ましいところだと思うのですが、これを巻末のAppendixにて、具体的にどのサーバーではどう設定すればよいのかを記載しています。

ただ、あれを全部読んで動く設定ファイルを作るのってページ数も多いし結構骨が折れるかなと思います。そこで、ガイドラインの公開を記念して、ガイドラインのタイプやサーバーの種類を選んで、ボタンを押せば設定ファイルが作れるようなツールを作ってみました。(ぱちぱちぱち)

HTTPS設定ファイル生成ツール0.2(ベータ版)
https://kjur.github.io/jsrsasign/tool/tool_httpscfg.html

今のところ、Apacheとnginxだけだったり、推奨設定の一部だけだったりするんですが、プロトコルや暗号スイートなどは押さえているので、よかったら使ってみてください。

字は小さいですが、スマホブラウザでも設定ファイルが作れます。ぼちぼちアップデートしてフル対応にしますので、乞うご期待ってことで。

あと、このツールの面白いのはCRYPTREC/IPAのガイドラインだけでなく、 MozillaやQualysなどの推奨設定や、Linux系OSのデフォルト設定も試せるようになっている所です。暗号スイートの設定みてニヤニヤしていただければと、、、

今日はこの辺で、、、

(追記 2021.03.25) ツールのリンク切れを修正しました。

タグ：: #SSLTLS; #ウェブサーバー; #設定ファイル; #Apache; #nginx; #CRYPTREC; #IPA; #lighttpd; #OpenSSL; #暗号スイート

2014年10月26日10:25

カテゴリ: ガジェット; Android

(続き1)POODLE攻撃について本当にTLSv1.0なら安全なのか？(OpenSSLは安全)

前回はTLSv1.1以降とTLSv1.0とでパディング処理に関するRFC上の規定が違うのでPOODLE攻撃の影響を受ける実装があるのではないか、という話をしました。

影響を受ける可能性が高いのはTLSv1.0と、TLSv1.1やTLSv1.2とでパディング処理の実装を区別しているケースでは影響をうける可能性があります。

OpenSSLの最新のもの1.0.1jについて、ソースを見てました。結論から言うと、TLSv1.xではPOODLEへの影響が無い事が確認できました。

OpenSSLのソースコードでは、sslディレクトリの下に SSL/TLS関係のコードがまとめられており、大まかに、

s3_*.c SSLv3(or TLSv1.x)のコード
d1_*.c DTLSv1のコード
t1_*.c TLSv1.xのコード

となっています。 CBCモードのパディング処理については、SSLv3、TLSv1.x共に、 ssl/s3_cbc.c に定義があり、以下の関数でパディング部分の削除とパディングのチェックを行っています。

ssl3_cbc_remove_padding
tls1_cbc_remove_padding

関数ssl3_cbc_remove_paddingでは、確かにパディングの値をチェックしていないことが確認でき、関数tls1_cbc_remove_paddingでは、

# to_check：チェックが必要なパディングバイト数
# padding_length：パディング長の値バイト
# b：チェック対象の値バイト
for (i = 0; i < to_check; i++)
  {
  unsigned char mask = constant_time_ge_8(padding_length, i);
  unsigned char b = rec->data[rec->length-1-i];
  /* The final |padding_length+1| bytes should all have the value
   * |padding_length|. Therefore the XOR should be zero. */
   # XORを取ってゼロならばパディング長の値バイトと対象は一致
   good &= ~(mask&(padding_length ^ b));
  }

のようにTLSv1.0でもTLSv1.1でもTLSv1.2でも共通で同じパディング値バイト列のチェックを行っているので、 TLSv1.0でPOODLE攻撃の影響が無い事が確認できました。

とりあえずOpenSSLについては、こんな所で。

タグ：: #OpenSSL; #TLSv1.0; #TLSv1.1; #POODLE; #脆弱生

2013年09月08日22:16

カテゴリ: 電子署名; 暗号

(続)RSAとECDSA、署名生成と署名検証どっちが速い？

前回の記事では、署名生成と署名検証とか、RSAとECDSAとかどっちが速いのかOpenSSLやJava JCEを使って速度の比較をしました。一度作った署名を何回か検証に使うというケースもあるので、検証にかかる時間はとても重要だと思います。今日は、前回の比較をさらに掘り下げてみたいと思います。

