Upgrade to Pro — share decks privately, control downloads, hide ads and more …

QUICの安全性解析と証明

iseki
September 09, 2015
Technology
0
20

 QUICの安全性解析と証明

http://fais.jsiam.org/2015-fall-jsiam.html
日本応用数理学会2015年度年会FAISオーガナイズド・セッションで発表した資料です。

iseki

September 09, 2015
Tweet

More Decks by iseki

See All by iseki
TypeScriptで統一したアーキテクチャ
masayaiseki
0
640
TypeScriptで統一したアーキテクチャ
masayaiseki
1
75
WebRTCの安全性証明をしたい
masayaiseki
0
22
Precise study on a SOA-PSA based optical signal regenerator with numerical analysis
masayaiseki
0
24

Other Decks in Technology

See All in Technology
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
hirotomotaguchi
2
740
5分でわかるDuckDB
chanyou0311
10
3.2k
株式会社ログラス − エンジニア向け会社説明資料 / Loglass Comapany Deck for Engineer
loglass2019
3
31k
re:Invent 2024 Innovation Talks(NET201)で語られた大切なこと
shotashiratori
0
310
社内イベント管理システムを1週間でAKSからACAに移行した話し
shingo_kawahara
0
180
日本版とグローバル版のモバイルアプリ統合の開発の裏側と今後の展望
miichan
1
130
alecthomas/kong はいいぞ / kamakura.go#7
fujiwara3
1
300
サーバレスアプリ開発者向けアップデートをキャッチアップしてきた #AWSreInvent #regrowth_fuk
drumnistnakano
0
190
成果を出しながら成長する、アウトプット駆動のキャッチアップ術 / Output-driven catch-up techniques to grow while producing results
aiandrox
0
250
watsonx.ai Dojo #5 ファインチューニングとInstructLAB
oniak3ibm
PRO
0
160
なぜCodeceptJSを選んだか
goataka
0
160
AI時代のデータセンターネットワーク
lycorptech_jp
PRO
1
280

Featured

See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
5
440
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
The Language of Interfaces
destraynor
154
24k
For a Future-Friendly Web
brad_frost
175
9.4k
Writing Fast Ruby
sferik
628
61k
Making Projects Easy
brettharned
116
5.9k
Into the Great Unknown - MozCon
thekraken
33
1.5k
GitHub's CSS Performance
jonrohan
1030
460k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k

Transcript

  1. QUICの安全性解析と証明 東京工業大学 藤崎研究室 井関 正也

  2. 本研究の成果 1. QUICに適した安全性モデルの構築と証明 2. QUICに対する攻撃の発見 3. より効率的なプロトコルの設計

  3. 研究背景 より高速で安全なプロトコルの開発が急務 インターネットトラフィック 増加 電子商取引数増加 高速 安全 TLS(Transport Layer Security)が最も普及している

