セキュアエレメントとWireGuard

セキュアエレメントとWireGuard 光安健太郎

Agenda • ⾃⼰紹介 • WireGuardとは • セキュアエレメントについて • WireGuardのセキュリティ強化 •
展望 • まとめ

⾃⼰紹介インフラの出⾝で、セキュリティのビジネスをしている会社で働いています。⾃宅でいろいろやってきました。 SORACOM IoT Meetup 〜IoTデバイスセキュリティ勉強会︕セキュアエレメントを学ぶ〜 2022/2/21開催

WireGuardとは WireGuardはシンプルで⾼速なVPN。Linuxの標準モジュールとして採⽤されていて、利⽤が進んでいる。センサー、カメラなどのエッジデバイス側で様々なセキュリティ対策が検討されているが、WireGuardを使ってセキュアなエッジ通信ができないか考えた。

どう、最新の暗号技術が採⽤されているのか︖ Curve25519 ECDH 鍵共有 HKDF 鍵導出 ChaCha20-Poly1305 認証暗号 BLAKE2s ハッシュ
WireGuardとは

WireGuardの構造 Linux カーネルネットワークインターフェース eth0 wlan0 wireguard カーネルモジュール Linux
ユーザー空間 wireguard-tools rtnetlink カーネル⇔ネットワークインターフェース通信 netlink カーネル⇔ユーザー空間通信インターフェース設定鍵ペア転送デバイス作成、通信 Go⾔語など、多数実装ありカーネル空間でなくユーザー空間で動作する実装もあり WireGuardとは

Noise Protocol Frameworkのような最新のイケてる暗号化技術をつかっている︖︖ Noise Protocol Frameworkとは︖ WireGuardとは

②DH計算 Noise Protocol Frameworkとは︖ 静的秘密鍵静的公開鍵公開公開⼀時公開鍵⼀時秘密鍵
ハンドシェイク通信静的公開鍵公開あらかじめ渡しておく静的公開鍵公開相⼿の静的公開鍵（事前に⼊⼿）公開相⼿の静的公開鍵（事前に⼊⼿）公開⼀時秘密鍵 ③DH計算相⼿の静的公開鍵（事前に⼊⼿）公開静的秘密鍵 ④DH計算静的秘密鍵公開⼀時秘密鍵静的秘密鍵⼀時公開鍵公開⼀時公開鍵 ①DH計算⼀時秘密鍵公開⼀時公開鍵 WireGuardとは

課題提起︓静的秘密鍵の置き場所これをセキュアエレメントで守れないか [Interface] PrivateKey = FA2qtPQO3XsjOSR06Sx9Eg/rR8pw2B5cSgdOXKpa8Gs= Address = 10.0.0.112/32 [Peer]
PublicKey = ty5vAuknCTspoVquXgHt1AR8sm05Jblrkv1bfGKfMBw= Endpoint = XXX.XXX.XXX.XXX:51820 AllowedIPs = 10.0.0.0/24 PersistentKeepalive = 25 静的秘密鍵相⼿の静的公開鍵（事前に⼊⼿）公開 WireGuardとは

セキュアエレメントについて ▪セキュアエレメントの機能︓秘密鍵を隠して、なりすましを防ぐI2Cデバイス基本機能︓ ▪秘密鍵を読みだすコマンドがなく、公開鍵を読めるコマンドのみある。 ▪セキュアエレメント内の秘密鍵に値（ハッシュ）を与えて署名、DH計算など⾏い結果を返すコマンドがある。