・署名検証の速度は(今我々が普通に使う鍵長では)RSAの方が断然速い
・しかしながらECCは鍵長が長くても遅くならないという特徴があるのでいつか逆転するはず

鍵長が長いとRSA不利、ECDSA有利になってくるのでいつか速度の逆転が起きるのだろうと思います。では、それが鍵長としていつなのかを調べたいと思います。

NISTの暗号強度の比較表を再度引用します。

共通鍵暗号相当	RSA	ECDSA
80	1024	160-223
112	2048	224-255
128	3072	256-383
192	7680	384-511
256	15360	512-

まずは、同じ暗号強度のECC、RSAの鍵長に対して秒間署名検証回数をプロットしてみましょう。
cmp6-verify2

ご覧の通り共通鍵暗号で200bit相当、RSAなら9000bit、ECCなら200bit程度の所で署名検証ののスピードが逆転しているように見えます。我々が現在利用することの多い2048～4096bit程度の RSAの鍵ならまだまだ十分高速であることは言えるのではないかと思います。

上記のグラフが指数関数的なので今度は秒間署名回数の対数を取ってプロットしてみましょう。
cmp7-verify3log
グラフから、暗号強度に対してはほぼリニアに秒間署名速度の対数が推移し、共通鍵暗号相当の暗号強度の軸であるx座標が212.5423729(bit)の時に、 RSAとECCの署名検証の速度が逆転しています。

それでは、共通鍵暗号の強度で213bitということはRSAやECCではどの程度の鍵長に相当するのでしょうか。共通鍵暗号暗号強度と同等のECC、RSAの鍵長は最初のNISTの表からこれも指数関数的なのでRSAの鍵長と、ECCの鍵長の対数を使ってプロットしてみます。
cmp8-strength
すると、ご覧のように取った対数に対してほぼリニアに推移することがわかります。共通鍵暗号の暗号強度で213bitとする点はRSAだとy軸が3.965、ECCだと2.612となり、これらは指数に戻して

RSAとECDSAと同じ暗号強度で署名検証速度が逆転するのは
・RSAだと9234bit のとき
・ECCだと409bitのとき

ということのようです。この値に近づいてるようならECDSAへの移行を考えた方がよいということなんでしょうね。

今晩はこの辺で

あ、そうそう。これ書いている途中でizuさんのとてもためになる関連記事を発見してしまいました。杜撰な研究者の日記「RSA暗号の強度 (2009.11.19)」。

タグ：: #OpenSSL; #RSA; #ECDSA; #ECC; #楕円暗号; #署名; #電子署名

2013年09月05日22:19

カテゴリ: 電子署名; 暗号

RSAとECDSA、署名生成と署名検証どっちが速い？

2013年9月4日に開催されたOpenID Tech Night Vol.10 に参加してて、

大きなプロバイダではRSA署名の検証は結構大変です。 RSAは署名よりも検証の方が計算コストがかかるので...

みたいな話をされ、「んん？逆じゃないの。RSA署名の検証は署名生成よりも圧倒的に計算コスト低いよね。」とか思ってたわけで「がが～～ん」と。「まぁ、ちょっと調べてみるべぇ。」と手持ちのノートPCで調べてみました。

検証内容

以下のことを検証してみたいと思います。

署名の生成と検証ではどちらが速いのか。RSAとECC(ECDSA)では違いがあるのか。
同程度の暗号強度のRSA署名とECDSA署名ではどれくらい速度差があるのか。
RSA署名では鍵長が変わったとき、どれくらい速度差があるのか。
ECDSA署名では楕円曲線や鍵長が変わったとき、どれくらい速度差があるのか。
Ruby+OpenSSLとJava JCEではどれくらい速度差があるのか。

なんか、楕円「マンセー」みたいな人もおられますが、「楕円は鍵長が短いから圧倒的に速い」みたいな事を言い出す人もいて「ホンマかいな？」と調べてみたかったわけです。楕円って期待するほどそんなに速くないですよね？むしろ遅いですよね。

