QUICの安全性解析と証明

Transcript

1. QUICの安全性解析と証明 東京工業大学 藤崎研究室 井関 正也

2. 本研究の成果 1. QUICに適した安全性モデルの構築と証明 2. QUICに対する攻撃の発見 3. より効率的なプロトコルの設計

3. 研究背景 より高速で安全なプロトコルの開発が急務 インターネットトラフィック 増加 電子商取引数増加 高速 安全 TLS(Transport Layer Security)が最も普及している

   いくつかの問題がある

4. TLSの問題点 最も普及しているセキュア通信を実現するためのプロトコル 機能 Ø Encryption Ø Authentication Ø Certification 問題点

   Ø TCPを用いているので通信が遅い Ø プロトコル全体では安全性が証明されていない Ø ユーザの設定によっては脆弱になる

5. QUICの登場 パケットがロストしても 問題がない状況がある TCPの代わりにUDPを使用 弱い暗号の組み合わせ は排除 ひとつの組み合わせを使用 プロトコル全体の安全性は証明されていない 高速化 安全性向上

   Quick UDP Internet Connections

6. 研究目的 目的 Ø QUICの安全性の解析と証明 内容 Ø 安全性モデルの構築 Ø 安全性の証明

7. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

8. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

9. QUICとTLSの違い RSA DH 鍵交換 RSA DSA 署名 AES RC4 暗号化

   × × ECDH ECDSA AES × × TLS QUIC

10. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

11. QUICとTLSの違い TCP + TLS QUIC

12. QUICとTLSの違い sync CHLO TCP + TLS QUIC

13. QUICとTLSの違い sync sync+ack CHLO TCP + TLS QUIC REJ

14. QUICとTLSの違い sync sync+ack ack CHLO TCP + TLS QUIC REJ

    CHLO

15. QUICとTLSの違い sync sync+ack ack Hello CHLO TCP + TLS QUIC

    REJ CHLO SHLO

16. QUICとTLSの違い sync sync+ack ack Hello Hello CHLO TCP + TLS

    QUIC REJ CHLO SHLO

17. QUICとTLSの違い sync sync+ack ack Hello Hello Finish CHLO TCP +

    TLS QUIC REJ CHLO SHLO

18. QUICとTLSの違い sync sync+ack ack Hello Hello Finish Finish CHLO TCP

    + TLS QUIC REJ CHLO SHLO

19. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

20. TLSのハンドシェイク

21. TLSのハンドシェイク rc rc : random

22. TLSのハンドシェイク rc rc : random Ts : public ts :

    secret Ts, ts

23. TLSのハンドシェイク rc rc : random (rs ,Ts ,σs ) Ts

    : public ts : secret rs : random σs : Signature ts

24. TLSのハンドシェイク rc rc : random Tc : public tc :

    secret (rs ,Ts ,σs ) ts Tc, tc Ts : public ts : secret rs : random σs : Signature

25. TLSのハンドシェイク rc (rs ,Ts ,σs ) ts Tc rc :

    random Tc : public tc : secret Ts : public ts : secret rs : random σs : Signature

26. TLSのハンドシェイク rc rc : random Tc : public tc :

    secret finc : finish msg σc : Signature (rs ,Ts ,σs ) (Tc ,σc ,finc ) ts Ts : public ts : secret rs : random σs : Signature

27. TLSのハンドシェイク rc (rs ,Ts ,σs ) Ts : public ts

    : secret rs : random σs : Signature (Tc ,σc ,finc ) rc : random Tc : public tc : secret finc : finish msg σc : Signature

28. TLSのハンドシェイク rc (rs ,Ts ,σs ) Ts : public ts

    : secret rs : random σs : Signature fins : finish msg fins (Tc ,σc ,finc ) rc : random Tc : public tc : secret finc : finish msg σc : Signature

29. QUICのハンドシェイク

30. QUICのハンドシェイク

31. QUICのハンドシェイク Ts, ts Ts : public ts : secret

32. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature ts

33. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature ts Tc, tc Tc : public tc : secret

34. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature ts Tc Tc : public tc : secret

35. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature ts Tc : public tc : secret rc : random (ID,rc ,Tc )

36. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc )

37. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s , t* s

38. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s

39. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s cs = Enc( , T* s )

40. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s cs = Enc( , T* s ) T* s , tc

41. QUICのハンドシェイク (ID,Ts ,σs ) Ts : public ts : secret

    ID :client ID σs :Signature Tc : public tc : secret rc : random (ID,rc ,Tc ) T* s cs = Enc( , T* s )

42. QUICとTLSの違い rc (rs ,Ts ,σs ) fins (ID,Ts ,σs )

    (ID,rc ,Tc ) cs = Enc( , T* s ) TLSのハンドシェイク QUICのハンドシェイク (Tc ,σc ,finc )

