ビデオ会議システムにおけるエンドツーエンド暗号化の安全性

Slide 1

Slide 1 text

ビデオ会議システムにおけるエンドツーエンド暗号化の安全性伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） itorym@nict.go.jp https://sites.google.com/view/itorym/ 2021年11⽉9⽇第95回CSEC・第45回SPT・第94回EIP合同研究発表会

Slide 2

Slide 2 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性アジェンダ 2 1. はじめに n ビデオ会議システム n エンドツーエンド暗号化 n エンドツーエンド暗号化における安全性要件 n エンドツーエンド暗号化に対する攻撃者モデル 2. Zoomのエンドツーエンド暗号化に対する安全性評価 n エンドツーエンド暗号化導⼊の背景 n プロトコル n 脆弱性，攻撃，攻撃の実⾏可能性，対策⼿法 3. エンドツーエンド暗号化SFrameに対する安全性評価 n SFrame導⼊の背景 n プロトコル n 脆弱性，攻撃，攻撃の実⾏可能性，対策⼿法

Slide 3

Slide 3 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性ビデオ会議，テレビ会議，Web会議，リモート会議，．．． n ここではビデオ会議システムと定義 n 例えば u Zoom u Google Duo u Google Meet u Cisco Webex u Microsoft Teams u Skype u Jitsi Meet u Whereby u BlueJeans u GoToMeeting u ・・・などビデオ会議システム 3 はじめに教育，ビジネス，医療，・・・機密・プライバシー情報の保護

Slide 4

Slide 4 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化（上）とクライアント・サーバ間の暗号化（下）の違い通信するエンドユーザのみが暗号化・復号可能な⽅式 n 通信システムの提供者であってもメッセージの盗聴・改ざん不可 n スノーデン⽒の暴露事件により，国家規模の監視・盗聴に対するE2EEの必要性が⼤サービスプロバイダ安全な通信路サービスプロバイダ安全な通信路安全な通信路 ? 4 はじめにエンドツーエンド暗号化（E2EE）

Slide 5

Slide 5 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性通信するエンドユーザのみが暗号化・復号可能な⽅式 n 通信システムの提供者であってもメッセージの盗聴・改ざん不可 n スノーデン⽒の暴露事件により，国家規模の監視・盗聴に対するE2EEの必要性が⼤ 5 多くのメッセージアプリケーションやビデオ会議システムで採⽤ n Signal Protocol を採⽤ u WhatsApp, Facebook Messenger, Signal n Secure Frame (SFrame) を採⽤予定 u Google Duo, Cisco Webex, Jitsi Meet n 独⾃のプロトコルを採⽤ u iMessage (Apple), LINE, Zoom はじめにエンドツーエンド暗号化（E2EE）ビデオ会議システムの要件：リアルタイム性 n 課題：安全性要件とパフォーマンスを同時に満たすことが現状では困難

Slide 6

Slide 6 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性通信するエンドユーザのみが暗号化・復号可能な⽅式 n 通信システムの提供者であってもメッセージの盗聴・改ざん不可 n スノーデン⽒の暴露事件により，国家規模の監視・盗聴に対するE2EEの必要性が⼤ 6 多くのメッセージアプリケーションやビデオ会議システムで採⽤ n Signal Protocol を採⽤ u WhatsApp, Facebook Messenger, Signal n Secure Frame (SFrame) を採⽤予定 u Google Duo, Cisco Webex, Jitsi Meet n 独⾃のプロトコルを採⽤ u iMessage (Apple), LINE, Zoom はじめにエンドツーエンド暗号化（E2EE）ビデオ会議システムの要件：リアルタイム性 n 課題：安全性要件とパフォーマンスを同時に満たすことが現状では困難

Slide 7

Slide 7 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化における安全性要件 7 はじめに n インターネットドラフト* u 第2章：エンドツーエンド暗号化の⼀般的な定義 u 第3章：エンドツーエンド暗号化に求められる安全性要件 u 第4章：エンドユーザが期待するエンドツーエンド暗号化の機能 *https://datatracker.ietf.org/doc/html/draft-knodel-e2ee-definition-02 (July 2021).

Slide 8

Slide 8 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化における安全性要件 8 はじめに機密性 Confidentiality 許可された者だけが情報を利⽤できる暗号化完全性 Integrity 情報が正確であり完全である MAC 必須の要件（Necessary Features）付随的な要件（Optional/Desired Features）可⽤性 Availability 否認可能性 Deniability 前⽅秘匿性 Forward Secrecy 後⽅秘匿性 Post-compromised Security 真正性 Authenticity 情報やその利⽤者が本物である電⼦署名

Slide 9

Slide 9 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化に対する攻撃者モデル 9 はじめにインサイダーアウトサイダー参加者リーダーサーバ・インフラの開発・保守担当管理者としてのアクセス権限を持っており，ネットワーク上のあらゆるデータの観測，変更，通信のバイパスが可能ミーティングへのアクセス権限を有しない正当なユーザネットワーク上のデータの監視，傍受，変更により安全性要件を破ろうとするミーティングへのアクセス権限を有している正当なミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする共有鍵の⽣成・配布，参加者の承認・排除の権限を有するミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする ※Zoomの場合のみ共有鍵を持つ共有鍵を持つ共有鍵を持たない共有鍵を持たない

Slide 10

Slide 10 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化に対する攻撃者モデル 10 はじめにインサイダー参加者リーダーサーバ・インフラの開発・保守担当管理者としてのアクセス権限を持っており，ネットワーク上のあらゆるデータの観測，変更，通信のバイパスが可能ミーティングへのアクセス権限を有しない正当なユーザネットワーク上のデータの監視，傍受，変更により安全性要件を破ろうとするミーティングへのアクセス権限を有している正当なミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする共有鍵の⽣成・配布，参加者の承認・排除の権限を有するミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする ※Zoomの場合のみ共有鍵を持つ共有鍵を持つアウトサイダー共有鍵を持たない共有鍵を持たない

Slide 11

Slide 11 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化に対する攻撃者モデル 11 はじめにインサイダーリーダーサーバ・インフラの開発・保守担当管理者としてのアクセス権限を持っており，ネットワーク上のあらゆるデータの観測，変更，通信のバイパスが可能ミーティングへのアクセス権限を有しない正当なユーザネットワーク上のデータの監視，傍受，変更により安全性要件を破ろうとするミーティングへのアクセス権限を有している正当なミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする共有鍵の⽣成・配布，参加者の承認・排除の権限を有するミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする ※Zoomの場合のみ共有鍵を持つアウトサイダー参加者共有鍵を持たない共有鍵を持たない共有鍵を持つ

Slide 12

Slide 12 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化に対する攻撃者モデル 12 はじめにインサイダーサーバ・インフラの開発・保守担当管理者としてのアクセス権限を持っており，ネットワーク上のあらゆるデータの観測，変更，通信のバイパスが可能ミーティングへのアクセス権限を有しない正当なユーザネットワーク上のデータの監視，傍受，変更により安全性要件を破ろうとするミーティングへのアクセス権限を有している正当なミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする共有鍵の⽣成・配布，参加者の承認・排除の権限を有するミーティング参加者プロトコルから逸脱することにより，安全性要件を破ろうとする ※Zoomの場合のみアウトサイダー参加者リーダー共有鍵を持たない共有鍵を持たない共有鍵を持つ共有鍵を持つ

Slide 13

Slide 13 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 13 Zoomのエンドツーエンド暗号化に対する安全性評価五⼗部孝典1,2 伊藤⻯⾺2 1兵庫県⽴⼤学 2NICT ①SCIS 2021 ②ePrint 2021/486 ③ACISP 2021 ④IEEE Access

Slide 14

Slide 14 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化導⼊の背景 14 Zoomのエンドツーエンド暗号化に対する安全性評価 https://blog.zoom.us/facts-around-zoom-encryption-for-meetings-webinars/ In light of recent interest in our encryption practices, we want to start by apologizing for the confusion we have caused by incorrectly suggesting that Zoom meetings were capable of using end-to-end encryption. […] 2020年4⽉1⽇：ZoomにE2EE機能が無いことを報告

Slide 15

Slide 15 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化導⼊の背景 15 Zoomのエンドツーエンド暗号化に対する安全性評価 https://blog.zoom.us/zoom-publishes-draft-design-of-end-to-end-encryption-offering/ Today Zoom published a draft cryptographic design for an end-to-end-encrypted video communications offering. […] In our commitment to remaining transparent and open as we build this end-to-end encryption offering, we have published our cryptographic design for peer review on Github. 2020年5⽉22⽇：E2EEのホワイトペーパー（バージョン１）公開

Slide 16

Slide 16 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性エンドツーエンド暗号化導⼊の背景 16 Zoomのエンドツーエンド暗号化に対する安全性評価 https://blog.zoom.us/zoom-rolling-out-end-to-end-encryption-offering/ 2020年10⽉14⽇：E2EE機能の実装，技術プレビュー開始 We’re excited to announce that starting next week, Zoom’s end-to-end encryption (E2EE) offering will be available as a technical preview, which means we’re proactively soliciting feedback from users for the first 30 days.

Slide 17

Slide 17 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 Zoom 17 n Zoom Video Communications社が提供するビデオ会議システム n 1⽇当たりのアクティブユーザ数：約3億⼈以上（2020年4⽉現在） n E2EE導⼊計画の発表（2020年5⽉） u ホワイトペーパー*として仕様を公開 https://github.com/zoom/zoom-e2e-whitepaper u ４つのフェーズのうちフェーズ１を展開，1ヶ⽉の技術プレビュー（2020年10⽉） *2021年11⽉現在，最新版はVersion 3.2であるが，本講演では論⽂執筆時点で最新版のVersion 2.3.1を対象 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 18

Slide 18 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性本研究の貢献：ZoomのE2EEに対する安全性評価 18 No. 攻撃⽅法攻撃種別* 攻撃者** 結託者** 被害者** 1 なりすまし能動的 L/P - L/P 2 なりすまし受動的 I - L/P/O 3 なりすまし能動的 I L/P L/P/O 4 なりすまし能動的 O I , L L/P/O 5 なりすまし能動的 O L L/P/O 6 なりすまし能動的 O I O 7 改ざん受動的 I - L/P 8 サービス拒否受動的 I - P *能動的攻撃：ミーティングへの参加だけでなく，データの正常な送受信が可能 *受動的攻撃：攻撃を実⾏するも，データの正常な送受信は不可 **I（インサイダー）：Zoomのサーバ・インフラ管理者 ** O（アウトサイダー）：ミーティングへのアクセス権を有しないZoomユーザ ** P（参加者）：ミーティングへのアクセス権を有するZoomユーザ ** L（リーダー）：共有鍵の⽣成・配布，参加者の承認・排除の権限を有する参加者具体的な攻撃⼿順，現実世界での実現可能性，攻撃に対する効果的な対策を提案 ü 6個の脆弱性 ü 8種類の攻撃 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 19

