自堕落な技術者の日記 : PKCS#5 - livedoor Blog（ブログ）

PKCS#5

2014年10月25日23:59

カテゴリ: SSLTLS; SSL証明書

POODLE攻撃について本当にTLSv1.0なら安全なのか？

POODLE攻撃は、運用泣かせというか、SSLv3のサポートを本当に切っちゃっていいのか、レガシークライアントについて対応するのがいいのか、悩む所ですよね。ShellShock騒ぎさえまだうちでは収束していないのに・・・

POODLE攻撃は、「SSLv3の問題であってTLSv1.0以上では(パディングの方法が違うので)影響が無い」とされていますが、nahiさんからコメントもらって「実装依存だけどTLSv1.0でも危険な実装があるんじゃないの？」ということで、その事を書いてみたいと思います。

今回のPOODLE攻撃については、何が問題でどのようにすれば攻撃できるのかという、詳しい図入りの素晴らしく判りやすい解説をモバゲーさんが「SSL v3.0の脆弱性「POODLE」ってかわいい名前だけど何？？ - Padding Oracle On Downgraded Legacy Encryptionの仕組み -」でされているので、そちらをご覧になると良いと思います。

SSLv3とTLSv1.0以降のブロック暗号のパディングの違い

SSL/TLSでAESや3DESなどのブロック暗号を使った場合には、暗号化するデータはブロックの大きさの整数倍、つまり、AES-256なら32バイト、AES-128なら16バイト、3DESなら24バイトの倍数でないといけません。で、その大きさに揃うようにパディングと呼ばれる隙間の詰め物をして倍数になるように調整するわけです。

例えば、暗号スイートとして、AES-128(16バイト)、SHA1(20バイト)を使っているとして、8バイトのデータを暗号化するとしましょう。パディングした暗号化するための入力は

平文(8)＋HmacSHA1メッセージ認証コード(20)＋パディング(3)+パディング長(1)＝AESブロック長(16)×2

となります。必ずパディング長の1バイトは含まれます。パディングの長さは(ブロック長-1)を超えない値で今回は3となります。

さて、SSLv3とTLSv1.0のパディング方法の違いですが、

SSLv3の場合はパディングの値は任意の値を取れる
TLSv1.0の場合はパディングはPKCS#5パディング方式を用い、具体的にはパディング値の各バイトはパディング長と同じ値が設定される。

となっています。先ほどの3バイトのパディングがあるケースでは下の例のようになります。

パディング(3)+パディング長
[a0][f3][62][03] - SSLv3の場合(先頭3バイトは任意)
[03][03][03][03] - TLSv1.0の場合(先頭3バイトはバイト長と同じ値)

今回のPOODLE攻撃では、SSLv3がパディングの値が任意であるために、効率的に特定の位置の1バイトの平文を復元することができるわけです。モバゲーさんの解説にある通り、SSLv3の場合は256回のHTTPS要求の試行で 1バイトを解読することができますが、TLSv1.0の場合には256の16乗の試行が必要なために現実的な時間で復元することはできません。

で、本当にTLSv1.0なら安全なの？

今日の本題のTLSv1.0なら本当に安全なのか、という話なんですが、とりあえず、TLSv1.1とTLSv1.0のパディングに関する規定を見てみましょう。

まず、TLSv1.1についてですが、

RFC 4346 TLSv1.1 6.2.3.2 CBC Block Cipherより
padding
Padding that is added to force the length of the plaintext to be an integral multiple of the block cipher's block length. The padding MAY be any length up to 255 bytes, as long as it results in the TLSCiphertext.length being an integral multiple of the block length. Lengths longer than necessary might be desirable to frustrate attacks on a protocol that are based on analysis of the lengths of exchanged messages. Each uint8 in the padding data vector MUST be filled with the padding length value. The receiver MUST check this padding and SHOULD use the bad_record_mac alert to indicate padding errors.

となっています。

一方、TLSv1.0です。

RFC 2246 TLSv1.0 6.2.3.2 CBC Block Cipher より
padding
Padding that is added to force the length of the plaintext to be an integral multiple of the block cipher's block length. The padding may be any length up to 255 bytes long, as long as it results in the TLSCiphertext.length being an integral multiple of the block length. Lengths longer than necessary might be desirable to frustrate attacks on a protocol based on analysis of the lengths of exchanged messages. Each uint8 in the padding data vector must be filled with the padding length value.