検証方法・検証環境

言語の偏りがあるのも良くないのでOpenSSLベースのものとJava JCEベースのものと調べます。いちいちOpenSSLをCで書くのも面倒なので。Rubyを使いました。処理時間の測定方法については、Ruby+OpenSSL、Java JCEで次のような観点で測定しています。

共通

鍵や証明書のロードの時間は処理時間に含めない。
測定条件統一のためハッシュ計算の時間は処理時間に含める。
同一のマシンで測定する。
再利用しない同一の鍵で2000回の署名生成、署名検証の時間を計測。
公開鍵暗号のパフォーマンスを知りたいだけなので署名対象は"aaa"の短い文字列。
SHA1withRSAもしくはSHA1withECDSAで比較する。

Ruby+OpenSSL

Ruby標準の'benchmark'モジュールを用い、リハーサルも行う。benchmarkのrealの時間を用いる。

Java JCE

イテレーションループの前後でのSystem.currentTimeMillis()の値の差を処理時間とする。

細かい検証環境情報は以下の通りとなります。

検証環境
マシン	Lenovo X201s
CPU	Intel Core i7 L620 2.00GHz
メモリ	8GB
OS	Microsoft Windows 7 Professional 32bit SP1
Java
バージョン	Oracle Java 1.7.0 build 1.7.0-b147
RSA署名JCEプロバイダ	SunRsaSign 1.7 Provider
ECDSA署名JCEプロバイダ	SunEC 1.7 Provider
Ruby (+ OpenSSL)
バージョン	cygwin C Ruby 1.9.3p194
OpenSSL	OpenSSL 1.0.1c

Ruby + OpenSSLで署名

Ruby + OpenSSLでRSAやECDSA署名するには、OpenSSLコマンドで普通に PKCS#5の秘密鍵と公開鍵を準備してこんな感じで署名生成、署名検証すればヨロシ。

# ECDSAの署名生成
prvKey = OpenSSL::PKey::EC.new(File.read(PKCS#5秘密鍵PEM))
hashed = OpenSSL::Digest::SHA1.digest(署名対象メッセージ)
sigVal = prvKey.dsa_sign_asn1(hashed)

# ECDSAの署名検証
pubKey = OpenSSL::PKey::EC.new(File.read(PKCS#5公開鍵PEM))
hashed = OpenSSL::Digest::SHA1.digest(data)
isValid = pubKey.dsa_verify_asn1(hashed, sigVal)

# RSAの署名生成
prvKey = OpenSSL::PKey::RSA.new(File.read(PKCS#5秘密鍵PEM))
sigVal = prvKey.sign("sha1", data)   

# RSAの署名検証
pubKey = OpenSSL::PKey::RSA.new(File.read(PKCS#5公開鍵PEM))
isValid = pubKey.verify("sha1", sigVal, data)

ECDSAの時はハッシュを自分で計算するのと、 ECDSAの署名値をASN.1構造で表現することに気をつければ問題ないかと思います。

Java JCEで署名

最近、キーストア使って楽してたので普通に鍵ファイルを読みたい場合には、 PKCS#8 DERじゃないといけないんだよなとか探してみると自分の記事「OpenSSLで鍵生成した秘密鍵をJavaで使う」が見つかって助かりました。秘密鍵ファイルはPKCS#8にしといて、公開鍵もPKCS#8にしようとしたら「読めな～～～い！！」鍵はパラメータの数値(BigInteger)を指定するか証明書じゃないといけないそうだ。仕方ないから無理やり自己署名証明書を作りました。

ECDSAの署名生成はこんな感じ。

KeySpec keySpec = new PKCS8EncodedKeySpec(PKCS#8秘密鍵DERのデータbyte配列);
KeyFactory kf = KeyFactory.getInstance("EC");
PrivateKey prvKey = kf.generatePrivate(keySpec);
Signature sig = Signature.getInstance("SHA1withECDSA");
sig.initSign(prvKey);
sig.update(署名対象データaaa);
sigVal = sig.sign();