Slide 19 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性本研究の貢献：ZoomのE2EEに対する安全性評価 19 No. 攻撃⽅法攻撃種別* 攻撃者** 結託者** 被害者** 1 なりすまし能動的 L/P - L/P 2 なりすまし受動的 I - L/P/O 3 なりすまし能動的 I L/P L/P/O 4 なりすまし能動的 O I , L L/P/O 5 なりすまし能動的 O L L/P/O 6 なりすまし能動的 O I O 7 改ざん受動的 I - L/P 8 サービス拒否受動的 I - P *能動的攻撃：ミーティングへの参加だけでなく，データの正常な送受信が可能 *受動的攻撃：攻撃を実⾏するも，データの正常な送受信は不可 **I（インサイダー）：Zoomのサーバ・インフラ管理者 ** O（アウトサイダー）：ミーティングへのアクセス権を有しないZoomユーザ ** P（参加者）：ミーティングへのアクセス権を有するZoomユーザ ** L（リーダー）：共有鍵の⽣成・配布，参加者の承認・排除の権限を有する参加者具体的な攻撃⼿順，現実世界での実現可能性，攻撃に対する効果的な対策を提案設計者らの想定 n 参加者がインサイダーと結託することで別の参加者へのなりすまし可能 u インサイダーとの結託による攻撃は仕様上の制約事項と主張設計者らの想定よりも強⼒な攻撃が可能 n インサイダーが結託なしで任意のユーザへなりすまし可能 u データの正常な送受信は不可（受動的攻撃） n インサイダーが参加者と結託することで任意のユーザへなりすまし可能 u データの正常な送受信も可能（能動的攻撃） Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 20

Slide 20 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 Zoom Video Communications社への情報開⽰ 20 n 2020年11⽉：hackerone*を通じて報告済み（公開，発表の許可も取得済み） n 2020年12⽉：ホワイトペーパーのバージョン更新（2.3.1 → 3） u 攻撃２−６について仕様上の制約事項であることを明記（フェーズ２で強化） u フェーズ２のメジャーアップデート，謝辞の追加 *https://hackerone.com/zoom?type=team Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 21

Slide 21 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 ZoomにおけるE2EEセッション確⽴プロトコル 21 1. 参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) の⽣成 u ZoomアプリケーションがE2EEをサポート後に⽣成 u Local Key Securityメカニズムによる鍵ペアの保存 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 3. リーダーによる共有鍵 MK の⽣成 4. 参加者 i の署名 Sigi の検証 5. 共有鍵 MK の共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA 参加者B 掲⽰板* *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの (IVKA , ISKA ) (IVKB , ISKB ) IVKA IVKB ⾚字：脆弱性に関係 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 22

Slide 22 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 ZoomにおけるE2EEセッション確⽴プロトコル 22 1. 参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) の⽣成 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 u EdDSA over Ed25519による署名⽣成：Sigi ← Sign.Sign(ISKi , Context ∥ Bindingi ) l Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) 3. リーダーによる共有鍵 MK の⽣成 4. 参加者 i の署名 Sigi の検証 5. 共有鍵 MK の共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA 参加者B 掲⽰板* *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの (skA , pkA ) BindingA (skB , pkB ) BindingB meetingID, meetingUUID meetingID, meetingUUID pkA , SigA pkB , SigB ⾚字：脆弱性に関係 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 23

Slide 23 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 ZoomにおけるE2EEセッション確⽴プロトコル 23 1. 参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) の⽣成 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 3. リーダーによる共有鍵 MK の⽣成 u 32バイト乱数 u AES-GCMの秘密鍵 4. 参加者 i の署名 Sigi の検証 5. 共有鍵 MK の共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA 参加者B 掲⽰板* *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの MK ← rand() ⾚字：脆弱性に関係 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 24

Slide 24 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 ZoomにおけるE2EEセッション確⽴プロトコル 24 1. 参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) の⽣成 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 3. リーダーによる共有鍵 MK の⽣成 4. 参加者 i の署名 Sigi の検証 u 署名検証： True/False ← Sign.Verify(IVKi , Sigi , Context ∥ Bindingi ) l Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) 5. 共有鍵 MK の共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA 参加者B 掲⽰板* *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの IVKB IVKA BindingB BindingA ⾚字：脆弱性に関係 pkB , SigB pkA , SigA Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 25

Slide 25 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 ZoomにおけるE2EEセッション確⽴プロトコル 25 1. 参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) の⽣成 2. 参加者 i のECDH⽤鍵ペア (ski , pki ) ，署名 Sigi の⽣成 3. リーダーによる共有鍵 MK の⽣成 4. 参加者 i の署名 Sigi の検証 5. 共有鍵 MK の共有 u ECDH鍵共有により共有鍵 MK を暗号化するための秘密鍵を共有 u XChaCha20/Poly-1305により共有鍵 MK を暗号化して共有 6. AES-GCMによるミーティングコンテンツの暗号化 ZoomサーバリーダーA *掲⽰板：TLSセッションを確⽴して参加者間での各種情報共有（公開鍵，署名，など）を可能とするもの掲⽰板* 参加者B pkB pkA , (B, CB ) (skA , pkA ) MK (skB , pkB ) (B, CB ) → MK (B, CB ) ⾚字：脆弱性に関係 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 26

Slide 26 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 Local Key Securityメカニズム 26 共有デバイス上で複数ユーザの⻑期署名鍵を管理するメカニズム n 参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) u IVKi はZoomサーバに， ISKi はデバイス上に保存 1. キーラッピング鍵 KWKi を⽣成，IVKi とともにサーバに保存 2. Context ← “Zoombase-1-ClientOnly-KDF-SecretStore” 3. Ci ← CtE1-Enc(K=KWKi , H=Context, M=ISKi ) u CtE1: コミットメント認証暗号⽅式，H: 関連データ ZoomサーバリーダーA 参加者B (IVKA , ISKA ) (IVKB , ISKB ) 共有デバイス CA CB Zoomのエンドツーエンド暗号化に対する安全性評価 IVKA , KWKA IVKB , KWKB

Slide 27

Slide 27 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 Local Key Securityメカニズム 27 共有デバイス上で複数ユーザの⻑期署名鍵を管理するメカニズム n 参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) u IVKi はZoomサーバに， ISKi はデバイス上に保存 1. キーラッピング鍵 KWKi を⽣成，IVKi とともにサーバに保存 2. Context ← “Zoombase-1-ClientOnly-KDF-SecretStore” 3. Ci ← CtE1-Enc(K=KWKi , H=Context, M=ISKi ) u CtE1: コミットメント認証暗号⽅式，H: 関連データ ZoomサーバリーダーA 参加者B (IVKA , ISKA ) (IVKB , ISKB ) IVKA , KWKA IVKB , KWKB 共有デバイス CA CB Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 28

Slide 28 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 Local Key Securityメカニズム 28 共有デバイス上で複数ユーザの⻑期署名鍵を管理するメカニズム n 参加者 i の⻑期署名鍵ペア (IVKi , ISKi ) u IVKi はZoomサーバに， ISKi はデバイス上に保存 1. キーラッピング鍵 KWKi を⽣成，IVKi とともにサーバに保存 2. Context ← “Zoombase-1-ClientOnly-KDF-SecretStore” 3. Ci ← CtE1-Enc(K=KWKi , H=Context, M=ISKi ) u CtE1: コミットメント認証暗号⽅式，H: 関連データ ZoomサーバリーダーA 参加者B (IVKA , ISKA ) (IVKB , ISKB ) 共有デバイス CA CB Zoomのエンドツーエンド暗号化に対する安全性評価 IVKA , KWKA IVKB , KWKB

Slide 29

Slide 29 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 ZoomのE2EEに対する安全性評価 29 No. 攻撃⽅法攻撃種別* 攻撃者** 結託者** 被害者** 1 なりすまし能動的 L/P - L/P 2 なりすまし受動的 I - L/P/O 3 なりすまし能動的 I L/P L/P/O 4 なりすまし能動的 O I , L L/P/O 5 なりすまし能動的 O L L/P/O 6 なりすまし能動的 O I O 7 改ざん受動的 I - L/P 8 サービス拒否受動的 I - P *能動的攻撃：ミーティングへの参加だけでなく，データの正常な送受信が可能 *受動的攻撃：攻撃を実⾏するも，データの正常な送受信は不可 **I（インサイダー）：Zoomのサーバ・インフラ管理者 ** O（アウトサイダー）：ミーティングへのアクセス権を有しないZoomユーザ ** P（参加者）：ミーティングへのアクセス権を有するZoomユーザ ** L（リーダー）：共有鍵の⽣成・配布，参加者の承認・排除の権限を有する参加者具体的な攻撃⼿順，現実世界での実現可能性，攻撃に対する効果的な対策を提案 Zoomのエンドツーエンド暗号化に対する安全性評価 ü 6個の脆弱性 ü 8種類の攻撃

Slide 30

Slide 30 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃１：エンティティ認証⽋如に基づくなりすまし 30 脆弱性１を悪⽤した（能動的）なりすまし n 攻撃者：リーダー⼜は参加者（結託者：なし） n 被害者：任意の参加者（リーダーも含む） n 攻撃⼿順： 1. 攻撃者がプロトコルに従って共有鍵 MK を⼊⼿ 2. コンテンツを暗号化し，被害者のメタ情報（送信者IDなど）を付加して送信脆弱性１（エンティティ認証⽋如）ミーティングコンテンツに対するエンティティ認証の⽋如 Ø 共有鍵 MK による AES-GCM での暗号化：機密性，完全性はOK，真正性はNG 参加者被害者掲⽰板 MK MK リーダー MK ① ② ② ① ① Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 31

Slide 31 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃１：エンティティ認証⽋如に基づくなりすまし 31 脆弱性１を悪⽤した（能動的）なりすまし n 攻撃者：リーダー⼜は参加者（結託者：なし） n 被害者：任意の参加者（リーダーも含む） n 攻撃⼿順： 1. 攻撃者がプロトコルに従って共有鍵 MK を⼊⼿ 2. コンテンツを暗号化し，被害者のメタ情報（送信者IDなど）を付加して送信脆弱性１（エンティティ認証⽋如）ミーティングコンテンツに対するエンティティ認証の⽋如 Ø 共有鍵 MK による AES-GCM での暗号化：機密性，完全性はOK，真正性はNG 参加者被害者掲⽰板 MK MK リーダー MK ① ② ② ① ① Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 32

Slide 32 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃１：エンティティ認証⽋如に基づくなりすまし 32 脆弱性１を悪⽤した（能動的）なりすまし n 攻撃者：リーダー⼜は参加者（結託者：なし） n 被害者：任意の参加者（リーダーも含む） n 攻撃⼿順： 1. 攻撃者がプロトコルに従って共有鍵 MK を⼊⼿ 2. コンテンツを暗号化し，被害者のメタ情報（送信者IDなど）を付加して送信脆弱性１（エンティティ認証⽋如）ミーティングコンテンツに対するエンティティ認証の⽋如 Ø 共有鍵 MK による AES-GCM での暗号化：機密性，完全性はOK，真正性はNG 参加者被害者掲⽰板 MK MK リーダー MK ① ② ② ① ① Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 33