    いくつかの問題がある

  4. TLSの問題点 最も普及しているセキュア通信を実現するためのプロトコル 機能 Ø Encryption Ø Authentication Ø Certification 問題点

    Ø TCPを用いているので通信が遅い Ø プロトコル全体では安全性が証明されていない Ø ユーザの設定によっては脆弱になる

  5. QUICの登場 パケットがロストしても 問題がない状況がある TCPの代わりにUDPを使用 弱い暗号の組み合わせ は排除 ひとつの組み合わせを使用 プロトコル全体の安全性は証明されていない 高速化 安全性向上

    Quick UDP Internet Connections

  6. 研究目的 目的 Ø QUICの安全性の解析と証明 内容 Ø 安全性モデルの構築 Ø 安全性の証明

  7. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

  8. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

  9. QUICとTLSの違い RSA DH 鍵交換 RSA DSA 署名 AES RC4 暗号化

    × × ECDH ECDSA AES × × TLS QUIC

  10. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

  11. QUICとTLSの違い TCP + TLS QUIC

  12. QUICとTLSの違い sync CHLO TCP + TLS QUIC

  13. QUICとTLSの違い sync sync+ack CHLO TCP + TLS QUIC REJ

  14. QUICとTLSの違い sync sync+ack ack CHLO TCP + TLS QUIC REJ

    CHLO

  15. QUICとTLSの違い sync sync+ack ack Hello CHLO TCP + TLS QUIC

    REJ CHLO SHLO

  16. QUICとTLSの違い sync sync+ack ack Hello Hello CHLO TCP + TLS

    QUIC REJ CHLO SHLO

  17. QUICとTLSの違い sync sync+ack ack Hello Hello Finish CHLO TCP +

    TLS QUIC REJ CHLO SHLO

  18. QUICとTLSの違い sync sync+ack ack Hello Hello Finish Finish CHLO TCP

    + TLS QUIC REJ CHLO SHLO

  19. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

  20. TLSのハンドシェイク

  21. TLSのハンドシェイク rc rc : random

  22. TLSのハンドシェイク rc rc : random Ts : public ts :

    secret Ts, ts

  23. TLSのハンドシェイク rc rc : random (rs ,Ts ,σs ) Ts

    : public ts : secret rs : random σs : Signature ts

  24. TLSのハンドシェイク rc rc : random Tc : public tc :

    secret (rs ,Ts ,σs ) ts Tc, tc Ts : public ts : secret rs : random σs : Signature

  25. TLSのハンドシェイク rc (rs ,Ts ,σs ) ts Tc rc :

    random Tc : public tc : secret Ts : public ts : secret rs : random σs : Signature

  26. TLSのハンドシェイク rc rc : random Tc : public tc :

    secret finc : finish msg σc : Signature (rs ,Ts ,σs ) (Tc ,σc ,finc ) ts Ts : public ts : secret rs : random σs : Signature

  27. TLSのハンドシェイク rc (rs ,Ts ,σs ) Ts : public ts

    : secret rs : random σs : Signature (Tc ,σc ,finc ) rc : random Tc : public tc : secret finc : finish msg σc : Signature

  28. TLSのハンドシェイク rc (rs ,Ts ,σs ) Ts : public ts

    : secret rs : random σs : Signature fins : finish msg fins (Tc ,σc ,finc ) rc : random Tc : public tc : secret finc : finish msg σc : Signature

  29. QUICのハンドシェイク

  30. QUICのハンドシェイク

  31. QUICのハンドシェイク Ts, ts Ts : public ts : secret

  32. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature ts

  33. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature ts Tc, tc Tc : public tc : secret

  34. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature ts Tc Tc : public tc : secret

  35. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature ts Tc : public tc : secret rc : random (ID,rc ,Tc )

  36. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc )

  37. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s , t* s

  38. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s

  39. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s cs = Enc( , T* s )

  40. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s cs = Enc( , T* s ) T* s , tc

  41. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s cs = Enc( , T* s )

  42. QUICとTLSの違い rc (rs ,Ts ,σs ) fins (ID,Ts ,σs )

    (ID,rc ,Tc ) cs = Enc( , T* s ) TLSのハンドシェイク QUICのハンドシェイク (Tc ,σc ,finc )

  43. QUICとTLSの違い Ø認証 ØTLS:両側認証可能 ØQUIC:片側認証のみ Ø鍵交換 ØTLS:1つの鍵 ØQUIC:2つの鍵

  44. QUICとTLSの違い Ø認証 ØTLS:両側認証可能 ØQUIC:片側認証のみ Ø鍵交換 ØTLS:1つの鍵 ØQUIC:2つの鍵

  45. QUICとTLSの違い rc (rs ,Ts ,σs ) fins (ID,Ts ,σs )

    (ID,rc ,Tc ) cs = Enc( , T* s ) TLSのハンドシェイク QUICのハンドシェイク (Tc ,σc ,finc )

  46. QUICとTLSの違い Ø認証 ØTLS:両側認証可能 ØQUIC:片側認証のみ Ø鍵交換 ØTLS:1つの鍵 ØQUIC:2つの鍵

  47. QUICとTLSの違い rc (rs ,Ts ,σs ) fins (ID,Ts ,σs )

    (ID,rc ,Tc ) cs = Enc( , T* s ) TLSのハンドシェイク QUICのハンドシェイク (Tc ,σc ,finc )