ATECC608A SE050(C) Optiga Trust X メーカー Microchip NXP Infineon インターフェース
I2C 暗号演算楕円暗号(ECC) 楕円暗号(ECC)、RSA 楕円暗号(ECC) 楕円暗号 NIST P-256 ECC NIST (192 to 521 bit) Brainpool (160 to 512 bit) Twisted Edwards Ed25519 Montgomery Curve25519 Koblitz (192 to 256 bit) Barreto-Naehrig Curve 256 bit NIST P-256, P-384 RSA暗号 - up to 4096 bit - 共通鍵暗号 AES-128 AES 128, 192 and 256 bit and DES keys with single DES, 2K3DES and 3K3DES AES-128 ハッシュ SHA-256 SHA-224/256/384/512 SHA-256 記憶領域 1.1KB 50KB 10KB 価格（1個当たり） 87円 476円 244円パッケージ 8pin SOIC,DFN 20pin QFN 10pin DFN 製品ファミリ限定機能のみの ATECC108Aなど限定機能のみのSE050(A)、SE050(B) 温度環境対応品採⽤実績 Google Coral SoM,Arduino MKR Wifi Amazon Dash Button 2nd gen.(ATECC108A) ZYMBIT security module NervesKey for NervesHub Adafruit ATECC608 Breakout Coldcard Bitcoin hardware wallet etc. ーー対応規格ー Security certification CC EAL6+ (HW+JCOP) JavaCard version 3.0.5 GlobalPlatform specification version GP 3.0 Security certification CC EAL6+ セキュアエレメントについて

▪Raspberry Pi 3b＋ bullseye 環境を⽤意 NXP SE050 C1をI2C接続。（市販品ではMIKROE Plug&Trust
clickが利⽤可能） $ sudo raspi-configでI2Cを有効 $ i2cdetect –y 1 コマンドで0x48 （SE050のアドレス）認識を確認セキュアエレメントについて

セキュアエレメントについて ▪NXP社 SE050 セキュアエレメントへのアクセス例 NXPのPlug＆Trustミドルウェア内にある、 CLIツールを利⽤してアクセスを試みる。鍵情報はすべて8桁の16進数オブジェクトID付きで保存される。保存されている証明書へIDを指定してアクセスを⾏えた。 $
ssscli connect se05x t1oi2c /dev/i2c-1:0x48 $ ssscli get bin 0xF0000101 ./device_cert.der Getting Certificate from KeyID = 0xF0000101 sss :INFO :atr (Len=35) 00 A0 34 20 41 54 50 4F sss :WARN :Communication channel is Plain. sss :WARN :!!!Not recommended for production use.!!! Retrieved Certificate from KeyID = 0xF0000101

▪セキュアエレメントを組み込むイメージ WireGuardのセキュリティ強化 ②DH計算静的秘密鍵静的公開鍵公開公開⼀時公開鍵⼀時秘密鍵ハンドシェイク通信
静的公開鍵公開あらかじめ渡しておく静的公開鍵公開相⼿の静的公開鍵（事前に⼊⼿）公開相⼿の静的公開鍵（事前に⼊⼿）公開⼀時秘密鍵 ③DH計算相⼿の静的公開鍵（事前に⼊⼿）公開静的秘密鍵 ④DH計算静的秘密鍵公開⼀時秘密鍵静的秘密鍵⼀時公開鍵公開⼀時公開鍵 ①DH計算⼀時秘密鍵公開⼀時公開鍵静的秘密鍵はセキュアエレメント内から出ない

WireGuardのセキュリティ強化 ▪実装のポイント Linux ユーザー空間 wireguard-tools •wg genkeyコマンド出⼒される秘密鍵を隠すため、SE050の内部の鍵の保管番号であるオブジェクトIDを代わりに出⼒するこの値⾃体は漏れても問題ない
•wg pubkeyコマンド上記オブジェクトIDを引数として、SE050から公開鍵を出⼒する。

WireGuardのセキュリティ強化 ▪実装のポイント •noise.c ハンドシェイクを⾏うコード内で、wg->static_identity.static_private 構造体の中⾝をSE050の内部の鍵の保管番号であるオブジェクトIDに変更し、ECDH計算のためこれを呼び出す関数をSE050のAPIに置き換える。 NXPのPlug＆Trustミドルウェアはユーザー空間⽤なため、カーネルモジュール⽤にHAL（Hardware Abstraction
Layer）の作成が必要。コードもカーネル空間⽤にリライトが必要。 Linux カーネル wireguard カーネルモジュール