TLSv1.0では、「パディングデータはパディング長で埋められなければならない。」と書いてありますが、 TLSv1.1では、「パディングデータはパディング長で埋められなければならない(MUST)。受信者はこのパディングをチェックしなければならず(MUST)、パディングエラーを示すにはbad_record_macアラートを使うべきである(SHOULD)。」となっています。つまり、TLSv1.0ではパディングデータがちゃんとパディング長の値でうめられているかどうかのチェックはmustとは書いてあり、多くの実装はちゃんとしてくれていると思いますが、 RFC上の必須要件(MUST)ではないので、チェックしない実装があってもおかしくなく、チェックされない場合、これではSSLv3と同じで、一般的なSSL/TLSの実装では MUSTと書かれていない事は実装する必要もないので (実際、SHOULDと書いてあれば、これに対応しない実装も多い)、実装によってはパディング値のチェックをしないために、 SSLv3と同じくPOODLE攻撃の影響を受けるTLSv1.0実装がある可能性があるかもしれないという事です。

時間がある時に、ちょっと主要なオープンソースの実装を覗いてみようと思います。

今日はこの辺で。nahiさん、情報ありがとうございました。

追記

2014.10.26 OpenSSL 1.0.1jについてソースを見て問題ない事が確認できました。「(続き1)POODLE攻撃について本当にTLSv1.0なら安全なのか？(OpenSSLは安全)」

タグ：: #SSLv3; #TLSv1.0; #TLSv1.1; #POODLE; #脆弱性; #パディング; #padding; #PKCS#5

2013年04月08日21:34

カテゴリ: OpenSSL; 暗号

図説：PKCS#5秘密鍵をパスワード保護する共通鍵とIVの作り方(記事修正)

パスワードで保護されたPEM形式のPKCS#5 RSA秘密鍵を復号して取り出して署名なんかに使えるようなJavaScriptライブラリを作りたいと思ってるんですが、なんか現業が忙殺されておりそんな時間もなく。ただ、そんな事ではもうエンジニアとして詰んでいるなぁと思いリハビリのためにいろいろ調べてみることにしました。

パスワード保護されたPKCS#5 PEM形式の秘密鍵

OpenSSHの公開鍵認証や、OpenSSLベースでのCAや、Apacheサーバーの起動などでパスワード保護されたPKCS#5 PEM形式の公開鍵暗号の秘密鍵を使うことがあります。一般にはこんな感じのテキストファイルになってます。

-----BEGIN RSA PRIVATE KEY----- ←①PKCS#5 RSA秘密鍵を示すヘッダ
Proc-Type: 4,ENCRYPTED ←②共通鍵暗号で秘密鍵を暗号化していることを示す
DEK-Info: DES-EDE3-CBC,E83B4019057F55E9 ←③共通鍵暗号方式と、ソルトを含む初期化ベクタ

iIPs59nQn4RSd7ppch9/vNE7PfRSHLoQFmaAjaF0DxjV9oucznUjJq2gphAB2E2H ←④共通鍵で暗号化された秘密鍵本体
1r9k4e7lc7LZjF0RIgfeRl7MKmLHVCNo2EhPkt5yTb6bNdf3trS03+N+L5zBoaVp
以下、略

PEM形式の秘密鍵には"BEGIN RSA PRIVATE KEY"とか書いてあるやつと"BEGIN PRIVATE KEY"とか書いているやつがあるんですけど、それぞれPKCS#5形式とPKCS#8形式の公開鍵暗号の秘密鍵になります。 PKCS#5とPKCS#8の鍵形式の違いはざっとこんな感じ。

PKCS#5 秘密鍵

PEMヘッダに"BEGIN RSA PRIVATE KEY"のように公開鍵暗号アルゴリズムが書いてある。
鍵本体には公開鍵暗号鍵アルゴリズムを示す識別情報は書かれていないので PEMヘッダ側で区別する必要がある。