  48. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

  49. TLSのResumption

  50. TLSのResumption rc rc : random

  51. TLSのResumption rc rc : random (rs ,fins ) rs :

    random fins : finish msg

  52. TLSのResumption rc rc : random finc : finish msg (rs

    ,fins ) rs : random fins : finish msg finc

  53. QUICのResumption T* s : public t* s : secret t*

    s T* s

  54. QUICのResumption T* s : public t* s : secret t*

    s T* s Tc, tc Tc : public tc : secret

  55. QUICのResumption T* s : public t* s : secret t*

    s Tc Tc : public tc : secret

  56. QUICのResumption T* s : public t* s : secret t*

    s Tc : public tc : secret rc : random ID :client ID (ID,rc ,Tc )

  57. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc )

  58. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) T* s , t* s

  59. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) T* s

  60. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) cs = Enc( , T* s )

  61. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) cs = Enc( , T* s ) T* s , tc

  62. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) cs = Enc( , T* s )

  63. QUICとTLSの違い rc (rs , fins ) TLSのResumption QUICのResumption finc (ID,rc

    ,Tc ) cs = Enc( , T* s ) T* s t* s

  64. 既存研究の安全性モデル ACCE[1] ØMutual authentication 攻撃者はClientとServer両方になりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] T.

    Jager et al., “On the security of the TLS-DHE in the Standard Model”, CRYPTO 2012

  65. 既存研究の安全性モデル SACCE[1] ØServer authentication 攻撃者はServerになりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] H.Krawczyk

    et al., “On the security of the TLS protocol: A systematic analysis”, CRYPTO 2013

  66. 既存研究の安全性モデル SACCE[1] ØServer authentication 攻撃者はServerになりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] H.Krawczyk

    et al., “On the security of the TLS protocol: A systematic analysis”, CRYPTO 2013

  67. 既存研究のモデル

  68. 既存研究のモデル

  69. 既存研究のモデル

  70. 既存研究のモデル

  71. 既存研究のモデル

  72. 既存研究の安全性モデル SACCE[1] ØServer authentication 攻撃者はServerになりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] H.Krawczyk

    et al., “On the security of the TLS protocol: A systematic analysis”, CRYPTO 2013

  73. 既存研究のモデル

  74. 既存研究のモデル

  75. 既存研究のモデル

  76. 既存研究のモデル

  77. 既存研究の安全性モデル SACCE[1] ØServer authentication 攻撃者はServerになりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] H.Krawczyk

    et al., “On the security of the TLS protocol: A systematic analysis”, CRYPTO 2013 Resumptionに対応していない

  78. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない

  79. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない

  80. 本研究の安全性モデル Resumption

  81. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない

  82. 本研究の安全性モデル Resumption

  83. 本研究の安全性モデル Resumption

  84. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない

  85. 本研究の安全性モデル Resumption

  86. 本研究の安全性モデル Resumption

  87. 本研究の安全性モデル Resumption

  88. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない QUICでは満たせない

  89. QUICへの攻撃 (ID,rc ,Tc ) cs = Enc( , T* s

    )

  90. QUICへの攻撃 (ID,rc ,Tc ) cs = Enc( , T* s

    ) (ID,r’c ,T’c )

  91. QUICへの攻撃 (ID,rc ,Tc ) cs = Enc( , T* s

    ) (ID,r’c ,T’c )

  92. QUICへの攻撃 (ID,rc ,Tc ) cs = Enc( , T* s

    ) (ID,r’c ,T’c ) 秘密情報が一致しないため鍵の交換ができない

  93. 本研究の安全性モデル RSACCE secure ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel

    Binding 攻撃者は通信を乗っ取ることはできない RSACCE secure strong RSACCE secure

  94. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能

  95. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能 (pk,sk) <- KeyGen(1k) σc <- Sign(sk, ID|rc

    |Tc ) cc <- Enc( ,σc ) Resumption

  96. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能 (ID,rc ,Tc ,pk, cc ) (pk,sk) <-