WireGuardのセキュリティ強化 ▪wireguard-tools $ wg genkey 0x10000009 CQAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA= $ wg genkey
0x10000009 | wg pubkey Yh3rhVp7LfvPC4YWjB7L8mJO2hk2VXMh9sZ9B6tLm2c= 0x10000009をBase64にした数値になり、秘密鍵を隠せた。 SE050のオブジェクトID 0x10000009の公開鍵を出⼒。これを相⼿側のwireguardへ登録。

WireGuardのセキュリティ強化 ▪wireguard $ sudo cat /etc/wireguard/wg0.conf [Interface] PrivateKey = CQAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
Address = 10.0.0.110/32 [Peer] PublicKey = XXXXX= Endpoint = XXX.XXX.XXX.XXX:XXXXX AllowedIPs = 10.0.0.0/24 PersistentKeepalive = 25 0x10000009をBase64にした数値を秘密鍵として登録相⼿側の公開鍵を登録

WireGuardのセキュリティ強化 ▪パフォーマンス iperf3 5回実⾏平均標準のwireguard 39.28Mbit/sec セキュアエレメント対応wireguard 39.38Mbit/sec 有意な差はなし

WireGuardのセキュリティ強化 ▪キーローテーションを試す。クライアント側で新しいキー番号で秘密鍵、公開鍵を作成する。 $ wg genkey 0x10000006 BgAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA= $
wg genkey 0x10000006 | wg pubkey 9oGFAiGUSMIzg2gzwwEBasjfKxkULebTwzOEjn7K4Rk=

WireGuardのセキュリティ強化 ▪キーローテーションを試す。サーバー側で︓ $ sudo wg set wg0 peer "9oGFAiGUSMIzg2gzwwEBasjfKxkULebTwzOEjn7K4Rk="
allowedips 10.0.0.111/32 これを実⾏したところで接続が切れる。 $ sudo wg set wg0 peer "ChgKBqwSnkov+rcC2KKUQKMgPH9pfrnWXzLpMzfKpg4=" remove IPは現在のIP 現在接続しているピアの公開鍵

WireGuardのセキュリティ強化 ▪キーローテーションを試す。クライアント側で︓ $ sudo wg-quick down /etc/wireguard/wg0.conf $ sudo
vi /etc/wireguard/wg0.confで以下を変更 ``` [Interface] PrivateKey = BgAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA= Address = 10.0.0.111/32 ``` $ sudo wg-quick up /etc/wireguard/wg0.conf IPは現在のIP 新しい0x10000006の鍵を指定

考慮事項 ▪SE050の書き込み回数上限。 An exception in case the EC Montgomery curve
25519 is used: each shared secret generation will cause additional NVM write operations as well to store the external public key that is used in the shared secret generation. SE050でECDH計算をするたびに内部フラッシュ書き込みが発⽣するようだ。実測︓5分で４回実⾏データシートによると書き込み許容回数は最悪で、2000万回、平均で1億回とのこと。１分に1回ECDH計算する想定だと、最悪でも38年。

展望想定⽤途︓ IoTデバイスのメンテナンスネットワーク既存のMQTTなどのプロトコル保護 IoTセキュリティについて継続勉強中。ブログやっているのでいろいろ教えてください。 https://qiita.com/kmitsu76

まとめクラウド接続が増加してくるIoTデバイスでのセキュアエレメントの実装はネットワーク、扱うデータ、デバイスをより信頼できるため、活⽤の幅が広まる参考資料︓ 作って理解するWireGuard https://speakerdeck.com/fadis/zuo-tuteli-jie-suruwireguard

セキュアエレメントとWireGuard

セキュアエレメントとWireGuard

Kentaro Mitsuyasu

More Decks by Kentaro Mitsuyasu

Other Decks in Technology

Featured

Transcript