RSAの署名生成はこんな感じ。

KeySpec keySpec = new PKCS8EncodedKeySpec(PKCS#8秘密鍵DERのデータbyte配列);
KeyFactory kf = KeyFactory.getInstance("RSA");
PrivateKey prvKey = kf.generatePrivate(keySpec);
Signature sig = Signature.getInstance("SHA1withRSA");
sig.initSign(prvKey);
sig.update(署名対象データaaa);
sigVal = sig.sign();

RSAやECDSAの署名検証はこんな感じ。

CertificateFactory cf = CertificateFactory.getInstance("X.509");
X509Certificate cer = (X509Certificate)cf.generateCertificate(new FileInputStream(公開鍵証明書));
pubKey = cer.getPublicKey();
Signature sig = Signature.getInstance("SHA1withECDSA"); // RSAならSHA1withRSA
sig.initVerify(pubKey);
sig.update(署名対象データ);
isValid = sig.verify(sigVal);

最初、BouncyCastle使えばいいかとも思ったんですが、 Java SE 7から楕円用のプロバイダSunECが標準提供されるようになったので、 Java SE 7の標準バンドルされたプロバイダを使うことにしました。サポートしている楕円曲線はどうだっけと思ったら前に自分で調べてあったのでそれを参考にしました。 ( 祝 Java SE 7 リリース記念「JCEはどうなってんの？」)

RSAとECCの暗号強度対応

一般に、

ECC 160bit は RSA 1024bitに相当する、とか
ECC 256bit は RSA 3072bitに相当する、とか

言われていますが、調べて見ると、 NIST SP800-57 Recommendation for Key Management - Part1: Generalの 5.6.1節 Comparable Algorithm Strengthで対象暗号、RSA、DSA、ECC(ECDSA)の鍵長と暗号強度の対応の表があり、 RFC 5656 Elliptic Curve Algorithm Integration in the Secure Shell Transport Layerでも引用してます。(こっちの方が見やすい)

表を引用しておきましよう。

共通鍵暗号	DSA	RSA	ECDSA
80	L=1024,N=160	1024	160-223
112	L=2048,N=256	2048	224-255
128	L=3072,N=256	3072	256-383
192	L=7680,N=384	7680	384-511
256	L=15360,N=512	15360	512-

(結果1)RSAの署名生成と署名検証はどっちが速いか

まずはRSA鍵での署名と検証がどれくらい違うのか見てみましょう。

署名と生成では、署名の方が圧倒的に時間がかかることがわかります。また、鍵長が長くなるほど指数関数的に時間がかかることがわかります。署名生成に関しては特にJava JCEの遅さが顕著です。

(結果2)ECDSAの署名生成と署名検証はどっちが速いか

グラフからECDSAではRSAとは逆に署名検証より署名生成の方がわずかながら速いですが、あまり変わらないということがわかります。また、同じ鍵長のsecp160r1, secp160r2, secp160k1とではほとんど処理速度には違いはなく、鍵長が長くなると処理時間は増えますが、 RSAが非常に鍵長の影響を受けるのに対し、ECDSAではあまり鍵長が長くなっても処理時間が長くはならない事がわかります。

(結果3)同じ暗号強度ではRSAとECDSAとどちらが速いか

ECC 160bit とRSA 1024bitはほぼ同等の暗号強度です。 ECDSAと比較して、RSAは署名生成はとても遅いが、署名検証はとても速いことがわかります。

鍵長が長いケース、ECC 256bit と同等なRSA 3072bit を比較してみると、順序関係は変わりませんが、鍵長が長くなった分、非常にRSA署名の生成時間が長くなっています。これに対し、ECDSAではRSAほどは鍵長が長くなった影響を受けていません。

まとめ

簡単にまとめると時間がかかる順に

RSA署名の生成には非常に時間がかかる
ECDSAの署名検証は署名生成よりほんの少し長く時間がかかる
ECDSAの署名生成は普通に時間がかかる
RSA署名の検証は非常に短時間であるECDSAの署名生成は普通に時間がかかる
RSAでは鍵長が長くなるほどその傾向が顕著になる。
ECDSAはRSAほどは鍵長が長くなる影響を受けない。