Slide 33 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃１：エンティティ認証⽋如に基づくなりすまし 33 脆弱性１を悪⽤した（能動的）なりすまし n 攻撃者：リーダー⼜は参加者（結託者：なし） n 被害者：任意の参加者（リーダーも含む） n 攻撃⼿順： 1. 攻撃者がプロトコルに従って共有鍵 MK を⼊⼿ 2. コンテンツを暗号化し，被害者のメタ情報（送信者IDなど）を付加して送信脆弱性１（エンティティ認証⽋如）ミーティングコンテンツに対するエンティティ認証の⽋如 Ø 共有鍵 MK による AES-GCM での暗号化：機密性，完全性はOK，真正性はNG 参加者被害者掲⽰板 MK MK リーダー MK ① ② ② ① ① Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 34

Slide 34 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃１：エンティティ認証⽋如に基づくなりすまし 34 脆弱性１を悪⽤した（能動的）なりすまし n 攻撃者：リーダー⼜は参加者（結託者：なし） n 被害者：任意の参加者（リーダーも含む） n 攻撃⼿順： 1. 攻撃者がプロトコルに従って共有鍵 MK を⼊⼿ 2. コンテンツを暗号化し，被害者のメタ情報（送信者IDなど）を付加して送信脆弱性１（エンティティ認証⽋如）ミーティングコンテンツに対するエンティティ認証の⽋如 Ø 共有鍵 MK による AES-GCM での暗号化：機密性，完全性はOK，真正性はNG 考察 n 実現可能性：なりすまし⽤コンテンツの事前準備により実現可能性は⾼い u 被害者の信頼失墜，被害者への通信妨害 n 対策：署名添付 ※パフォーマンスと否認防⽌の観点から今後の課題（ホワイトペーパー記載） Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 35

Slide 35 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 35 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，リーダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能※ホワイトペーパー記載脆弱性３（Bindingの再利⽤） Bindingi は参加者 i の⻑期署名鍵 ISKi で署名 Ø Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) • meetingID ∥ meetingUUID：インサイダーが⽣成（意図的に再利⽤可能） • 参加者の公開鍵 pki ：過去の掲⽰板から⼊⼿可能（脆弱性２を悪⽤） Ø 過去と同じ Bindingi を⽣成可能 → 過去と同じ Sigi を⽣成可能脆弱性４（リーダーによる共有鍵の⽣成）共有鍵の⽣成に関与しているのはリーダーのみ（意図的に再利用可能） Ø MK ← rand() ※32バイト乱数, AES-GCMの秘密鍵 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 36

Slide 36 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 36 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，リーダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能※ホワイトペーパー記載脆弱性３（Bindingの再利⽤） Bindingi は参加者 i の⻑期署名鍵 ISKi で署名 Ø Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) • meetingID ∥ meetingUUID：インサイダーが⽣成（意図的に再利⽤可能） • 参加者の公開鍵 pki ：過去の掲⽰板から⼊⼿可能（脆弱性２を悪⽤） Ø 過去と同じ Bindingi を⽣成可能 → 過去と同じ Sigi を⽣成可能脆弱性４（リーダーによる共有鍵の⽣成）共有鍵の⽣成に関与しているのはリーダーのみ（意図的に再利用可能） Ø MK ← rand() ※32バイト乱数, AES-GCMの秘密鍵 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 37

Slide 37 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 37 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，リーダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能※ホワイトペーパー記載脆弱性３（Bindingの再利⽤） Bindingi は参加者 i の⻑期署名鍵 ISKi で署名 Ø Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) • meetingID ∥ meetingUUID：インサイダーが⽣成（意図的に再利⽤可能） • 参加者の公開鍵 pki ：過去の掲⽰板から⼊⼿可能（脆弱性２を悪⽤） Ø 過去と同じ Bindingi を⽣成可能 → 過去と同じ Sigi を⽣成可能脆弱性４（リーダーによる共有鍵の⽣成）共有鍵の⽣成に関与しているのはリーダーのみ（意図的に再利用可能） Ø MK ← rand() ※32バイト乱数, AES-GCMの秘密鍵 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 38

Slide 38 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２：任意のZoomユーザへのなりすまし 38 脆弱性２，３を悪⽤した（受動的）なりすまし n 攻撃者：インサイダー（結託者：なし） n 被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が収集した SigA と pkA を新しい掲⽰板に投稿 → 署名を正常に検証可能 ① pkA , SigA ③ ユーザAとしてミーティングへの参加のみ可能 ③ pkA , SigA ② BindingA BindingA Zoomのエンドツーエンド暗号化に対する安全性評価掲⽰板被害者A 掲⽰板参加者リーダー新しいミーティング過去のミーティングインサイダー

Slide 39

Slide 39 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２：任意のZoomユーザへのなりすまし 39 脆弱性２，３を悪⽤した（受動的）なりすまし n 攻撃者：インサイダー（結託者：なし） n 被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が収集した SigA と pkA を新しい掲⽰板に投稿 → 署名を正常に検証可能 ① pkA , SigA ③ ユーザAとしてミーティングへの参加のみ可能 ③ pkA , SigA ② BindingA BindingA Zoomのエンドツーエンド暗号化に対する安全性評価掲⽰板被害者A 掲⽰板参加者リーダー新しいミーティング過去のミーティングインサイダー

Slide 40

Slide 40 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２：任意のZoomユーザへのなりすまし 40 脆弱性２，３を悪⽤した（受動的）なりすまし n 攻撃者：インサイダー（結託者：なし） n 被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が収集した SigA と pkA を新しい掲⽰板に投稿 → 署名を正常に検証可能 ① pkA , SigA ③ ユーザAとしてミーティングへの参加のみ可能 ③ pkA , SigA ② BindingA BindingA Zoomのエンドツーエンド暗号化に対する安全性評価掲⽰板被害者A 掲⽰板参加者リーダー新しいミーティング過去のミーティングインサイダー

Slide 41

Slide 41 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２：任意のZoomユーザへのなりすまし 41 脆弱性２，３を悪⽤した（受動的）なりすまし n 攻撃者：インサイダー（結託者：なし） n 被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が収集した SigA と pkA を新しい掲⽰板に投稿 → 署名を正常に検証可能 ① pkA , SigA ③ ユーザAとしてミーティングへの参加のみ可能 ③ pkA , SigA ② BindingA BindingA Zoomのエンドツーエンド暗号化に対する安全性評価掲⽰板被害者A 掲⽰板参加者リーダー新しいミーティング過去のミーティングインサイダー

Slide 42

Slide 42 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性新しいミーティング過去のミーティング攻撃３：任意のZoomユーザへのなりすまし 42 脆弱性１，２，３を悪⽤した（能動的）なりすまし n 攻撃者：インサイダー（結託者：リーダー⼜は参加者） n 被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が新しい掲⽰板に収集した SigA と pkA を投稿 → 署名を正常に検証可能 4. 結託者から共有鍵 MK を⼊⼿，被害者Aのメタ情報を付加してコンテンツ送信 → データの正常な送受信も可能インサイダー掲⽰板被害者A 掲⽰板参加者リーダー ① ③ pkA , SigA ③ ④ ④ pkA , SigA ② BindingA BindingA MK Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 43

Slide 43 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃３：任意のZoomユーザへのなりすまし 43 脆弱性１，２，３を悪⽤した（能動的）なりすまし n 攻撃者：インサイダー（結託者：リーダー⼜は参加者） n 被害者：任意のZoomユーザA（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. 攻撃者が過去の掲⽰板に投稿された SigA と pkA を収集 2. 攻撃者が過去の meetingID と meetingUUID を再利⽤ 3. 攻撃者が新しい掲⽰板に収集した SigA と pkA を投稿 → 署名を正常に検証可能 4. 結託者から共有鍵 MK を⼊⼿，被害者Aのメタ情報を付加してコンテンツ送信 → データの正常な送受信も可能設計者らの想定：避けられない攻撃 n 共有鍵 MK を⼊⼿した攻撃者は容易にコンテンツの盗聴が可能設計者らの想定よりも強⼒な攻撃（攻撃３）が可能 n インサイダーが共有鍵 MK を⼊⼿して任意のユーザへなりすまし可能 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 44

Slide 44 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃４：任意のZoomユーザへのなりすまし 44 脆弱性１−４を悪⽤した（能動的）なりすまし n 攻撃者：アウトサイダー（結託者：インサイダー，リーダー） n 被害者：任意のZoomユーザB（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. リーダーが過去の掲⽰板に投稿された SigB と pkB を収集，攻撃者と共有 2. インサイダーが過去の meetingID と meetingUUID を再利⽤ 3. リーダーが過去の共有鍵 MK を再利⽤（攻撃者と共有） 4. 攻撃者が新しい掲⽰板に収集した SigB と pkB を投稿 → 署名を正常に検証可能新しいミーティング過去のミーティングインサイダー掲⽰板掲⽰板参加者 ① pkB , SigB 被害者B アウトサイダーリーダー ①③ ② ④ ④ pkB , SigB BindingB BindingB MK Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 45

Slide 45 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃４：任意のZoomユーザへのなりすまし 45 脆弱性１−４を悪⽤した（能動的）なりすまし n 攻撃者：アウトサイダー（結託者：インサイダー，リーダー） n 被害者：任意のZoomユーザB（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. リーダーが過去の掲⽰板に投稿された SigB と pkB を収集，攻撃者と共有 2. インサイダーが過去の meetingID と meetingUUID を再利⽤ 3. リーダーが過去の共有鍵 MK を再利⽤（攻撃者と共有） 4. 攻撃者が新しい掲⽰板に収集した SigB と pkB を投稿 → 署名を正常に検証可能新しいミーティング過去のミーティングインサイダー掲⽰板掲⽰板参加者 ① pkB , SigB 被害者B アウトサイダーリーダー ①③ ② ④ ④ pkB , SigB BindingB BindingB MK Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 46

Slide 46 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃４：任意のZoomユーザへのなりすまし 46 脆弱性１−４を悪⽤した（能動的）なりすまし n 攻撃者：アウトサイダー（結託者：インサイダー，リーダー） n 被害者：任意のZoomユーザB（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. リーダーが過去の掲⽰板に投稿された SigB と pkB を収集，攻撃者と共有 2. インサイダーが過去の meetingID と meetingUUID を再利⽤ 3. リーダーが過去の共有鍵 MK を再利⽤（攻撃者と共有） 4. 攻撃者が新しい掲⽰板に収集した SigB と pkB を投稿 → 署名を正常に検証可能新しいミーティング過去のミーティングインサイダー掲⽰板掲⽰板参加者 ① pkB , SigB 被害者B アウトサイダーリーダー ①③ ② ④ ④ pkB , SigB BindingB BindingB MK Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 47

Slide 47 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃４：任意のZoomユーザへのなりすまし 47 脆弱性１−４を悪⽤した（能動的）なりすまし n 攻撃者：アウトサイダー（結託者：インサイダー，リーダー） n 被害者：任意のZoomユーザB（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. リーダーが過去の掲⽰板に投稿された SigB と pkB を収集，攻撃者と共有 2. インサイダーが過去の meetingID と meetingUUID を再利⽤ 3. リーダーが過去の共有鍵 MK を再利⽤（攻撃者と共有） 4. 攻撃者が新しい掲⽰板に収集した SigB と pkB を投稿 → 署名を正常に検証可能新しいミーティング過去のミーティングインサイダー掲⽰板掲⽰板参加者 ① pkB , SigB 被害者B アウトサイダーリーダー ①③ ② ④ ④ pkB , SigB BindingB BindingB MK Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 48