PKCS#8 秘密鍵

PEMヘッダは"BEGIN PRIVATE KEY"のように公開鍵暗号アルゴリズムが書いてない。
鍵本体には公開鍵暗号鍵アルゴリズムを示す識別情報がASN.1オブジェクト識別子(OID) で書かれている。
PKCS#8の鍵データは、PKCS#5の鍵本体とアルゴリズム識別子をまとめてASN.1オブジェクトとしたもの。

PKCS#5の秘密鍵にはその他に、暗号化されているかどうか、公開鍵暗号の秘密鍵をパスワードで保護するための共通鍵暗号のアルゴリズム、ソルトを含む初期化ベクタが書かれています。ソルトは同じパスワードを使っても共通鍵暗号の共通鍵が同じになってしまうことが無いように鍵の保存時につけられた8バイトの長さ固定の乱数です。共通鍵暗号のアルゴリズムや鍵長に依存して長さが含む「ソルトを含む初期化ベクタ」の先頭8バイト分をソルトとして使用します。

共通鍵暗号の共通鍵と初期ベクタIVはどうやって作るのか

秘密鍵を使うためのパスフレーズ(パスワード、PINコードとも呼ばれる)と、前述のソルトからどのように共通鍵と初期ベクタを生成するのかをOpenSSLのソースコードを眺めながら調べてみました。この処理を行う関数は "crypto/evp/evp_key.c" で定義されている "EVP_BytesToKey" という関数です。この関数は共通鍵と初期化ベクタ(IV)を同時に作るものですが、PKCS#5の鍵データを復号するためには生成された共通鍵のみを使い、初期化ベクタは関数より生成されたものではなく、PKCS#5ファイルのDEK-Infoに記載されたソルトを含む初期化ベクタ全体を使います。

パスフレーズとソルトからどのように共通鍵と初期ベクタ(IV)を生成するのかを図に書いてみました。
EVP_BytesToKey

基本的にはパスフレーズの文字列とソルトからMD5ハッシュアルゴリズムのハッシュ値を計算し、定められた長さを切り出して共通鍵とIVを取得します。今なおMD5固定で使われているというのはうーむという感じですね。

共通鍵と初期ベクタIVをOpenSSLコマンドで簡単に見るには

「公開鍵暗号の秘密鍵」を最終的に保護する「共通鍵暗号の共通鍵」と「初期ベクタIV」は、暗号化対象の秘密鍵の値には一切関係なく、単に共通鍵暗号アルゴリズムとパスコードとソルトのみで決まり、簡単にOpenSSLのコマンドで見ることができます。

例えば、共通鍵暗号がトリプルDES(DES-EDE3-CBC)で、パスコードが "hoge" で、ソルトが "E83B4019057F55E9" であったときの、共通鍵と初期ベクタは以下のコマンドで表示されます。

% openssl 共通鍵暗号 -p -in /dev/null -out /dev/null -pass pass:パスフレーズ -S 8バイト16進数ソルト
(例)
% openssl des-ede3-cbc -p -in /dev/null -out /dev/null -pass pass:hoge -S 1F2F3F4F5F6F7F8F
salt=1F2F3F4F5F6F7F8F
key=BD2B936A94EA6C2E0D15CD066C008F1F88735EE491687A29
iv =C180CD24D8B03454 (このIVは復号には使わない)

読みにくいOpenSSLのCのコード解析の後で

さんざん、読みにくい難解なOpenSSLのCのソースコードを読んだあとで、その鍵と初期化ベクタを取得する EVP_BytesToKey関数をPythonで書き直してくれている yasusii さんという方がいらっしゃいました。「Discreet Blog 25.6.2007 - OpenSSLのPBE(Password Based Encryption) (2007-06-25)」、先にこの記事見ときゃよかったorz

これで、なんとなくJavaScriptでPKCS#5鍵を解いてRSA署名するなんてことができるような気がしてきました。今日はこんなところで。

改訂

2013.04.10 - ソルトとIVの扱いについて調査不足というか誤解があったので修正しました。

タグ：: #図説; #図解; #PKCS#5; #秘密鍵; #OpenSSL; #IV; #ソルト

記事一覧(手作り)

はてなブックマーク
された記事