だいぶ遅れましたが例の「RSA-1024がやられた」の攻撃の詳細を解説したペーパーである「Sliding right into disaster: Left-to-right sliding windows leak」の解説をします。

TL;DR

というよりは「攻撃の詳細な解説はいいから何すればいいんだ」という人向け。

• RSA暗号、RSA-1024そのものの理論的突破ではない
  • （今回の解説の範囲外だが）そもそもRSA-1024は対称鍵暗号の80ビット相当の安全性しか持たず、政府機関クラスの予算があればbrute forceで突破可能であり、TLSの証明書では既に2048bitへの移行が進んでいる
• 攻撃が成立する条件は秘密鍵が存在するマシン上での任意コード実行
  • そもそもそんな状況許したらゲームセット、というのはパッチノートの通り
  • ただし、原理的には仮想環境で他のVMから攻撃を仕掛けられる可能性はある。メモリレイアウトを正確に知る必要があるので非常に困難ではあるが…

例によってクリプト野郎なので解説します。速報としてはリンク集を置いておき、あとで原論文の解説を書きます。(7/6追記: 土曜日くらいになりそう) 超要約はTwitterでの以下の発言の通りになる予定。

RSA-1024そのものが突破されたってわけでなく、特定の実装にサイドチャネル攻撃が可能である脆弱性があります、という話のように見える。RSA-1024自体は政府機関クラスの予算があれば全解探索が十分に可能なので使用を避けようねって話は前からありました

— sylph01 (@s01) 2017年7月5日

(7/13更新: 記事書きました)

リンク集

• 原論文 “Sliding right into disaster: Left-to-right sliding windows leak” @ IACR ePrint Archive
• The Hacker Newsでの紹介記事
• 脆弱性の見つかった実装であるLibgcryptの更新後のパッチノート
• CVE entry
  • Debian
  • RedHat
• RSA鍵1024bitの問題 @ GlobalSign : 1024bit RSAはもともと死んでいたといったほうが正しいという話
  • (7/6追記) 1024bit RSAの「脆弱性」と書いていますが、どちらかというと「1024bitでは計算量的に安全性が足りない」といったほうが正確。NIST SP800-57 Part1 Rev4 p.63の等価安全性の表にあるように、1024-bit RSAは対称鍵暗号でいうところの80bit前後の安全性しか持たず、2⁸⁰オーダーの計算は政府機関クラスの予算があれば十分現実的に可能、ということです。

1週間以内で記事にするとは何だったのか。というわけでタイトルの通り、質問で出ていた「Encrypt-then-MACだと安全だけどMAC-then-Encryptだとダメってどういうこと？」について解説します。

宣伝: 第2回もやります

第2回を立てたので今度こそ宣伝します。とはいえ開催2週間前に日程告知することになってしまったのは準備がぬるかったですゴメンナサイ…orz

ptls-study.connpass.com

おまたせいつもの、というかこれしか書いてないんじゃないかという説。もうちょっとしたらそれ以外のネタができるはずだけど…