Slide 48 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃４：任意のZoomユーザへのなりすまし 48 脆弱性１−４を悪⽤した（能動的）なりすまし n 攻撃者：アウトサイダー（結託者：インサイダー，リーダー） n 被害者：任意のZoomユーザB（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. リーダーが過去の掲⽰板に投稿された SigB と pkB を収集，攻撃者と共有 2. インサイダーが過去の meetingID と meetingUUID を再利⽤ 3. リーダーが過去の共有鍵 MK を再利⽤（攻撃者と共有） 4. 攻撃者が新しい掲⽰板に収集した SigB と pkB を投稿 → 署名を正常に検証可能新しいミーティング過去のミーティングインサイダー掲⽰板掲⽰板参加者 ① pkB , SigB 被害者B アウトサイダーリーダー ①③ ② ④ ④ pkB , SigB BindingB BindingB MK Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 49

Slide 49 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 49 実現可能性 n シナリオ（案）：重要な交渉を有利に進めたい場合 1. ユーザAがリーダーとなってZoomミーティングを主催 2. 攻撃⼿順に従い，Aがインサイダー⼜はアウトサイダーに対し，相⼿⽅のユーザBにとって影響⼒のある⼈物Cになりすますよう指⽰ 3. Cがコンテンツを何も発信しなければ，BはCから無⾔の圧⼒をかけられていると感じ，Bにとって交渉が思い通りに進まない可能性が⼤インサイダーリーダーA 参加者B ② ① ③ Zoomのエンドツーエンド暗号化に対する安全性評価 C

Slide 50

Slide 50 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 50 実現可能性 n シナリオ（案）：重要な交渉を有利に進めたい場合 1. ユーザAがリーダーとなってZoomミーティングを主催 2. 攻撃⼿順に従い，Aがインサイダー⼜はアウトサイダーに対し，相⼿⽅のユーザBにとって影響⼒のある⼈物Cになりすますよう指⽰ 3. Cがコンテンツを何も発信しなければ，BはCから無⾔の圧⼒をかけられていると感じ，Bにとって交渉が思い通りに進まない可能性が⼤インサイダーリーダーA 参加者B ② ① ③ Zoomのエンドツーエンド暗号化に対する安全性評価 C

Slide 51

Slide 51 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 51 実現可能性 n シナリオ（案）：重要な交渉を有利に進めたい場合 1. ユーザAがリーダーとなってZoomミーティングを主催 2. 攻撃⼿順に従い，Aがインサイダー⼜はアウトサイダーに対し，相⼿⽅のユーザBにとって影響⼒のある⼈物Cになりすますよう指⽰ 3. Cがコンテンツを何も発信しなければ，BはCから無⾔の圧⼒をかけられていると感じ，Bにとって交渉が思い通りに進まない可能性が⼤インサイダーリーダーA 参加者B ② ① ③ Zoomのエンドツーエンド暗号化に対する安全性評価 C

Slide 52

Slide 52 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 52 実現可能性 n シナリオ（案）：重要な交渉を有利に進めたい場合 1. ユーザAがリーダーとなってZoomミーティングを主催 2. 攻撃⼿順に従い，Aがインサイダー⼜はアウトサイダーに対し，相⼿⽅のユーザBにとって影響⼒のある⼈物Cになりすますよう指⽰ 3. Cがコンテンツを何も発信しなければ，BはCから無⾔の圧⼒をかけられていると感じ，Bにとって交渉が思い通りに進まない可能性が⼤インサイダーリーダーA 参加者B ② ① ③ Zoomのエンドツーエンド暗号化に対する安全性評価 C

Slide 53

Slide 53 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 53 対策：脆弱性３を回避 n Bindingに時間情報timeを付加（例：ミーティング開始⽇時など） u Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ∥ time) n 署名検証時に時間情報を検証するフローを追加脆弱性３（Bindingの再利⽤） Bindingi は参加者 i の⻑期署名鍵 ISKi で署名 Ø Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) • meetingID ∥ meetingUUID：インサイダーが⽣成（意図的に再利⽤可能） • 参加者の公開鍵 pki ：過去の掲⽰板から⼊⼿可能（脆弱性２を悪⽤） Ø 過去と同じ Bindingi を⽣成可能 → 過去と同じ Sigi を⽣成可能効果 n 過去と同じBindingを⽣成するために時間情報timeも再利⽤する必要有り n 署名検証時に時間情報timeの不正検出可能 → 攻撃２−４を全て防ぐことが可能 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 54

Slide 54 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃２−４：任意のZoomユーザへのなりすまし 54 対策：脆弱性３を回避 n Bindingに時間情報timeを付加（例：ミーティング開始⽇時など） u Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ∥ time) n 署名検証時に時間情報を検証するフローを追加脆弱性３（Bindingの再利⽤） Bindingi は参加者 i の⻑期署名鍵 ISKi で署名 Ø Bindingi ← (meetingID ∥ meetingUUID ∥ i ∥ deviceID ∥ IVKi ∥ pki ) • meetingID ∥ meetingUUID：インサイダーが⽣成（意図的に再利⽤可能） • 参加者の公開鍵 pki ：過去の掲⽰板から⼊⼿可能（脆弱性２を悪⽤） Ø 過去と同じ Bindingi を⽣成可能 → 過去と同じ Sigi を⽣成可能効果 n 過去と同じBindingを⽣成するために時間情報timeも再利⽤する必要有り n 署名検証時に時間情報timeの不正検出可能 → 攻撃２−４を全て防ぐことが可能 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 55

Slide 55 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃５：任意のZoomユーザへのなりすまし 55 概要：脆弱性１−４を悪⽤した（能動的）なりすまし n 攻撃者：アウトサイダー（結託者：インサイダー，リーダー） n 被害者：任意のZoomユーザB（ミーティングに招待されていないユーザも含む） n 攻撃⼿順： 1. リーダーが過去の掲⽰板に投稿された SigB と pkB を収集，攻撃者と共有 2. meetingID をリーダーが⽣成（固定ID），meetingUUID を261回の試⾏で衝突 3. リーダーが過去の共有鍵 MK を再利⽤（攻撃者と共有） 4. 攻撃者が新しい掲⽰板に収集した SigB と pkB を投稿 → 署名を正常に検証可能新しいミーティング過去のミーティングインサイダー掲⽰板掲⽰板参加者 ① pkB , SigB 被害者B アウトサイダーリーダー ①③ ② ④ ④ pkB , SigB BindingB BindingB MK Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 56

Slide 56 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃５：任意のZoomユーザへのなりすまし 56 実現可能性 n シナリオ（案）：重要な交渉を有利に進めたい場合 n 攻撃５の実現可能性：meetingUUIDの衝突 u 1⽇当たりアクティブユーザ数：約3億⼈以上（2020年4⽉現在） u 1セッション当たりのミーティング参加者：最⼤1000⼈ l 1年間で約226〜236セッション → 261回の試⾏（攻撃５）は現実的に困難 Zoomのエンドツーエンド暗号化に対する安全性評価インサイダーリーダーA 参加者B ② ① ③ C

Slide 57

Slide 57 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃６：共有デバイス上の別ユーザへのなりすまし 57 Local Key Securityメカニズム 1. キーラッピング鍵 KWKi を⽣成，ユーザと紐付けてサーバに保存 2. Context ← “Zoombase-1-ClientOnly-KDF-SecretStore” 3. Ci ← CtE1-Enc(K=KWKi , H=Context, M=ISKi ) ZoomサーバリーダーA 参加者B (IVKA , ISKA ) (IVKB , ISKB ) KWKA KWKB 共有デバイス CA CB 脆弱性５（⻑期署名鍵の保存）参加者の⻑期署名鍵ISKi はインサイダーが⽣成するKWKで暗号化 Ø 暗号⽂は参加者のデバイス上，KWKはZoomサーバ上に保存 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 58

Slide 58 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃６：共有デバイス上の別ユーザへのなりすまし 58 脆弱性１，５を悪⽤した（能動的）なりすまし n 攻撃者・結託者：インサイダー／アウトサイダー n 被害者：アウトサイダーとデバイスを共有するZoomユーザC n 攻撃⼿順： 1. アウトサイダーが ISKC の暗号⽂を⼊⼿ 2. アウトサイダーが ISKC の暗号⽂をインサイダーと共有，⼜はインサイダーから Cと紐付けられた KWK を⼊⼿ 3. 攻撃者がKWKでISKC の暗号⽂を復号 → Cとしてミーティングに参加可能対策 n KWKの保存を信頼できる第三者機関に委託，⼜は秘密分散法を活⽤インサイダー (IVKC , ISKC ) KWKC CC 参加者被害者C アウトサイダー ① ② ③ ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 59

Slide 59 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃６：共有デバイス上の別ユーザへのなりすまし 59 脆弱性１，５を悪⽤した（能動的）なりすまし n 攻撃者・結託者：インサイダー／アウトサイダー n 被害者：アウトサイダーとデバイスを共有するZoomユーザC n 攻撃⼿順： 1. アウトサイダーが ISKC の暗号⽂を⼊⼿ 2. アウトサイダーが ISKC の暗号⽂をインサイダーと共有，⼜はインサイダーから Cと紐付けられた KWK を⼊⼿ 3. 攻撃者がKWKでISKC の暗号⽂を復号 → Cとしてミーティングに参加可能対策 n KWKの保存を信頼できる第三者機関に委託，⼜は秘密分散法を活⽤インサイダー (IVKC , ISKC ) KWKC CC 参加者被害者C アウトサイダー ① ② ③ ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 60

Slide 60 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃６：共有デバイス上の別ユーザへのなりすまし 60 脆弱性１，５を悪⽤した（能動的）なりすまし n 攻撃者・結託者：インサイダー／アウトサイダー n 被害者：アウトサイダーとデバイスを共有するZoomユーザC n 攻撃⼿順： 1. アウトサイダーが ISKC の暗号⽂を⼊⼿ 2. アウトサイダーが ISKC の暗号⽂をインサイダーと共有，⼜はインサイダーから Cと紐付けられた KWK を⼊⼿ 3. 攻撃者がKWKでISKC の暗号⽂を復号 → Cとしてミーティングに参加可能対策 n KWKの保存を信頼できる第三者機関に委託，⼜は秘密分散法を活⽤インサイダー (IVKC , ISKC ) KWKC CC 参加者被害者C アウトサイダー ① ② ③ ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 61

Slide 61 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃６：共有デバイス上の別ユーザへのなりすまし 61 脆弱性１，５を悪⽤した（能動的）なりすまし n 攻撃者・結託者：インサイダー／アウトサイダー n 被害者：アウトサイダーとデバイスを共有するZoomユーザC n 攻撃⼿順： 1. アウトサイダーが ISKC の暗号⽂を⼊⼿ 2. アウトサイダーが ISKC の暗号⽂をインサイダーと共有，⼜はインサイダーから Cと紐付けられた KWK を⼊⼿ 3. 攻撃者がKWKでISKC の暗号⽂を復号 → Cとしてミーティングに参加可能対策 n KWKの保存を信頼できる第三者機関に委託，⼜は秘密分散法を活⽤インサイダー (IVKC , ISKC ) KWKC CC 参加者被害者C アウトサイダー ① ② ③ ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 62

