エンドツーエンド暗号化SFrameの安全性評価

エンドツーエンド暗号化 SFrame に対する安全性評価キーワード：エンドツーエンド暗号化，SFrame，偽造攻撃，認証鍵回復攻撃五⼗部孝典1,2,3 伊藤⻯⾺2 峯松⼀彦4 1 兵庫県⽴⼤学 2
NICT 3 JST PRESTO 4 NEC CSS 2021 @ オンライン 2021年10⽉27⽇

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価エンドツーエンド暗号化（E2EE）
エンドツーエンド暗号化（上）とクライアント・サーバ間の暗号化（下）の違い通信するエンドユーザのみが暗号化・復号可能な⽅式 n 通信システムの提供者であってもメッセージの盗聴・改ざん不可 n スノーデン⽒の暴露事件により，国家規模の監視・盗聴に対するE2EEの必要性が⼤サービスプロバイダ安全な通信路サービスプロバイダ安全な通信路安全な通信路 ? 2 はじめに

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価エンドツーエンド暗号化（E2EE）
通信するエンドユーザのみが暗号化・復号可能な⽅式 n 通信システムの提供者であってもメッセージの盗聴・改ざん不可 n スノーデン⽒の暴露事件により，国家規模の監視・盗聴に対するE2EEの必要性が⼤ 3 多くのメッセージアプリケーションやビデオ会議システムで採⽤ n Signal Protocol [CCD+17] を採⽤ u WhatsApp, Facebook Messenger, Signal n Secure Frame (SFrame) [OUGM21] を採⽤予定 u Google Duo, Cisco Webex, Jitsi Meet n 独⾃のプロトコルを採⽤ u iMessage (Apple), LINE, Zoom [CCD+17] K. Cohn-Gordon et al. A Formal Security Analysis of the Signal Messaging Protocol. In EuroS&P 2017 [OUGM21] E. Omara et al. Secure Frame (SFrame). https://tools.ietf.org/ html/draft-omara-sframe-03 (October 2021). はじめに

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価 SFrame
4 [OUGM21] E. Omara et al. Secure Frame (SFrame). https://tools.ietf.org/ html/draft-omara-sframe-03 (October 2021). リアルタイム通信⽤のE2EE技術 n 設計者：GoogleとCoSMo softwareのグループ n 仕様書：インターネットドラフト [OUGM21] u 暗号プロトコル：認証暗号，ハッシュ関数，署名アルゴリズム u 鍵交換プロトコル：Signal，Olm，MLSなどを利⽤ n 評価対象： draft-omara-sframe-01* SFrame

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価暗号プロトコル（draft-omara-sframe-01）
5 No. 名称鍵⻑ナンス⻑タグ⻑ 1 AES_CM_128_HMAC_SHA256_8 16バイト 12バイト 8バイト 2 AES_CM_128_HMAC_SHA256_4 16バイト 12バイト 4バイト 3 AES_GCM_128_SHA256 16バイト 12バイト N/A 4 AES_GCM_256_SHA512 32バイト 12バイト N/A *CM: カウンタモード n 認証暗号 u AES-GCM，AES-CM-HMAC (AES-CTRとHMACの⼀般的構成) n ハッシュ関数 u SHA256，SHA512 n 署名アルゴリズム u EdDSA over Ed25519，ECDSA over P-521 u タグ（のリスト）に対して署名を計算 SFrame 暗号スイート

6 No. 名称鍵⻑ナンス⻑タグ⻑ 1 AES_CM_128_HMAC_SHA256_8 16バイト 12バイト 8バイト 2 AES_CM_128_HMAC_SHA256_4 16バイト 12バイト 4バイト 3 AES_GCM_128_SHA256 16バイト 12バイト N/A 4 AES_GCM_256_SHA512 32バイト 12バイト N/A *CM: カウンタモード n 認証暗号 u AES-GCM，AES-CM-HMAC (AES-CTRとHMACの⼀般的構成) n ハッシュ関数 u SHA256，SHA512 n 署名アルゴリズム u EdDSA over Ed25519，ECDSA over P-521 u タグ（のリスト）に対して署名を計算 SFrame 暗号スイート Sig = Sign(𝐾!"# , 𝑻𝒊 ∥ 𝑻𝒊%𝟏 ∥ ⋯ ∥ 𝑻𝒊%𝒙)