といった感じでしょうか。認識してたとおりで良かったなぁと思いました。今日はこの辺で。

タグ：: #OpenSSL; #Ruby; #RSA; #ECDSA; #ECC; #署名; #Java; #JCE

2013年04月08日21:34

カテゴリ: OpenSSL; 暗号

図説：PKCS#5秘密鍵をパスワード保護する共通鍵とIVの作り方(記事修正)

パスワードで保護されたPEM形式のPKCS#5 RSA秘密鍵を復号して取り出して署名なんかに使えるようなJavaScriptライブラリを作りたいと思ってるんですが、なんか現業が忙殺されておりそんな時間もなく。ただ、そんな事ではもうエンジニアとして詰んでいるなぁと思いリハビリのためにいろいろ調べてみることにしました。

パスワード保護されたPKCS#5 PEM形式の秘密鍵

OpenSSHの公開鍵認証や、OpenSSLベースでのCAや、Apacheサーバーの起動などでパスワード保護されたPKCS#5 PEM形式の公開鍵暗号の秘密鍵を使うことがあります。一般にはこんな感じのテキストファイルになってます。

-----BEGIN RSA PRIVATE KEY----- ←①PKCS#5 RSA秘密鍵を示すヘッダ
Proc-Type: 4,ENCRYPTED ←②共通鍵暗号で秘密鍵を暗号化していることを示す
DEK-Info: DES-EDE3-CBC,E83B4019057F55E9 ←③共通鍵暗号方式と、ソルトを含む初期化ベクタ

iIPs59nQn4RSd7ppch9/vNE7PfRSHLoQFmaAjaF0DxjV9oucznUjJq2gphAB2E2H ←④共通鍵で暗号化された秘密鍵本体
1r9k4e7lc7LZjF0RIgfeRl7MKmLHVCNo2EhPkt5yTb6bNdf3trS03+N+L5zBoaVp
以下、略

PEM形式の秘密鍵には"BEGIN RSA PRIVATE KEY"とか書いてあるやつと"BEGIN PRIVATE KEY"とか書いているやつがあるんですけど、それぞれPKCS#5形式とPKCS#8形式の公開鍵暗号の秘密鍵になります。 PKCS#5とPKCS#8の鍵形式の違いはざっとこんな感じ。

PKCS#5 秘密鍵

PEMヘッダに"BEGIN RSA PRIVATE KEY"のように公開鍵暗号アルゴリズムが書いてある。
鍵本体には公開鍵暗号鍵アルゴリズムを示す識別情報は書かれていないので PEMヘッダ側で区別する必要がある。

PKCS#8 秘密鍵

PEMヘッダは"BEGIN PRIVATE KEY"のように公開鍵暗号アルゴリズムが書いてない。
鍵本体には公開鍵暗号鍵アルゴリズムを示す識別情報がASN.1オブジェクト識別子(OID) で書かれている。
PKCS#8の鍵データは、PKCS#5の鍵本体とアルゴリズム識別子をまとめてASN.1オブジェクトとしたもの。

PKCS#5の秘密鍵にはその他に、暗号化されているかどうか、公開鍵暗号の秘密鍵をパスワードで保護するための共通鍵暗号のアルゴリズム、ソルトを含む初期化ベクタが書かれています。ソルトは同じパスワードを使っても共通鍵暗号の共通鍵が同じになってしまうことが無いように鍵の保存時につけられた8バイトの長さ固定の乱数です。共通鍵暗号のアルゴリズムや鍵長に依存して長さが含む「ソルトを含む初期化ベクタ」の先頭8バイト分をソルトとして使用します。

共通鍵暗号の共通鍵と初期ベクタIVはどうやって作るのか

秘密鍵を使うためのパスフレーズ(パスワード、PINコードとも呼ばれる)と、前述のソルトからどのように共通鍵と初期ベクタを生成するのかをOpenSSLのソースコードを眺めながら調べてみました。この処理を行う関数は "crypto/evp/evp_key.c" で定義されている "EVP_BytesToKey" という関数です。この関数は共通鍵と初期化ベクタ(IV)を同時に作るものですが、PKCS#5の鍵データを復号するためには生成された共通鍵のみを使い、初期化ベクタは関数より生成されたものではなく、PKCS#5ファイルのDEK-Infoに記載されたソルトを含む初期化ベクタ全体を使います。