Slide 62 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃６：共有デバイス上の別ユーザへのなりすまし 62 脆弱性１，５を悪⽤した（能動的）なりすまし n 攻撃者・結託者：インサイダー／アウトサイダー n 被害者：アウトサイダーとデバイスを共有するZoomユーザC n 攻撃⼿順： 1. アウトサイダーが ISKC の暗号⽂を⼊⼿ 2. アウトサイダーが ISKC の暗号⽂をインサイダーと共有，⼜はインサイダーから Cと紐付けられた KWK を⼊⼿ 3. 攻撃者がKWKでISKC の暗号⽂を復号 → Cとしてミーティングに参加可能対策 n KWKの保存を信頼できる第三者機関に委託，⼜は秘密分散法を活⽤インサイダー (IVKC , ISKC ) KWKC CC 参加者被害者C アウトサイダー ① ② ③ ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 63

Slide 63 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃７：コンテンツの改ざんに対する安全性 63 脆弱性６（Nonceの誤⽤）ミーティングコンテンツは参加者共通の共有鍵 MK を⽤いてAES-GCMで暗号化 Ø Nonceの誤⽤によりAES-GCMにおける既知の攻撃が成⽴脆弱性６を悪⽤した（受動的）改ざん n 攻撃者：インサイダー n 結託者：なし n 被害者：リーダー⼜は参加者 n 攻撃⼿順： 1. 攻撃者は被害者が同じNonceを再利⽤するような脆弱性を埋め込む． 2. 被害者がNonceを再利⽤して暗号化したコンテンツを送信 3. 攻撃者がコンテンツを傍受 4. 攻撃者がAES-GCMに対する既知の攻撃を適⽤ → 認証鍵を⼊⼿対策 n misuse-resistance authenticated encryption (MRAE) の採⽤ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 64

Slide 64 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃７：コンテンツの改ざんに対する安全性 64 脆弱性６（Nonceの誤⽤）ミーティングコンテンツは参加者共通の共有鍵 MK を⽤いてAES-GCMで暗号化 Ø Nonceの誤⽤によりAES-GCMにおける既知の攻撃が成⽴脆弱性６を悪⽤した（受動的）改ざん n 攻撃者：インサイダー n 結託者：なし n 被害者：リーダー⼜は参加者 n 攻撃⼿順： 1. 攻撃者は被害者が同じNonceを再利⽤するような脆弱性を埋め込む． 2. 被害者がNonceを再利⽤して暗号化したコンテンツを送信 3. 攻撃者がコンテンツを傍受 4. 攻撃者がAES-GCMに対する既知の攻撃を適⽤ → 認証鍵を⼊⼿対策 n misuse-resistance authenticated encryption (MRAE) の採⽤ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 65

Slide 65 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃７：コンテンツの改ざんに対する安全性 65 脆弱性６（Nonceの誤⽤）ミーティングコンテンツは参加者共通の共有鍵 MK を⽤いてAES-GCMで暗号化 Ø Nonceの誤⽤によりAES-GCMにおける既知の攻撃が成⽴脆弱性６を悪⽤した（受動的）改ざん n 攻撃者：インサイダー n 結託者：なし n 被害者：リーダー⼜は参加者 n 攻撃⼿順： 1. 攻撃者は被害者が同じNonceを再利⽤するような脆弱性を埋め込む． 2. 被害者がNonceを再利⽤して暗号化したコンテンツを送信 3. 攻撃者がコンテンツを傍受 4. 攻撃者がAES-GCMに対する既知の攻撃を適⽤ → 認証鍵を⼊⼿対策 n misuse-resistance authenticated encryption (MRAE) の採⽤ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 66

Slide 66 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃８：サービス拒否に対する安全性 66 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能脆弱性２を悪⽤した（受動的）サービス拒否 n 攻撃者：インサイダー n 結託者：なし n 被害者：参加者D n 攻撃⼿順： 1. 被害者Dが SigD と pkD を掲⽰板に投稿 2. インサイダーが pkD を差し替え 3. リーダーによる署名の検証 → 検証に失敗考察 n 実現可能性：参加者から依頼を受けてインサイダーが容易に実⾏可能 n 対策：掲⽰板の管理を第三者機関に委託，⼜は掲⽰板の内容を暗号化インサイダー掲⽰板被害者D リーダー ① ② ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 67

Slide 67 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃８：サービス拒否に対する安全性 67 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能脆弱性２を悪⽤した（受動的）サービス拒否 n 攻撃者：インサイダー n 結託者：なし n 被害者：参加者D n 攻撃⼿順： 1. 被害者Dが SigD と pkD を掲⽰板に投稿 2. インサイダーが pkD を差し替え 3. リーダーによる署名の検証 → 検証に失敗考察 n 実現可能性：参加者から依頼を受けてインサイダーが容易に実⾏可能 n 対策：掲⽰板の管理を第三者機関に委託，⼜は掲⽰板の内容を暗号化インサイダー掲⽰板被害者D リーダー ① ② ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 68

Slide 68 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃８：サービス拒否に対する安全性 68 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能脆弱性２を悪⽤した（受動的）サービス拒否 n 攻撃者：インサイダー n 結託者：なし n 被害者：参加者D n 攻撃⼿順： 1. 被害者Dが SigD と pkD を掲⽰板に投稿 2. インサイダーが pkD を差し替え 3. リーダーによる署名の検証 → 検証に失敗考察 n 実現可能性：参加者から依頼を受けてインサイダーが容易に実⾏可能 n 対策：掲⽰板の管理を第三者機関に委託，⼜は掲⽰板の内容を暗号化インサイダー掲⽰板被害者D リーダー ① ② ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 69

Slide 69 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃８：サービス拒否に対する安全性 69 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能脆弱性２を悪⽤した（受動的）サービス拒否 n 攻撃者：インサイダー n 結託者：なし n 被害者：参加者D n 攻撃⼿順： 1. 被害者Dが SigD と pkD を掲⽰板に投稿 2. インサイダーが pkD を差し替え 3. リーダーによる署名の検証 → 検証に失敗考察 n 実現可能性：参加者から依頼を受けてインサイダーが容易に実⾏可能 n 対策：掲⽰板の管理を第三者機関に委託，⼜は掲⽰板の内容を暗号化インサイダー掲⽰板被害者D リーダー ① ② ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 70

Slide 70 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃８：サービス拒否に対する安全性 70 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能脆弱性２を悪⽤した（受動的）サービス拒否 n 攻撃者：インサイダー n 結託者：なし n 被害者：参加者D n 攻撃⼿順： 1. 被害者Dが SigD と pkD を掲⽰板に投稿 2. インサイダーが pkD を差し替え 3. リーダーによる署名の検証 → 検証に失敗考察 n 実現可能性：参加者から依頼を受けてインサイダーが容易に実⾏可能 n 対策：掲⽰板の管理を第三者機関に委託，⼜は掲⽰板の内容を暗号化インサイダー掲⽰板被害者D リーダー ① ② ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 71

Slide 71 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性攻撃８：サービス拒否に対する安全性 71 脆弱性２（掲⽰板への⾃由なアクセス）インサイダー，参加者が掲⽰板へ⾃由にアクセス可能 Ø インサイダー：参加者の署名や公開鍵を⾃由に収集，改ざん可能脆弱性２を悪⽤した（受動的）サービス拒否 n 攻撃者：インサイダー n 結託者：なし n 被害者：参加者D n 攻撃⼿順： 1. 被害者Dが SigD と pkD を掲⽰板に投稿 2. インサイダーが pkD を差し替え 3. リーダーによる署名の検証 → 検証に失敗考察 n 実現可能性：参加者から依頼を受けてインサイダーが容易に実⾏可能 n 対策：掲⽰板の管理を第三者機関に委託，⼜は掲⽰板の内容を暗号化インサイダー掲⽰板被害者D リーダー ① ② ③ Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 72

Slide 72 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性まとめ 72 No. 攻撃⽅法攻撃種別* 攻撃者** 結託者** 被害者** 1 なりすまし能動的 L/P - L/P 2 なりすまし受動的 I - L/P/O 3 なりすまし能動的 I L/P L/P/O 4 なりすまし能動的 O I , L L/P/O 5 なりすまし能動的 O L L/P/O 6 なりすまし能動的 O I O 7 改ざん受動的 I - L/P 8 サービス拒否受動的 I - P *能動的攻撃：ミーティングへの参加だけでなく，データの正常な送受信が可能 *受動的攻撃：攻撃を実⾏するも，データの正常な送受信は不可 **I（インサイダー）：Zoomのサーバ・インフラ管理者 ** O（アウトサイダー）：ミーティングへのアクセス権を有しないZoomユーザ ** P（参加者）：ミーティングへのアクセス権を有するZoomユーザ ** L（リーダー）：共有鍵の⽣成・配布，参加者の承認・排除の権限を有する参加者具体的な攻撃⼿順，現実世界での実現可能性，攻撃に対する効果的な対策を提案 ü 6個の脆弱性 ü 8種類の攻撃 Zoomのエンドツーエンド暗号化に対する安全性評価

Slide 73

Slide 73 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 73 エンドツーエンド暗号化SFrame に対する安全性評価五⼗部孝典1,2 伊藤⻯⾺2 峯松⼀彦3 1兵庫県⽴⼤学 2NICT 3NEC ①CSS 2021 ②ePrint 2021/424 ③ESORICS 2021

Slide 74

Slide 74 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame導⼊の背景 74 WebRTC (Web Real-Time Communication) n ブラウザ上においてサーバを介さない P2P (Pear to Pear) のリアルタイム通信（⾳声，映像，チャット，データ，など）を実現するシステム n DTLS-SRTP*1,2を採⽤：Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 *1DTLS (Datagram Transport Layer Security): UDP上でセキュリティを実現するためのプロトコル *2RTP (Real-time Transport Protocol): インターネットでリアルタイムデータを転送するためにUDP上で動作するプロトコル，DTLSと組み合わせることでSRTP (Secure RTP) となる． https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer DTLS-SRTP Hop-by-Hop Encryption

Slide 75

Slide 75 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame導⼊の背景 75 WebRTC (Web Real-Time Communication) n ブラウザ上においてサーバを介さない P2P (Pear to Pear) のリアルタイム通信（⾳声，映像，チャット，データ，など）を実現するシステム n DTLS-SRTPを採⽤：Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 n メディアサーバ（SFU*1サーバ）を導⼊可 ※参加者増加に対応 *1SFU (Selective Forwarding Unit): サーバを経由して⾳声，映像の視聴者増加に伴う端末への負荷を軽減するもの https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ DTLS-SRTP Hop-by-Hop Encryption Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer Media Server Unencrypted Storage ! Inside Media Server No Encryption Layer