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価本研究の貢献
7 No. 対象タグ⻑*1 攻撃種別攻撃者*2 備考 1 認証暗号任意 - - 問題点*3を議論 2 AES-CM-HMAC 短偽造攻撃 MGM - 3 AES-CM-HMAC ⻑ - - 安全性証明済 4 AES-GCM 任意偽造攻撃 MGM - 5 AES-GCM 短認証鍵回復攻撃 MU - *1 8バイト以下が短いタグ⻑，それ以上が⻑いタグ⻑と仮定（攻撃者の能⼒に依存） *2 MGM (Malicious Group Member)：悪意のあるグループメンバー，グループ鍵を所有 *2 MU (Malicious User)：悪意のあるユーザ，グループ鍵を⾮所有 *3 SFrameでは安全であるものの，⼀般的構成を考えた場合に安全性が損なわれる問題具体的な攻撃⽅法，その実⾏可能性，攻撃に対する効果的な対策⼿法を提案認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥を発⾒ 2021年3⽉：SFrameの設計者に報告済，ドラフト更新（01 → 02） n 問題点*3の改善，仕様から署名アルゴリズムを削除はじめに

8 No. 対象タグ⻑*1 攻撃種別攻撃者*2 備考 1 認証暗号任意 - - 問題点*3を議論 2 AES-CM-HMAC 短偽造攻撃 MGM - 3 AES-CM-HMAC ⻑ - - 安全性証明済 4 AES-GCM 任意偽造攻撃 MGM - 5 AES-GCM 短認証鍵回復攻撃 MU - *1 8バイト以下が短いタグ⻑，それ以上が⻑いタグ⻑と仮定（攻撃者の能⼒に依存） *2 MGM (Malicious Group Member)：悪意のあるグループメンバー，グループ鍵を所有 *2 MU (Malicious User)：悪意のあるユーザ，グループ鍵を⾮所有 *3 SFrameでは安全であるものの，⼀般的構成を考えた場合に安全性が損なわれる問題具体的な攻撃⽅法，その実⾏可能性，攻撃に対する効果的な対策⼿法を提案認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥を発⾒ 2021年3⽉：SFrameの設計者に報告済，ドラフト更新（01 → 02） n 問題点*3の改善，仕様から署名アルゴリズムを削除はじめに

9 No. 対象タグ⻑*1 攻撃種別攻撃者*2 備考 1 認証暗号任意 - - 問題点*3を議論 2 AES-CM-HMAC 短偽造攻撃 MGM - 3 AES-CM-HMAC ⻑ - - 安全性証明済 4 AES-GCM 任意偽造攻撃 MGM - 5 AES-GCM 短認証鍵回復攻撃 MU - *1 8バイト以下が短いタグ⻑，それ以上が⻑いタグ⻑と仮定（攻撃者の能⼒に依存） *2 MGM (Malicious Group Member)：悪意のあるグループメンバー，グループ鍵を所有 *2 MU (Malicious User)：悪意のあるユーザ，グループ鍵を⾮所有 *3 SFrameでは安全であるものの，⼀般的構成を考えた場合に安全性が損なわれる問題具体的な攻撃⽅法，その実⾏可能性，攻撃に対する効果的な対策⼿法を提案認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥を発⾒ 2021年3⽉：SFrameの設計者に報告済，ドラフト更新（01 → 02） n 問題点*3の改善，仕様から署名アルゴリズムを削除安全性評価

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価結果１：SFrameで使⽤する認証暗号の安全性
10 以下で⽰す⼀般的な仮定の下で安全 n AES：擬似ランダム置換 n HMAC：擬似ランダム関数安全性評価 Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝐾% "#$, aad, 𝐶) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure 問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる

11 以下で⽰す⼀般的な仮定の下で安全 n AES：擬似ランダム置換 n HMAC：擬似ランダム関数問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる安全性評価 Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝐚𝐚𝐝, 𝑪) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure

12 Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝐾% "#$, aad, 𝐶) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure 以下で⽰す⼀般的な仮定の下で安全 n AES：擬似ランダム置換 n HMAC：擬似ランダム関数安全性評価問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価結果２：短いタグを出⼒するAES-CM-HMACの安全性
13 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏ターゲットメンバー攻撃者（メンバー）安全性評価

14 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑵, 𝐚𝐚𝐝, 𝑴 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏ターゲットメンバー攻撃者（メンバー）安全性評価