パスフレーズとソルトからどのように共通鍵と初期ベクタ(IV)を生成するのかを図に書いてみました。
EVP_BytesToKey

基本的にはパスフレーズの文字列とソルトからMD5ハッシュアルゴリズムのハッシュ値を計算し、定められた長さを切り出して共通鍵とIVを取得します。今なおMD5固定で使われているというのはうーむという感じですね。

共通鍵と初期ベクタIVをOpenSSLコマンドで簡単に見るには

「公開鍵暗号の秘密鍵」を最終的に保護する「共通鍵暗号の共通鍵」と「初期ベクタIV」は、暗号化対象の秘密鍵の値には一切関係なく、単に共通鍵暗号アルゴリズムとパスコードとソルトのみで決まり、簡単にOpenSSLのコマンドで見ることができます。

例えば、共通鍵暗号がトリプルDES(DES-EDE3-CBC)で、パスコードが "hoge" で、ソルトが "E83B4019057F55E9" であったときの、共通鍵と初期ベクタは以下のコマンドで表示されます。

% openssl 共通鍵暗号 -p -in /dev/null -out /dev/null -pass pass:パスフレーズ -S 8バイト16進数ソルト
(例)
% openssl des-ede3-cbc -p -in /dev/null -out /dev/null -pass pass:hoge -S 1F2F3F4F5F6F7F8F
salt=1F2F3F4F5F6F7F8F
key=BD2B936A94EA6C2E0D15CD066C008F1F88735EE491687A29
iv =C180CD24D8B03454 (このIVは復号には使わない)

読みにくいOpenSSLのCのコード解析の後で

さんざん、読みにくい難解なOpenSSLのCのソースコードを読んだあとで、その鍵と初期化ベクタを取得する EVP_BytesToKey関数をPythonで書き直してくれている yasusii さんという方がいらっしゃいました。「Discreet Blog 25.6.2007 - OpenSSLのPBE(Password Based Encryption) (2007-06-25)」、先にこの記事見ときゃよかったorz

これで、なんとなくJavaScriptでPKCS#5鍵を解いてRSA署名するなんてことができるような気がしてきました。今日はこんなところで。

改訂

2013.04.10 - ソルトとIVの扱いについて調査不足というか誤解があったので修正しました。

タグ：: #図説; #図解; #PKCS#5; #秘密鍵; #OpenSSL; #IV; #ソルト

2009年03月29日17:17

カテゴリ: 電子署名; OpenSSL

OpenSSL0.9.8[hij]のCMS署名検証の脆弱性

ISS X-Force Database: openssl-cmsverify-security-bypass(49432): OpenSSL CMS_verify() function security bypass

OpenSSL could allow a remote attacker to bypass security restrictions, caused by an error in the CMS_verify() function when handling error conditions. An attacker could exploit this vulnerability using malformed signed attributes containing invalid signed attributes to bypass content digest checks.

2009年3月25日頃、OpenSSL 0.9.8のh、i、jの3世代のマイナーバージョンのCMS署名の検証に脆弱性があった問題が報告され、問題修正されたそうですね。

・OpenSSL 0.9.8h (2008.05.28) ×脆弱
・OpenSSL 0.9.8i (2008.09.15) ×脆弱
・OpenSSL 0.9.8j (2009.01.07) ×脆弱
・OpenSSL 0.9.8k (2009.03.25) ○問題修正

OpenSSLはいろいろな製品にも使われていて、汎用の署名アプリ、S/MIME署名メールやCAdES長期署名のベースとしてこれが使われていることもあるので、まぁ、それなりに影響があります。

今日は夕方暇だったので、何が問題だったのかちょっと見てみました。問題のコードは "crypto/cms/cms_smime.c" の CMS_verify() 関数なんだそうなんですが、修正されたのは条件式が "!" か "<=" かだけの違いです。



crypto/cms/cms_smime.c 428行目

×修正前：if (!CMS_SignerInfo_verify_content(si, cmsbio))