Slide 76

Slide 76 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame導⼊の背景 76 WebRTC (Web Real-Time Communication) n ブラウザ上においてサーバを介さない P2P (Pear to Pear) のリアルタイム通信（⾳声，映像，チャット，データ，など）を実現するシステム n DTLS-SRTPを採⽤：Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 n メディアサーバ（SFU*1サーバ）を導⼊可 ※参加者増加に対応 *1SFU (Selective Forwarding Unit): サーバを経由して⾳声，映像の視聴者増加に伴う端末への負荷を軽減するもの https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ DTLS-SRTP Hop-by-Hop Encryption Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer Media Server Unencrypted Storage ! Inside Media Server No Encryption Layer 問題点： DTLS-SRTPではメディアサーバにてコンテンツが復号される Ø 中間サーバが信頼できない場合，中間サーバがコンテンツにアクセスできないような新しいスキームを準備する必要がある

Slide 77

Slide 77 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame導⼊の背景 77 WebRTC + SFrame n WebRTC: Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 n SFrame: End-to-End (Media) Encryption https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ DTLS-SRTP Hop-by-Hop Encryption Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer Media Server Unencrypted Storage ? Inside Media Server E2EE Layer End-to-End Encryption User provided key

Slide 78

Slide 78 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame導⼊の背景 78 WebRTC + SFrame n WebRTC: Hop-by-Hop Encryption ※クライアント・サーバ間の暗号化通信 n SFrame: End-to-End (Media) Encryption https://webrtcbydralex.com/index.php/2020/03/30/secure-frames-sframes-end-to-end-media-encryption-with-webrtc-now-in-chrome/ DTLS-SRTP Hop-by-Hop Encryption Encoded Media Alice Encoded Media Bob Encoded Media Hop-by-Hop Encryption Layer Media Server Unencrypted Storage ? Inside Media Server E2EE Layer End-to-End Encryption User provided key メディアサーバはサーバ機能を維持するために必要なメタデータのみアクセス可 Ø エンドユーザはサーバを信頼できない場合でも安全にコンテンツを送受信可

Slide 79

Slide 79 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame 79 [OUGM21] E. Omara et al. Secure Frame (SFrame). https://tools.ietf.org/html/draft-omara-sframe-03 (October 2021). リアルタイム通信⽤のE2EE技術 n 設計者：GoogleとCoSMo softwareのグループ n 仕様書：インターネットドラフト [OUGM21] u 暗号プロトコル：認証暗号，ハッシュ関数，署名アルゴリズム u 鍵交換プロトコル：Signal，Olm，MLSなどを利⽤ n 標準化動向 u 2020-05-19: draft-omara-sframe00 u 2020-11-16: draft-omara-sframe01 u 2021-03-29: draft-omara-sframe02 u 2021-09-17: draft-omara-sframe03 今ここエンドツーエンド暗号化SFrameに対する安全性評価

Slide 80

Slide 80 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 SFrame 80 リアルタイム通信⽤のE2EE技術 n 設計者：GoogleとCoSMo softwareのグループ n 仕様書：インターネットドラフト [OUGM21] u 暗号プロトコル：認証暗号，ハッシュ関数，署名アルゴリズム u 鍵交換プロトコル：Signal，Olm，MLSなどを利⽤ n 標準化動向 u 2020-05-19: draft-omara-sframe00 u 2020-11-16: draft-omara-sframe01 u 2021-03-29: draft-omara-sframe02 u 2021-09-17: draft-omara-sframe03 今ここエンドツーエンド暗号化SFrameに対する安全性評価評価対象はここ

Slide 81

Slide 81 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性暗号プロトコル（draft-omara-sframe-01） 81 frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提エンドツーエンド暗号化SFrameに対する安全性評価

Slide 82

Slide 82 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 82 frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

Slide 83

Slide 83 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 83 frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝑲𝒆 𝑲𝑰𝑫 ，認証鍵*1 𝑲𝒂 𝑲𝑰𝑫 ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑵 ⽣成 l 𝒔𝒂𝒍𝒕𝑲𝑰𝑫: KeyStore[KID], HKDF l 𝑵 = 𝒔𝒂𝒍𝒕𝑲𝑰𝑫 ⊕ 𝐂𝐓𝐑 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

Slide 84

Slide 84 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 84 frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝑲𝒆 𝐊𝐈𝐃, 𝑲𝒂 𝐊𝐈𝐃, 𝑵, 𝐚𝐚𝐝, 𝑴 l 出⼒：𝑪, 𝑻𝒊 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

Slide 85

Slide 85 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 85 frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝑲𝐬𝐢𝐠 , 𝑻𝒊 ∥ 𝑻𝒊*𝟏 ∥ ⋯ ∥ 𝑻𝒊*𝒙) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

Slide 86

Slide 86 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 86 frame_metadata frame 𝑀 S header KID CTR aad 𝐾! "#$, 𝐾% "#$ 𝑁 𝑠𝑎𝑙𝑡"#$ AEAD.Encryption encrypted frame 𝐶 + tag 𝑇& RTP packetization header Payload 𝐶' (1/𝑁) Payload 𝐶( (2/𝑁) ⋯ Payload 𝐶) (𝑁/𝑁) 𝑇& , ⋯ , 𝑇&*+ Sig Sig = Sign(𝐾,-. , 𝑇& ∥ 𝑇&*' ∥ ⋯ ∥ 𝑇&*+) if S = 1. 1. aad (additional associated data) ⽣成 l header + frame_metadata 2. 暗号化鍵 𝐾! "#$ ，認証鍵*1 𝐾% "#$ ⽣成 l KeyStore[KID]: グループ鍵の保管庫*2 l HKDF: グループ鍵から鍵導出 3. ナンス 𝑁 ⽣成 l 𝑠𝑎𝑙𝑡!"#: KeyStore[KID], HKDF l 𝑁 = 𝑠𝑎𝑙𝑡!"# ⊕ CTR 4. AEAD.Encryption l ⼊⼒：𝐾$ !"#, 𝐾% !"#, 𝑁, aad, 𝑀 l 出⼒：𝐶, 𝑇& 5. 署名 Sig ⽣成 (S = 1の場合) l Sign(𝐾'() , 𝑇& ∥ 𝑇&*+ ∥ ⋯ ∥ 𝑇&*,) 6. RTPパケット化 l header + payload + tag + Sig *1暗号スイートによって⽣成の有無が異なる *2事前に鍵共有が完了していることを前提暗号プロトコル（draft-omara-sframe-01）エンドツーエンド暗号化SFrameに対する安全性評価

Slide 87

Slide 87 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性暗号プロトコル（draft-omara-sframe-01） 87 No. 名称鍵⻑ナンス⻑タグ⻑ 1 AES_CM_128_HMAC_SHA256_8 16バイト 12バイト 8バイト 2 AES_CM_128_HMAC_SHA256_4 16バイト 12バイト 4バイト 3 AES_GCM_128_SHA256 16バイト 12バイト N/A 4 AES_GCM_256_SHA512 32バイト 12バイト N/A *CM: カウンタモード n 認証暗号 u AES-GCM，AES-CM-HMAC (AES-CTRとHMACの⼀般的構成) n ハッシュ関数 u SHA256，SHA512 n 署名アルゴリズム u EdDSA over Ed25519，ECDSA over P-521 u タグ（のリスト）に対して署名を計算暗号スイートエンドツーエンド暗号化SFrameに対する安全性評価

Slide 88

Slide 88 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性暗号プロトコル（draft-omara-sframe-01） 88 No. 名称鍵⻑ナンス⻑タグ⻑ 1 AES_CM_128_HMAC_SHA256_8 16バイト 12バイト 8バイト 2 AES_CM_128_HMAC_SHA256_4 16バイト 12バイト 4バイト 3 AES_GCM_128_SHA256 16バイト 12バイト N/A 4 AES_GCM_256_SHA512 32バイト 12バイト N/A *CM: カウンタモード n 認証暗号 u AES-GCM，AES-CM-HMAC (AES-CTRとHMACの⼀般的構成) n ハッシュ関数 u SHA256，SHA512 n 署名アルゴリズム u EdDSA over Ed25519，ECDSA over P-521 u タグ（のリスト）に対して署名を計算暗号スイート Sig = Sign(𝐾+,- , 𝑻𝒊 ∥ 𝑻𝒊/𝟏 ∥ ⋯ ∥ 𝑻𝒊/𝒙) エンドツーエンド暗号化SFrameに対する安全性評価⾚字：脆弱性に関係

Slide 89

Slide 89 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性本研究の貢献 89 No. 対象タグ⻑*1 攻撃種別攻撃者*2 備考 1 認証暗号任意 - - 問題点*3を議論 2 AES-CM-HMAC 短偽造攻撃 P - 3 AES-CM-HMAC ⻑ - - 安全性証明済 4 AES-GCM 任意偽造攻撃 P - 5 AES-GCM 短認証鍵回復攻撃 O - *1 8バイト以下が短いタグ⻑，それ以上が⻑いタグ⻑と仮定（攻撃者の能⼒に依存） *2 O（アウトサイダー）：ミーティングへのアクセス権を有しないユーザ *2 P（参加者）：ミーティングへのアクセス権を有するユーザ，グループ鍵を所有 *3 SFrameでは安全であるものの，⼀般的構成を考えた場合に安全性が損なわれる問題具体的な攻撃⽅法，その実⾏可能性，攻撃に対する効果的な対策⼿法を提案認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥を発⾒ 2021年3⽉：SFrameの設計者に報告済，ドラフト更新（01 → 02） n 問題点*3の改善，仕様から署名アルゴリズムを削除エンドツーエンド暗号化SFrameに対する安全性評価

Slide 90

Slide 90 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性本研究の貢献 90 No. 対象タグ⻑*1 攻撃種別攻撃者*2 備考 1 認証暗号任意 - - 問題点*3を議論 2 AES-CM-HMAC 短偽造攻撃 P - 3 AES-CM-HMAC ⻑ - - 安全性証明済 4 AES-GCM 任意偽造攻撃 P - 5 AES-GCM 短認証鍵回復攻撃 O - *1 8バイト以下が短いタグ⻑，それ以上が⻑いタグ⻑と仮定（攻撃者の能⼒に依存） *2 O（アウトサイダー）：ミーティングへのアクセス権を有しないユーザ *2 P（参加者）：ミーティングへのアクセス権を有するユーザ，グループ鍵を所有 *3 SFrameでは安全であるものの，⼀般的構成を考えた場合に安全性が損なわれる問題具体的な攻撃⽅法，その実⾏可能性，攻撃に対する効果的な対策⼿法を提案認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥を発⾒ 2021年3⽉：SFrameの設計者に報告済，ドラフト更新（01 → 02） n 問題点*3の改善，仕様から署名アルゴリズムを削除エンドツーエンド暗号化SFrameに対する安全性評価

Slide 91

Slide 91 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果１：SFrameで使⽤する認証暗号の安全性 91 以下で⽰す⼀般的な仮定の下で安全 n AES：擬似ランダム置換 n HMAC：擬似ランダム関数問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる l 𝑁を偽造 → タグ検証は正常に⾏われるが，正しい平⽂が得られないエンドツーエンド暗号化SFrameに対する安全性評価 Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝐚𝐚𝐝, 𝑪) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure

Slide 92

Slide 92 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果１：SFrameで使⽤する認証暗号の安全性 92 以下で⽰す⼀般的な仮定の下で安全 n AES：擬似ランダム置換 n HMAC：擬似ランダム関数問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる l 𝑁を偽造 → タグ検証は正常に⾏われるが，正しい平⽂が得られない Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝐚𝐚𝐝, 𝑪) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure エンドツーエンド暗号化SFrameに対する安全性評価