15 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑵, 𝐚𝐚𝐝, 𝑴 に対応する暗号⽂ 𝑪 と 𝝉 ビットタグ 𝑻 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏ターゲットメンバー攻撃者（メンバー）安全性評価

16 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝑪, 𝑻 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏ターゲットメンバー攻撃者（メンバー）安全性評価 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮

17 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑴 で 𝟐𝒕 回繰り返し実⾏ターゲットメンバー攻撃者（メンバー）安全性評価 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮

18 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲットメンバーから送信されたフレーム 𝑵, 𝐚𝐚𝐝, 𝑪,, 𝑻,, 𝐒𝐢𝐠 を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, aad, 𝐶∗, 𝑇′, Sig を他のグループメンバーに送信ターゲットメンバー攻撃者（メンバー）安全性評価 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮ 𝑁, aad, 𝑪(, 𝑻(, Sig

19 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲットメンバーから送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑻∗ = 𝑻, かつ 𝑪∗ ≠ 𝑪, となる 𝑪∗, 𝑻∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, aad, 𝐶∗, 𝑇′, Sig を他のグループメンバーに送信ターゲットメンバー攻撃者（メンバー）安全性評価 𝑁, aad, 𝑪(, 𝑻(, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′

20 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲットメンバーから送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝑪, を 𝑪∗ に差し替えたフレーム 𝑵, 𝐚𝐚𝐝, 𝑪∗, 𝑻′, 𝐒𝐢𝐠 を他のグループメンバーに送信ターゲットメンバー攻撃者（メンバー）安全性評価 𝑁, aad, 𝑪(, 𝑻(, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′ 𝑁, aad, 𝑪∗, 𝑻′, Sig

21 悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲットメンバーから送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, 𝑎𝑎𝑑, 𝐶∗, 𝑇′, Sig を他のグループメンバーに送信ターゲットメンバー攻撃者（メンバー）安全性評価 𝑁, aad, 𝑪(, 𝑻(, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′ 𝑁, aad, 𝑪∗, 𝑻′, Sig タグ長が4バイトの場合： n 232 通りの 𝑪∗, 𝑻∗ ペアを事前計算テーブルに保存 n 攻撃成功確率：1

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価結果３：⻑いタグを出⼒するAES-CM-HMACの安全性
22 定理１．𝒜 を AES-CM-HMAC に対する SCU 攻撃者とする．この時，AES-CM- HMAC に対する 𝒜 の SCU advantage は，𝐻 に対していかなる eSec 攻撃者 𝒜, が存在する場合においても，以下の不等式が成⽴する． 𝐀𝐝𝐯𝐀𝐄𝐒1𝐂𝐌1𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 9 ℓ" 𝓐, ここで， ℓ, はハッシュ関数への⼊⼒ビット⻑ ℓ に1ブロック分のビット⻑を追加した値を表す．ハッシュ関数が SHA256 の場合は ℓ, = ℓ+512 である． SCU 安全性 [DGRW18] n 攻撃者に秘密鍵が与えられた状況でメッセージの偽造困難性を保証 Second-ciphertext Unforgeability (SCU) 安全な認証暗号 [DGRW18] Y. Dodis et al. Fast Message Franking: From Invisible salamanders to encryptment. In CRYPTO 2018. [RS04] P. Rogaway and T. Shrimpton. Cryptographic Hash Function Basics. In FSE 2004. Everywhere Second-Preimage (eSec) 耐性 [RS04] n ⼀般的な第2原像計算困難性よりも強⼒な安全性要件 u SHA256, SHA512 安全性評価

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価結果４：任意⻑のタグを出⼒するAES-GCMの安全性
23 GHASH演算の具体例： n 2ブロックのメッセージ M = (M1 , M2 ) と 1ブロックの関連データ aad = aad1 𝑻 = GHASH 𝐿, aad ∥ 𝐶 ∥ Len aad, 𝐶 ⊕ 𝐸" 𝑁 ∥ 1 = 𝐚𝐚𝐝𝟏 Q 𝑳𝟒 ⊕ 𝑪𝟏 Q 𝑳𝟑 ⊕ 𝑪𝟐 Q 𝑳𝟐 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏, 𝑪 Q 𝑳 ⊕ 𝑬𝑲 𝑵 ∥ 𝟏 𝐶? = 𝐸" 𝑁 ∥ 𝑖 + 1 ⊕ 𝑀? *認証鍵：𝐿 = 𝐸" 0@AB 𝑪𝟐 , Q 𝑳𝟐 = 𝑻 ⊕ 𝐚𝐚𝐝𝟏 , Q 𝑳𝟒 ⊕ 𝑪𝟏 , Q 𝑳𝟑 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏 , , 𝑪, Q 𝑳 ⊕ 𝑬𝑲 𝑵, ∥ 𝟏 攻撃⼿順 1. 任意の 𝑴𝟏 , , 𝑵,, 𝐚𝐚𝐝𝟏 , を選択し，𝑪𝟏 , を計算 2. 以下の等式が成り⽴つように 𝑪𝟐 , を決定悪意のあるグループメンバーによって偽造攻撃が可能 n 問題点：GHASH関数の線形性（鍵が与えられた状況で容易に偽造可能） u タグ（のリスト）に対して署名Sigを計算安全性評価