    KeyGen(1k) σc <- Sign(sk, ID|rc |Tc ) cc <- Enc( ,σc ) Resumption

  97. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能 (ID,rc ,Tc ,pk cc ) (pk,sk) <-

    KeyGen(1k) σc <- Sign(sk, ID|rc |Tc ) cc <- Enc( ,σc ) 攻撃者はCc を作成できない Resumption

  98. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能 (ID,rc ,Tc ,pk, cc ) (pk,sk) <-

    KeyGen(1k) σc <- Sign(sk, ID|rc |Tc ) cc <- Enc( ,σc ) 攻撃者はCc を作成できない Resumption strong RSACCEを満たす

  99. Concurrent Work QACCE[1] ØServer Impersonation 攻撃者はServerになりすましできない ØChannel Corruption 攻撃者は通信内容を知ることができない ØIP

    spoofing 攻撃者は途中から監視している通信を乗っ取ることはで きない [1]R. Lychev et al., “How Secure and Quick is QUIC ? Provable Security and Performance Analyses”, IEEE S&P 2015

  100. Concurrent Work QACCE[1] ØServer Impersonation 攻撃者はServerになりすましできない ØChannel Corruption 攻撃者は通信内容を知ることができない ØIP

    spoofing 攻撃者は途中から監視している通信を乗っ取ることはで きない [1]R. Lychev et al., “How Secure and Quick is QUIC ? Provable Security and Performance Analyses”, IEEE S&P 2015 Resumptionでの攻撃を防げない

  101. QUICの問題点 ØQUIC-CETVの署名は無駄 Øインタラクションの回数が多い より効率的なスキームを設計

  102. 提案法のハンドシェイク Tc, tc

  103. 提案法のハンドシェイク tc (rc ,Tc )

  104. 提案法のハンドシェイク tc (rc ,Tc ) Ts, ts

  105. 提案法のハンドシェイク tc (rc ,Tc ) Ts

  106. 提案法のハンドシェイク tc (rc ,Tc ) Ts T* s, t* s

  107. 提案法のハンドシェイク tc (rc ,Tc ) Ts T* s

  108. 提案法のハンドシェイク tc (rc ,Tc ) (Ts ,σs ,ID, cs )

    cs = Enc( , T* s )

  109. 提案法のハンドシェイク tc (rc ,Tc ) (Ts ,σs ,ID, cs )

    cs = Enc( , T* s )

  110. 提案法のハンドシェイク tc (rc ,Tc ) (Ts ,σs ,ID, cs )

    cs = Enc( , T* s ) T* s

  111. 提案法のハンドシェイク tc (rc ,Tc ) (Ts ,σs ,ID, cs )

    cs = Enc( , T* s )

  112. 提案法のResumption t* s T* s Tc, tc

  113. 提案法のResumption t* s Tc, tc

  114. 提案法のResumption t* s tc (rc ,Tc ,ID,MAC) MAC = PRF(

    , T* s | Tc | ID | rc )

  115. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

    s | Tc | ID | rc )

  116. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

    s | Tc | ID | rc ) T* s, t* s

  117. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

    s | Tc | ID | rc ) T* s

  118. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

    s | Tc | ID | rc ) cs = Enc( , T* s )

  119. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

    s | Tc | ID | rc ) cs = Enc( , T* s ) T* s

  120. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

    s | Tc | ID | rc ) cs = Enc( , T* s )

  121. 提案スキーム QUIC 提案法 安全性 RSACCE sRSACCE インタラクション数 (Full handshake) 4

    2 インタラクショ ン数 (Resumption) 2 2

  122. まとめ ØRSACCE安全性モデルを提案した ØQUICがRSACCEを満たすことを証明した ØQUIC-CETVがstrong RSACCEを満たすことを証 明した Øより安全で効率的なプロトコルを提案した

  123. ご清聴ありがとうございました