Slide 93

Slide 93 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果１：SFrameで使⽤する認証暗号の安全性 93 以下で⽰す⼀般的な仮定の下で安全 n AES：擬似ランダム置換 n HMAC：擬似ランダム関数問題点の議論：AES-CM-HMACの⼀般的構成に対する安全性 n タグ⽣成において𝑵が⽋如 u aadに𝑁として機能するCTRが含まれているためSFrameでは問題なし u aadと𝑁が独⽴の場合，⼀般的構成に対して安全性が損なわれる l 𝑁を偽造 → タグ検証は正常に⾏われるが，正しい平⽂が得られない Algorithm 2 AES-CM-HMACによる暗号化とタグ生成 Input: 𝑀, aad, 𝐾! "#$, 𝐾% "#$, 𝑁 Output: 𝐶, 𝑇 1: procedure AEAD.Encryption(𝐾! "#$, 𝐾% "#$, 𝑁, aad, 𝑀) 2: 𝐶 = AES-CTR.Encryption(𝐾! "#$, 𝑁, 𝑀) 3: 𝑇 = Tag.Generation(𝐾% "#$, aad, 𝐶) Tag.Generation(𝑲𝒂 𝑲𝑰𝑫, 𝑵, 𝐚𝐚𝐝, 𝑪) 4: end procedure エンドツーエンド暗号化SFrameに対する安全性評価

Slide 94

Slide 94 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 94 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏被害者参加者参加者エンドツーエンド暗号化SFrameに対する安全性評価

Slide 95

Slide 95 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 95 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑵, 𝐚𝐚𝐝, 𝑴 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏被害者参加者参加者エンドツーエンド暗号化SFrameに対する安全性評価

Slide 96

Slide 96 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 96 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑵, 𝐚𝐚𝐝, 𝑴 に対応する暗号⽂ 𝑪 と 𝝉 ビットタグ 𝑻 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏被害者参加者参加者エンドツーエンド暗号化SFrameに対する安全性評価

Slide 97

Slide 97 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 97 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝑪, 𝑻 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑀 で 2* 回繰り返し実⾏被害者参加者参加者 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮ エンドツーエンド暗号化SFrameに対する安全性評価

Slide 98

Slide 98 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 98 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オフラインフェーズ 1. 認証暗号への⼊⼒ 𝑁, aad, 𝑀 を選択 2. 選択した 𝑁, aad, 𝑀 に対応する暗号⽂ 𝐶 と 𝜏 ビットタグ 𝑇 を計算 3. 𝐶, 𝑇 ペアを事前計算テーブルに保存 4. ステップ 1-3 を異なるメッセージ 𝑴 で 𝟐𝒕 回繰り返し実⾏被害者参加者参加者 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮ エンドツーエンド暗号化SFrameに対する安全性評価

Slide 99

Slide 99 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 99 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲット（被害者）から送信されたフレーム 𝑵, 𝐚𝐚𝐝, 𝑪,, 𝑻,, 𝐒𝐢𝐠 を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, aad, 𝐶∗, 𝑇′, Sig を他の参加者に送信被害者参加者参加者 𝐶 𝑇 ⋮ ⋮ 𝐶∗ 𝑇∗ ⋮ ⋮ 𝑁, aad, 𝑪2, 𝑻2, Sig エンドツーエンド暗号化SFrameに対する安全性評価

Slide 100

Slide 100 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 100 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲット（被害者）から送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑻∗ = 𝑻, かつ 𝑪∗ ≠ 𝑪, となる 𝑪∗, 𝑻∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, aad, 𝐶∗, 𝑇′, Sig を他の参加者に送信被害者参加者参加者 𝑁, aad, 𝑪2, 𝑻2, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′ エンドツーエンド暗号化SFrameに対する安全性評価

Slide 101

Slide 101 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 101 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲット（被害者）から送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝑪, を 𝑪∗ に差し替えたフレーム 𝑵, 𝐚𝐚𝐝, 𝑪∗, 𝑻′, 𝐒𝐢𝐠 を他の参加者に送信被害者参加者参加者 𝑁, aad, 𝑪2, 𝑻2, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′ 𝑁, aad, 𝑪∗, 𝑻′, Sig エンドツーエンド暗号化SFrameに対する安全性評価

Slide 102

Slide 102 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果２：短いタグを出⼒するAES-CM-HMACの安全性 102 悪意のある参加者によって偽造攻撃が可能 n 問題点：4/8バイトの短いタグを出⼒ u タグ（のリスト）に対して署名Sigを計算オンラインフェーズ 1. ターゲット（被害者）から送信されたフレーム 𝑁, aad, 𝐶,, 𝑇,, Sig を傍受 2. 事前計算テーブルから 𝑇∗ = 𝑇, かつ 𝐶∗ ≠ 𝐶, となる 𝐶∗, 𝑇∗ ペアを探索 3. 該当するペアが存在する場合，フレーム内の 𝐶, を 𝐶∗ に差し替えたフレーム 𝑁, 𝑎𝑎𝑑, 𝐶∗, 𝑇′, Sig を他の参加者に送信被害者参加者参加者 𝑁, aad, 𝑪2, 𝑻2, Sig 𝐶 𝑇 ⋮ ⋮ 𝑪∗ 𝑻∗ ⋮ ⋮ = 𝑻′ 𝑁, aad, 𝑪∗, 𝑻′, Sig タグ長が4バイトの場合： n 232 通りの 𝑪∗, 𝑻∗ ペアを事前計算テーブルに保存 n 攻撃成功確率：1 エンドツーエンド暗号化SFrameに対する安全性評価

Slide 103

Slide 103 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果３：⻑いタグを出⼒するAES-CM-HMACの安全性 103 定理１．𝒜 を AES-CM-HMAC に対する SCU 攻撃者とする．この時，AES-CM- HMAC に対する 𝒜 の SCU advantage は，𝐻 に対していかなる eSec 攻撃者 𝒜, が存在する場合においても，以下の不等式が成⽴する． 𝐀𝐝𝐯𝐀𝐄𝐒1𝐂𝐌1𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 9 ℓ< 𝓐, ここで， ℓ, はハッシュ関数への⼊⼒ビット⻑ ℓ に1ブロック分のビット⻑を追加した値を表す．ハッシュ関数が SHA256 の場合は ℓ, = ℓ+512 である． SCU 安全性 [DGRW18] n 攻撃者に秘密鍵が与えられた状況でメッセージの偽造困難性を保証 Second-ciphertext Unforgeability (SCU) 安全な認証暗号 [DGRW18] Y. Dodis et al. Fast Message Franking: From Invisible salamanders to encryptment. In CRYPTO 2018. [RS04] P. Rogaway and T. Shrimpton. Cryptographic Hash Function Basics. In FSE 2004. Everywhere Second-Preimage (eSec) 耐性 [RS04] n ⼀般的な第2原像計算困難性よりも強⼒な安全性要件 u 𝑚4 が与えられた状況で𝐻 𝑚4 = 𝐻 𝑚5 となる𝑚5 を⾒つけることが困難エンドツーエンド暗号化SFrameに対する安全性評価

Slide 104

Slide 104 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果４：任意⻑のタグを出⼒するAES-GCMの安全性 104 GHASH演算の具体例： n 2ブロックのメッセージ M = (M1 , M2 ) と 1ブロックの関連データ aad = aad1 𝑪𝟐 , G 𝑳𝟐 = 𝑻 ⊕ 𝐚𝐚𝐝𝟏 , G 𝑳𝟒 ⊕ 𝑪𝟏 , G 𝑳𝟑 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏 , , 𝑪, G 𝑳 ⊕ 𝑬𝑲 𝑵, ∥ 𝟏 攻撃⼿順 1. 任意の 𝑴𝟏 , , 𝑵,, 𝐚𝐚𝐝𝟏 , を選択し，𝑪𝟏 , を計算 2. 以下の等式が成り⽴つように 𝑪𝟐 , を決定悪意のある参加者によって偽造攻撃が可能 n 問題点：GHASH関数の線形性（鍵が与えられた状況で容易に偽造可能） u タグ（のリスト）に対して署名Sigを計算エンドツーエンド暗号化SFrameに対する安全性評価 𝐶? = 𝐸" 𝑁 ∥ 𝑖 + 1 ⊕ 𝑀? *認証鍵：𝐿 = 𝐸" 0@AB 𝑻 = GHASH 𝐿, aad ∥ 𝐶 ∥ Len aad, 𝐶 ⊕ 𝐸" 𝑁 ∥ 1 = 𝐚𝐚𝐝𝟏 G 𝑳𝟒 ⊕ 𝑪𝟏 G 𝑳𝟑 ⊕ 𝑪𝟐 G 𝑳𝟐 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏, 𝑪 G 𝑳 ⊕ 𝑬𝑲 𝑵 ∥ 𝟏

Slide 105

Slide 105 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果４：任意⻑のタグを出⼒するAES-GCMの安全性 105 GHASH演算の具体例： n 2ブロックのメッセージ M = (M1 , M2 ) と 1ブロックの関連データ aad = aad1 𝑪𝟐 , G 𝑳𝟐 = 𝑻 ⊕ 𝐚𝐚𝐝𝟏 , G 𝑳𝟒 ⊕ 𝑪𝟏 , G 𝑳𝟑 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏 , , 𝑪, G 𝑳 ⊕ 𝑬𝑲 𝑵, ∥ 𝟏 攻撃⼿順 1. 任意の 𝑴𝟏 , , 𝑵,, 𝐚𝐚𝐝𝟏 , を選択し，𝑪𝟏 , を計算 2. 以下の等式が成り⽴つように 𝑪𝟐 , を決定悪意のある参加者によって偽造攻撃が可能 n 問題点：GHASH関数の線形性（鍵が与えられた状況で容易に偽造可能） u タグ（のリスト）に対して署名Sigを計算エンドツーエンド暗号化SFrameに対する安全性評価 𝐶? = 𝐸" 𝑁 ∥ 𝑖 + 1 ⊕ 𝑀? *認証鍵：𝐿 = 𝐸" 0@AB 𝑻 = GHASH 𝐿, aad ∥ 𝐶 ∥ Len aad, 𝐶 ⊕ 𝐸" 𝑁 ∥ 1 = 𝐚𝐚𝐝𝟏 G 𝑳𝟒 ⊕ 𝑪𝟏 G 𝑳𝟑 ⊕ 𝑪𝟐 G 𝑳𝟐 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏, 𝑪 G 𝑳 ⊕ 𝑬𝑲 𝑵 ∥ 𝟏