○修正後：if (CMS_SignerInfo_verify_content(si, cmsbio) <= 0)

CMS_SignerInfo_verify_content()関数は "crypto/cms/cms_sd.c" で定義されており、署名対象文書となるencapContentInfo中のeContentと署名情報SignerInfoに対して

・SignerInfoに署名属性あればMessageDigest属性中のハッシュ値と
　　eContentから計算されたハッシュ値が一致するか
・SignerInfoに署名属性が無ければeContentに対する署名値が一致するか

検証する関数です。

では、CMS_SignerInfo_verify_content()関数の戻り値はどうなのかを調べてみますと、

戻り値 "1" の場合(署名対象文書eContentのハッシュ/署名一致)：
・MessageDigest属性がありeContentのハッシュ値と一致する場合
・署名属性がなくeContentの署名値がsignatureフィールドと一致する場合

戻り値 "0" の場合(署名対象文書eContentのハッシュ/署名不一致エラー)：
・MessageDigest属性がありハッシュ長一致だがハッシュ値が不一致の場合
・署名属性がなくeContentの署名値がsignatureフィールドと不一致の場合

戻り値 "-1" の場合(その他のエラー)：
・署名属性フィールドがあるのにMessageDigest属性がない場合
・SignerInfoのdigestAlgorithmのアルゴリズムが不明など
　ハッシュ計算コンテキストの初期化に失敗した場合
・MessageDigest属性がありeContentからのハッシュ値計算に失敗した場合
・MessageDigest属性がありその属性値と計算結果のハッシュと結果長が不一致

なようです。で、問題のある OpenSSL 0.9.8 h～j ではエラーケースである戻り値"-1"の場合でも、(! 1)==0と同じく(! -1)==0でありゃりゃスルーっと署名検証成功バッチリOKになってしまうようで、

・署名対象文書(eContent)とハッシュ値が不一致だろうが
・わざと知らなそうなマイナーなアルゴリズムをdigestAlgorithmを設定してやれば

CMS署名検証OKとできたようです。

署名対象文書(eContent)と一致確認をしていないのは、かなりマズーでしたね、、、（＾＾；こういうショボイ間違いしちゃうのも、戻り値とか関数の説明とかコメントを全く書かないせいなんじゃないかと思ってるんですがどうでしょうか、、、、

＜リンク＞
・OpenSSL Security Advisory [25-Mar-2009]

タグ：: #OpenSSL; #CMS署名; #脆弱性

2008年11月21日18:32

カテゴリ: セキュリティ; OpenSSL

OpenSSL FIPS 140-2 Lv1 module 1.2

OpenSSL: The Open Source toolkit for SSL/TLS

18-Nov-2008: OpenSSL FIPS 140-2 module 1.2 is now available

だそうです、、、、情報ありがとうございますｍ（＿　＿）ｍ

タグ：: #OpenSSL; #FIPS

2008年09月30日22:37

カテゴリ: セキュリティ; OpenSSL

Apache2.2.9+OpenSSL0.9.8h Win32

Index of /dist/httpd/binaries/win32

手元にSSLクライアント認証が試せる適当なサーバーがほしかったので
apache_2.2.9-win32-x86-openssl-0.9.8h-r2.msi
を入れてみました。

前はWindows上でApache+mod_sslをビルドするのがとても面倒だった気がしたんですが、なんだ、、、、インストーラーがちゃんとあるじゃないですか～～～～。ちょっとhttpd.conf、httpd-ssl.confを設定するだけでSSLクライアント認証が試せてしまいます。(有難い有難い、、、、)

NumericStringやGraphicStringをSubject DNに含む証明書でクライアント認証してみようとしたんだけど、単にエラーになるだけだった、、、つまんないの（′∀｀）

ちなみにサポートしてないDirectoryString Typeのクライアント証明書を使った際に出るエラーはこれ、LogLevelはinfo以下でないとだめ、、、、

asn1 encoding routines:ASN1_ITEM_EX_D2I:mstring wrong tag

タグ：: #apache; #OpenSSL; #SSL

記事一覧(手作り)

はてなブックマーク
された記事