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価結果５：短いタグを出⼒するAES-GCMの安全性
27 t 32 64 L q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量悪意のあるユーザによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 2* のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] 安全性評価

28 t 32 64 L q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量悪意のあるユーザによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 2* のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] 安全性評価

29 t 32 64 L q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量悪意のあるユーザによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 𝟐𝒕 のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] 安全性評価

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価対策
30 [DGRW18] Dodis et al. Fast message franking: From invisible salamanders to encryptment. In CRYPTO 2018 安全性評価短いタグを出⼒するAES-CM-HMACへの偽造攻撃 n 短いタグ⻑，特に4バイトのタグを出⼒するAES-CM-HMACを使⽤しない任意⻑のタグを出⼒するAES-GCMへの偽造攻撃 n タグ（のリスト）だけでなくフレーム全体に対して署名を計算短いタグを出⼒するAES-GCMへの認証鍵回復攻撃 n 短いタグを出⼒するAES-GCMを使⽤しない n NISTが⽰す制約事項を仕様に明記その他 n HFC [DGRW18] のような安全なEncryptment⽅式を採⽤

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価まとめ
31 No. 対象タグ⻑*1 攻撃種別攻撃者*2 備考 1 認証暗号任意 - - 問題点*3を議論 2 AES-CM-HMAC 短偽造攻撃 MGM - 3 AES-CM-HMAC ⻑ - - 安全性証明済 4 AES-GCM 任意偽造攻撃 MGM - 5 AES-GCM 短認証鍵回復攻撃 MU - *1 8バイト以下が短いタグ⻑，それ以上が⻑いタグ⻑と仮定（攻撃者の能⼒に依存） *2 MGM (Malicious Group Member)：悪意のあるグループメンバー，グループ鍵を所有 *2 MU (Malicious User)：悪意のあるユーザ，グループ鍵を⾮所有 *3 SFrameでは安全であるものの，⼀般的構成を考えた場合に安全性が損なわれる問題具体的な攻撃⽅法，その実⾏可能性，攻撃に対する効果的な対策⼿法を提案認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥を発⾒ 2021年3⽉：SFrameの設計者に報告済，ドラフト更新（01 → 02） n 問題点*3の改善，仕様から署名アルゴリズムを削除

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価参考資料

33 frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾* +,- ，認証鍵*1 𝐾. +,- ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡#$%: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡#$% ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾& #$%, 𝐾' #$%, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇( 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾)*+ , 𝑇( ∥ 𝑇(,- ∥ ⋯ ∥ 𝑇(,.) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提付録

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価 34
frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾* +,- ，認証鍵*1 𝐾. +,- ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡#$%: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡#$% ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾& #$%, 𝐾' #$%, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇( 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾)*+ , 𝑇( ∥ 𝑇(,- ∥ ⋯ ∥ 𝑇(,.) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）付録

frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝑲𝒆 𝑲𝑰𝑫 ，認証鍵*1 𝑲𝒂 𝑲𝑰𝑫 ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑵 ⽣成 l 𝒔𝒂𝒍𝒕𝑲𝑰𝑫: KeyStore[KID], HKDF l 𝑵 = 𝒔𝒂𝒍𝒕𝑲𝑰𝑫 ⊕ 𝐂𝐓𝐑 4. AEAD.Encryption l ⼊⼒：𝐾& #$%, 𝐾' #$%, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇( 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾)*+ , 𝑇( ∥ 𝑇(,- ∥ ⋯ ∥ 𝑇(,.) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）付録

frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾* +,- ，認証鍵*1 𝐾. +,- ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡#$%: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡#$% ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝑲𝒆 𝐊𝐈𝐃, 𝑲𝒂 𝐊𝐈𝐃, 𝑵, 𝐚𝐚𝐝, 𝑴 l 出⼒：𝑪, 𝑻𝒊 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾)*+ , 𝑇( ∥ 𝑇(,- ∥ ⋯ ∥ 𝑇(,.) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）付録

frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾* +,- ，認証鍵*1 𝐾. +,- ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡#$%: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡#$% ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾& #$%, 𝐾' #$%, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇( 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝑲𝐬𝐢𝐠 , 𝑻𝒊 ∥ 𝑻𝒊,𝟏 ∥ ⋯ ∥ 𝑻𝒊,𝒙) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）付録

frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾* +,- ，認証鍵*1 𝐾. +,- ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡#$%: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡#$% ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾& #$%, 𝐾' #$%, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇( 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾)*+ , 𝑇( ∥ 𝑇(,- ∥ ⋯ ∥ 𝑇(,.) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）付録

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価 HFC
[DGRW18] 39 付録 [DGRW18] Dodis et al. Fast message franking: From invisible salamanders to encryptment. In CRYPTO 2018 𝑓 𝑓 𝑓 ⋯ 𝐾 IV 𝐻- 𝑀- 𝑇 𝑓 𝑀= 𝐾 𝐾 𝑀- 𝐾 𝑀= 𝐶- 𝐶=

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価定理１
40 定理１．𝒜 を AES-CM-HMAC に対する SCU 攻撃者とする．この時，AES-CM- HMAC に対する 𝒜 の SCU advantage は，𝐻 に対していかなる eSec 攻撃者 𝒜, が存在する場合においても，以下の不等式が成⽴する． 𝐀𝐝𝐯𝐀𝐄𝐒1𝐂𝐌1𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 9 ℓ" 𝓐, ここで， ℓ, はハッシュ関数への⼊⼒ビット⻑ ℓ に1ブロック分のビット⻑を追加した値を表す．ハッシュ関数が SHA256 の場合は ℓ, = ℓ+512 である． SCU 安全性 [DGRW18] n 攻撃者に秘密鍵が与えられた状況でメッセージの偽造困難性を保証 Second-ciphertext Unforgeability (SCU) 安全な認証暗号 [DGRW18] Y. Dodis et al. Fast Message Franking: From Invisible salamanders to encryptment. In CRYPTO 2018. [RS04] P. Rogaway and T. Shrimpton. Cryptographic Hash Function Basics. In FSE 2004. Everywhere Second-Preimage (eSec) 耐性 [RS04] n ⼀般的な第2原像計算困難性よりも強⼒な安全性要件 u SHA256, SHA512 付録

五⼗部孝典，伊藤⻯⾺，峯松⼀彦 2021年10⽉27⽇ CSS 2021 @ オンラインエンドツーエンド暗号化 SFrame に対する安全性評価定理１の証明
41 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍,𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍,𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝐷 = aad𝐿𝑒𝑛 ∥ aad ∥ 𝐶 𝐷∗ = aad𝐿𝑒𝑛 ∥ aad ∥ 𝐶∗ 付録

42 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍,𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍,𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 = 𝑺∗ ? Case 1: 𝒜 finds 𝑆 = 𝑆∗ 付録

43 𝑻 = 𝑻∗ ? 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍,𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍,𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 ≠ 𝑺∗ Case 2: 𝒜 finds 𝑆 ≠ 𝑆∗ and 𝑇 = 𝑇∗ 付録

44 𝑻 = 𝑻∗ ? 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍,𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍,𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 = 𝑺∗ ? Case 1: 𝒜 finds 𝑆 = 𝑆∗ Case 2: 𝒜 finds 𝑆 ≠ 𝑆∗ and 𝑇 = 𝑇∗ 𝐀𝐝𝐯𝐀𝐄𝐒,𝐂𝐌,𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 ≤ 𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 J ℓ/ 𝓐L + 𝐀𝐝𝐯𝑯 𝐞𝐒𝐞𝐜 J𝟏𝟎𝟐𝟒 𝓐L 𝐀𝐝𝐯𝐀𝐄𝐒,𝐂𝐌,𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 J ℓ/ 𝓐L ① ② 付録

エンドツーエンド暗号化SFrameの安全性評価

エンドツーエンド暗号化SFrameの安全性評価

More Decks by Ryoma Ito

Other Decks in Research

Featured

Transcript