Slide 106

Slide 106 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果４：任意⻑のタグを出⼒するAES-GCMの安全性 106 GHASH演算の具体例： n 2ブロックのメッセージ M = (M1 , M2 ) と 1ブロックの関連データ aad = aad1 𝑪𝟐 , G 𝑳𝟐 = 𝑻 ⊕ 𝐚𝐚𝐝𝟏 , G 𝑳𝟒 ⊕ 𝑪𝟏 , G 𝑳𝟑 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏 , , 𝑪, G 𝑳 ⊕ 𝑬𝑲 𝑵, ∥ 𝟏 攻撃⼿順 1. 任意の 𝑴𝟏 , , 𝑵,, 𝐚𝐚𝐝𝟏 , を選択し，𝑪𝟏 , を計算 2. 以下の等式が成り⽴つように 𝑪𝟐 , を決定悪意のある参加者によって偽造攻撃が可能 n 問題点：GHASH関数の線形性（鍵が与えられた状況で容易に偽造可能） u タグ（のリスト）に対して署名Sigを計算エンドツーエンド暗号化SFrameに対する安全性評価 𝐶? = 𝐸" 𝑁 ∥ 𝑖 + 1 ⊕ 𝑀? *認証鍵：𝐿 = 𝐸" 0@AB 𝑻 = GHASH 𝐿, aad ∥ 𝐶 ∥ Len aad, 𝐶 ⊕ 𝐸" 𝑁 ∥ 1 = 𝐚𝐚𝐝𝟏 G 𝑳𝟒 ⊕ 𝑪𝟏 G 𝑳𝟑 ⊕ 𝑪𝟐 G 𝑳𝟐 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏, 𝑪 G 𝑳 ⊕ 𝑬𝑲 𝑵 ∥ 𝟏

Slide 107

Slide 107 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果４：任意⻑のタグを出⼒するAES-GCMの安全性 107 GHASH演算の具体例： n 2ブロックのメッセージ M = (M1 , M2 ) と 1ブロックの関連データ aad = aad1 𝐶? = 𝐸" 𝑁 ∥ 𝑖 + 1 ⊕ 𝑀? *認証鍵：𝐿 = 𝐸" 0@AB 𝑻 = GHASH 𝐿, aad ∥ 𝐶 ∥ Len aad, 𝐶 ⊕ 𝐸" 𝑁 ∥ 1 = 𝐚𝐚𝐝𝟏 G 𝑳𝟒 ⊕ 𝑪𝟏 G 𝑳𝟑 ⊕ 𝑪𝟐 G 𝑳𝟐 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏, 𝑪 G 𝑳 ⊕ 𝑬𝑲 𝑵 ∥ 𝟏 𝑪𝟐 , G 𝑳𝟐 = 𝑻 ⊕ 𝐚𝐚𝐝𝟏 , G 𝑳𝟒 ⊕ 𝑪𝟏 , G 𝑳𝟑 ⊕ 𝐋𝐞𝐧 𝐚𝐚𝐝𝟏 , , 𝑪, G 𝑳 ⊕ 𝑬𝑲 𝑵, ∥ 𝟏 攻撃⼿順 1. 任意の 𝑴𝟏 , , 𝑵,, 𝐚𝐚𝐝𝟏 , を選択し，𝑪𝟏 , を計算 2. 以下の等式が成り⽴つように 𝑪𝟐 , を決定悪意のある参加者によって偽造攻撃が可能 n 問題点：GHASH関数の線形性（鍵が与えられた状況で容易に偽造可能） u タグ（のリスト）に対して署名Sigを計算エンドツーエンド暗号化SFrameに対する安全性評価

Slide 108

Slide 108 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果５：短いタグを出⼒するAES-GCMの安全性 108 t 32 64 L q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量アウトサイダーによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 2* のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] エンドツーエンド暗号化SFrameに対する安全性評価

Slide 109

Slide 109 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果５：短いタグを出⼒するAES-GCMの安全性 109 t 32 64 L q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量アウトサイダーによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 2* のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] エンドツーエンド暗号化SFrameに対する安全性評価

Slide 110

Slide 110 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性結果５：短いタグを出⼒するAES-GCMの安全性 110 t 32 64 L q 21 222 22 220 23 218 24 215 25 213 26 211 211 232 213 229 215 226 217 223 219 220 221 217 c 262 262 261 265 266 267 275 274 273 272 271 270 [MW16] J. Mattson et al. Authentication key recovery on galois/counter mode (GCM). In AFRICACRYPT 2016. l t：タグ⻑（ビット） l L：暗号⽂と関連データを組み合わせたバイト⻑の最⼤値 l q：GHASH関数の最⼤呼び出し回数 l c：制約事項 (L, q) を厳守する場合の認証鍵回復攻撃にかかるデータ量アウトサイダーによって認証鍵回復攻撃が可能 n 問題点：短いタグを出⼒するAES-GCM使⽤時の制約事項が未記載 NISTが定める制約事項 (L, q) [MW16] 制約事項 (L, q) を厳守しない場合： n 認証鍵を 𝟐𝒕 のデータ量で復元可能（4バイトタグの場合：2CA ）[MW16] エンドツーエンド暗号化SFrameに対する安全性評価

Slide 111

Slide 111 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性対策 111 [DGRW18] Dodis et al. Fast message franking: From invisible salamanders to encryptment. In CRYPTO 2018 短いタグを出⼒するAES-CM-HMACへの偽造攻撃 n 短いタグ⻑，特に4バイトのタグを出⼒するAES-CM-HMACを使⽤しない任意⻑のタグを出⼒するAES-GCMへの偽造攻撃 n タグ（のリスト）だけでなくフレーム全体に対して署名を計算短いタグを出⼒するAES-GCMへの認証鍵回復攻撃 n 短いタグを出⼒するAES-GCMを使⽤しない n NISTが⽰す制約事項を仕様に明記その他 n HFC [DGRW18] のような安全なEncryptment⽅式を採⽤エンドツーエンド暗号化SFrameに対する安全性評価

Slide 112

Slide 112 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性まとめ 112 No. 対象タグ⻑*1 攻撃種別攻撃者*2 備考 1 認証暗号任意 - - 問題点*3を議論 2 AES-CM-HMAC 短偽造攻撃 P - 3 AES-CM-HMAC ⻑ - - 安全性証明済 4 AES-GCM 任意偽造攻撃 P - 5 AES-GCM 短認証鍵回復攻撃 O - *1 8バイト以下が短いタグ⻑，それ以上が⻑いタグ⻑と仮定（攻撃者の能⼒に依存） *2 O（アウトサイダー）：ミーティングへのアクセス権を有しないユーザ *2 P（参加者）：ミーティングへのアクセス権を有するユーザ，グループ鍵を所有 *3 SFrameでは安全であるものの，⼀般的構成を考えた場合に安全性が損なわれる問題具体的な攻撃⽅法，その実⾏可能性，攻撃に対する効果的な対策⼿法を提案認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥を発⾒ 2021年3⽉：SFrameの設計者に報告済，ドラフト更新（01 → 02） n 問題点*3の改善，仕様から署名アルゴリズムを削除エンドツーエンド暗号化SFrameに対する安全性評価

Slide 113

Slide 113 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性全体のまとめ 113 1. Zoomのエンドツーエンド暗号化に対する安全性評価 n 6個の脆弱性 n 8種類の攻撃 n 攻撃の実⾏可能性 n 効果的な対策の提案 2. エンドツーエンド暗号化SFrameに対する安全性評価 n 認証暗号と署名アルゴリズムの使⽤に関する重⼤な⽋陥 n 3種類の攻撃 n 安全性証明 n 攻撃の実⾏可能性 n 効果的な対策の提案

Slide 114

Slide 114 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性参考資料

Slide 115

Slide 115 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性 HFC [DGRW18] 115 付録 [DGRW18] Dodis et al. Fast message franking: From invisible salamanders to encryptment. In CRYPTO 2018 𝑓 𝑓 𝑓 ⋯ 𝐾 IV 𝐻+ 𝑀+ 𝑇 𝑓 𝑀= 𝐾 𝐾 𝑀+ 𝐾 𝑀= 𝐶+ 𝐶=

Slide 116

Slide 116 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１ 116 定理１．𝒜 を AES-CM-HMAC に対する SCU 攻撃者とする．この時，AES-CM- HMAC に対する 𝒜 の SCU advantage は，𝐻 に対していかなる eSec 攻撃者 𝒜, が存在する場合においても，以下の不等式が成⽴する． 𝐀𝐝𝐯𝐀𝐄𝐒1𝐂𝐌1𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 9 ℓ< 𝓐, ここで， ℓ, はハッシュ関数への⼊⼒ビット⻑ ℓ に1ブロック分のビット⻑を追加した値を表す．ハッシュ関数が SHA256 の場合は ℓ, = ℓ+512 である． SCU 安全性 [DGRW18] n 攻撃者に秘密鍵が与えられた状況でメッセージの偽造困難性を保証 Second-ciphertext Unforgeability (SCU) 安全な認証暗号 [DGRW18] Y. Dodis et al. Fast Message Franking: From Invisible salamanders to encryptment. In CRYPTO 2018. [RS04] P. Rogaway and T. Shrimpton. Cryptographic Hash Function Basics. In FSE 2004. 付録 Everywhere Second-Preimage (eSec) 耐性 [RS04] n ⼀般的な第2原像計算困難性よりも強⼒な安全性要件 u 𝑚4 が与えられた状況で𝐻 𝑚4 = 𝐻 𝑚5 となる𝑚5 を⾒つけることが困難

Slide 117

Slide 117 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１の証明 117 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍*𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍*𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝐷 = aad𝐿𝑒𝑛 ∥ aad ∥ 𝐶 𝐷∗ = aad𝐿𝑒𝑛 ∥ aad ∥ 𝐶∗ 付録

Slide 118

Slide 118 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１の証明 118 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍*𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍*𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 = 𝑺∗ ? Case 1: 𝒜 finds 𝑆 = 𝑆∗ 付録

Slide 119

Slide 119 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１の証明 119 𝑻 = 𝑻∗ ? 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍*𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍*𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 ≠ 𝑺∗ Case 2: 𝒜 finds 𝑆 ≠ 𝑆∗ and 𝑇 = 𝑇∗ 付録

Slide 120

Slide 120 text

伊藤⻯⾺（国⽴研究開発法⼈情報通信研究機構） 2021年11⽉9⽇ CSEC・SPT・EIP合同研究発表会ビデオ会議システムにおけるエンドツーエンド暗号化の安全性定理１の証明 120 𝑻 = 𝑻∗ ? 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 𝑫𝒍*𝟏 𝑻 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺 𝑓 𝑓 𝑓 ⋯ 𝐾 ⊕ 𝑖𝑝𝑎𝑑 IV 𝑫𝟎 ∗ 𝑫𝒍*𝟏 ∗ 𝑻∗ 𝑓 𝑓 𝐾 ⊕ 𝑜𝑝𝑎𝑑 IV 𝑺∗ 𝑺 = 𝑺∗ ? Case 1: 𝒜 finds 𝑆 = 𝑆∗ Case 2: 𝒜 finds 𝑆 ≠ 𝑆∗ and 𝑇 = 𝑇∗ 𝐀𝐝𝐯𝐀𝐄𝐒*𝐂𝐌*𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 ≤ 𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 J ℓ/ 𝓐L + 𝐀𝐝𝐯𝑯 𝐞𝐒𝐞𝐜 J𝟏𝟎𝟐𝟒 𝓐L 𝐀𝐝𝐯𝐀𝐄𝐒*𝐂𝐌*𝐇𝐌𝐀𝐂 𝐒𝐂𝐔 𝓐 < 𝟐𝐀𝐝𝐯 𝑯 𝐞𝐒𝐞𝐜 J ℓ/ 𝓐L ① ② 付録