43. QUICとTLSの違い Ø認証 ØTLS:両側認証可能 ØQUIC:片側認証のみ Ø鍵交換 ØTLS:1つの鍵 ØQUIC:2つの鍵

44. QUICとTLSの違い Ø認証 ØTLS:両側認証可能 ØQUIC:片側認証のみ Ø鍵交換 ØTLS:1つの鍵 ØQUIC:2つの鍵

45. QUICとTLSの違い rc (rs ,Ts ,σs ) fins (ID,Ts ,σs )

    (ID,rc ,Tc ) cs = Enc( , T* s ) TLSのハンドシェイク QUICのハンドシェイク (Tc ,σc ,finc )

46. QUICとTLSの違い Ø認証 ØTLS:両側認証可能 ØQUIC:片側認証のみ Ø鍵交換 ØTLS:1つの鍵 ØQUIC:2つの鍵

47. QUICとTLSの違い rc (rs ,Ts ,σs ) fins (ID,Ts ,σs )

    (ID,rc ,Tc ) cs = Enc( , T* s ) TLSのハンドシェイク QUICのハンドシェイク (Tc ,σc ,finc )

48. QUICとTLSの違い Øサポートアルゴリズム Ø通信レイヤ Øハンドシェイク ØResumption

49. TLSのResumption

50. TLSのResumption rc rc : random

51. TLSのResumption rc rc : random (rs ,fins ) rs :

    random fins : finish msg

52. TLSのResumption rc rc : random finc : finish msg (rs

    ,fins ) rs : random fins : finish msg finc

53. QUICのResumption T* s : public t* s : secret t*

    s T* s

54. QUICのResumption T* s : public t* s : secret t*

    s T* s Tc, tc Tc : public tc : secret

55. QUICのResumption T* s : public t* s : secret t*

    s Tc Tc : public tc : secret

56. QUICのResumption T* s : public t* s : secret t*

    s Tc : public tc : secret rc : random ID :client ID (ID,rc ,Tc )

57. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc )

58. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) T* s , t* s

59. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) T* s

60. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) cs = Enc( , T* s )

61. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) cs = Enc( , T* s ) T* s , tc

62. QUICのResumption T* s : public t* s : secret Tc

    : public tc : secret rc : random ID :client ID (ID,rc ,Tc ) cs = Enc( , T* s )

63. QUICとTLSの違い rc (rs , fins ) TLSのResumption QUICのResumption finc (ID,rc

    ,Tc ) cs = Enc( , T* s ) T* s t* s

64. 既存研究の安全性モデル ACCE[1] ØMutual authentication 攻撃者はClientとServer両方になりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] T.

    Jager et al., “On the security of the TLS-DHE in the Standard Model”, CRYPTO 2012

65. 既存研究の安全性モデル SACCE[1] ØServer authentication 攻撃者はServerになりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] H.Krawczyk

    et al., “On the security of the TLS protocol: A systematic analysis”, CRYPTO 2013

66. 既存研究の安全性モデル SACCE[1] ØServer authentication 攻撃者はServerになりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] H.Krawczyk

    et al., “On the security of the TLS protocol: A systematic analysis”, CRYPTO 2013

67. 既存研究のモデル

68. 既存研究のモデル

69. 既存研究のモデル

70. 既存研究のモデル

71. 既存研究のモデル

72. 既存研究の安全性モデル SACCE[1] ØServer authentication 攻撃者はServerになりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] H.Krawczyk

    et al., “On the security of the TLS protocol: A systematic analysis”, CRYPTO 2013

73. 既存研究のモデル

74. 既存研究のモデル

75. 既存研究のモデル

76. 既存研究のモデル

77. 既存研究の安全性モデル SACCE[1] ØServer authentication 攻撃者はServerになりすましできない ØChannel security 攻撃者は通信内容を知ることができない [1] H.Krawczyk

    et al., “On the security of the TLS protocol: A systematic analysis”, CRYPTO 2013 Resumptionに対応していない

78. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない

79. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない

80. 本研究の安全性モデル Resumption

81. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない

82. 本研究の安全性モデル Resumption

83. 本研究の安全性モデル Resumption

84. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない

85. 本研究の安全性モデル Resumption

86. 本研究の安全性モデル Resumption

87. 本研究の安全性モデル Resumption

88. 本研究の安全性モデル RSACCE ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel Binding

    攻撃者は通信を乗っ取ることはできない QUICでは満たせない

89. QUICへの攻撃 (ID,rc ,Tc ) cs = Enc( , T* s

    )

90. QUICへの攻撃 (ID,rc ,Tc ) cs = Enc( , T* s

    ) (ID,r’c ,T’c )

91. QUICへの攻撃 (ID,rc ,Tc ) cs = Enc( , T* s

    ) (ID,r’c ,T’c )

92. QUICへの攻撃 (ID,rc ,Tc ) cs = Enc( , T* s

    ) (ID,r’c ,T’c ) 秘密情報が一致しないため鍵の交換ができない

93. 本研究の安全性モデル RSACCE secure ØServer authentication 攻撃者はServerになりすましできない ØChannel confidentiality 攻撃者は通信内容を知ることができない ØChannel

    Binding 攻撃者は通信を乗っ取ることはできない RSACCE secure strong RSACCE secure

94. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能

95. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能 (pk,sk) <- KeyGen(1k) σc <- Sign(sk, ID|rc

    |Tc ) cc <- Enc( ,σc ) Resumption

96. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能 (ID,rc ,Tc ,pk, cc ) (pk,sk) <-

    KeyGen(1k) σc <- Sign(sk, ID|rc |Tc ) cc <- Enc( ,σc ) Resumption

97. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能 (ID,rc ,Tc ,pk cc ) (pk,sk) <-

    KeyGen(1k) σc <- Sign(sk, ID|rc |Tc ) cc <- Enc( ,σc ) 攻撃者はCc を作成できない Resumption

98. QUICの安全性 ØQUIC-CETV ØPKIを用いないClient認証機能 (ID,rc ,Tc ,pk, cc ) (pk,sk) <-

    KeyGen(1k) σc <- Sign(sk, ID|rc |Tc ) cc <- Enc( ,σc ) 攻撃者はCc を作成できない Resumption strong RSACCEを満たす

99. Concurrent Work QACCE[1] ØServer Impersonation 攻撃者はServerになりすましできない ØChannel Corruption 攻撃者は通信内容を知ることができない ØIP

    spoofing 攻撃者は途中から監視している通信を乗っ取ることはで きない [1]R. Lychev et al., “How Secure and Quick is QUIC ? Provable Security and Performance Analyses”, IEEE S&P 2015

100. Concurrent Work QACCE[1] ØServer Impersonation 攻撃者はServerになりすましできない ØChannel Corruption 攻撃者は通信内容を知ることができない ØIP

     spoofing 攻撃者は途中から監視している通信を乗っ取ることはで きない [1]R. Lychev et al., “How Secure and Quick is QUIC ? Provable Security and Performance Analyses”, IEEE S&P 2015 Resumptionでの攻撃を防げない

101. QUICの問題点 ØQUIC-CETVの署名は無駄 Øインタラクションの回数が多い より効率的なスキームを設計

102. 提案法のハンドシェイク Tc, tc

103. 提案法のハンドシェイク tc (rc ,Tc )

104. 提案法のハンドシェイク tc (rc ,Tc ) Ts, ts

105. 提案法のハンドシェイク tc (rc ,Tc ) Ts

106. 提案法のハンドシェイク tc (rc ,Tc ) Ts T* s, t* s

107. 提案法のハンドシェイク tc (rc ,Tc ) Ts T* s

108. 提案法のハンドシェイク tc (rc ,Tc ) (Ts ,σs ,ID, cs )

     cs = Enc( , T* s )

109. 提案法のハンドシェイク tc (rc ,Tc ) (Ts ,σs ,ID, cs )

     cs = Enc( , T* s )

110. 提案法のハンドシェイク tc (rc ,Tc ) (Ts ,σs ,ID, cs )

     cs = Enc( , T* s ) T* s

111. 提案法のハンドシェイク tc (rc ,Tc ) (Ts ,σs ,ID, cs )

     cs = Enc( , T* s )

112. 提案法のResumption t* s T* s Tc, tc

113. 提案法のResumption t* s Tc, tc

114. 提案法のResumption t* s tc (rc ,Tc ,ID,MAC) MAC = PRF(

     , T* s | Tc | ID | rc )

115. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

     s | Tc | ID | rc )

116. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

     s | Tc | ID | rc ) T* s, t* s

117. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

     s | Tc | ID | rc ) T* s

118. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

     s | Tc | ID | rc ) cs = Enc( , T* s )

119. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

     s | Tc | ID | rc ) cs = Enc( , T* s ) T* s

120. 提案法のResumption tc (rc ,Tc ,ID,MAC) MAC = PRF( , T*

     s | Tc | ID | rc ) cs = Enc( , T* s )

121. 提案スキーム QUIC 提案法 安全性 RSACCE sRSACCE インタラクション数 (Full handshake) 4

     2 インタラクショ ン数 (Resumption) 2 2

122. まとめ ØRSACCE安全性モデルを提案した ØQUICがRSACCEを満たすことを証明した ØQUIC-CETVがstrong RSACCEを満たすことを証 明した Øより安全で効率的なプロトコルを提案した

123. ご清聴ありがとうございました