今月のビッグイベント
タイム・ネットワークセキュリティ(ネットワーク・タイム・セキュリティ、NTS)は、最終的に認証されたネットワーク時間のサポートを提供することができます。
暗号週間の一環として、CloudFlareの会社は最近、タイムサーバ、ネットワークタイムプロトコル(NTP)ネットワーク・タイム・セキュリティ(NTS)の拡張を実行することを発表しました。これは、環境の中で、時間の問題を解決し、長期的なセキュリティ契約が存在します。
インターネットから今日では、ほとんどのコンピュータおよび他のネットワークデバイスは、意志時計と時刻同期ソース。しかし、従来のネットワークタイムプロトコル(ネットワークタイムプロトコル)は、デフォルトのデータ認証によってサポートされていません。これは***が懸念されている仲介業者のために、時間の転送エラーは非常に簡単であることを意味します。
他の多くのセキュリティプロトコルが(を含む機能はX.509証明書が有効であるとなど、HSTSのライフサイクルを持っている持っている)クロックが有効で動作するように想定しているので、これは、セキュリティ上の結果をもたらす可能性があります。***過去に実用的HSTSのためにそれが現れています。
過去には、TLSスタンプは代替tlsdateツールとして使用されていないが、それはもはや維持され、TLS 1.3を削除スタンプです。OpenNTPDは、TLSが認証の制限時間を提供するために使用することができる機能を持っていますが、それはLibreSSLに依存するため、多くのシステム上で使用することはできません。Googleのアダム・ラングレーは、代替としてRoughtime NTPプロトコルを開発してきましたが、それは広く使用されていませんでした。
NTPは、過去に自動キーと呼ばれるプログラムを介して認証を提供することを試みたが、それは安全ではないことが判明しました。また、対称鍵認証をサポートしていますが、それは広く使用には適していません。
NTSは、この問題を解決するには、新しい試みです。これは、TLS認証されたチャネルでの鍵交換で、NTP自身を保護するためにキーを使用します。これは、いくつかの時間のために開発されてきた、そして今では、プロセスを開始することができる方法を、迅速に行うことのようです。NTSのリファレンス実装があり、NTPsecはNTSをサポートする新しいバージョンをリリースしたばかりの、Chronyが分岐NTS実験的なサポートを持って、より多くの今後達成することが期待されます。
最終的にインターネット時刻の同期に安全で認証方法で、サポートオプションの広い範囲を提供することがあります。
今月ショートニュース
△ Cloudflare启动了一项服务,证书颁发机构可以使用该服务支持多路径域验证。这里的想法是,证书的域验证是在不安全的网络上进行的,因此容易受到各种***。在internet上的多个点上检查域会大大降低此类***成功的可能性。
△ 一篇研究论文调查了当前TLS实现中的填充oracle漏洞。我们在之前的时事通讯中提到过这项研究。该论文将在即将召开的USENIX大会上正式发表。
△ Jonathan Leitschuh报告说,许多Java项目引用了与HTTP URLs的依赖关系,这使得它们很容易受到中间人***。
△ 两篇论文分析了CSIDH密钥交换算法的后量子安全性。这些论文还导致了对NIST后量子邮件列表的更长的讨论。
△ YubiKey FIPS系列设备存在漏洞,其中ECDSA算法可以在启动后使用一个熵减小的随机数。在ECDSA中,如果对两个不同的签名使用相同的随机值两次,则使用不良随机性很容易导致对私钥的完全***。
△ 苹果(apple)宣布了iOS 13和macOS 10.15的证书要求,特别指出弃用SHA-1签名。大多数其他浏览器已取消对SHA-1的支持。
△ Curl的Windows版本有一个bug,在这个bug中,没有特权的用户可以通过OpenSSL的引擎功能注入代码。同样的错误也在Stunnel中被发现并修复。Curl开发人员Daniel Stenberg说,这个问题在使用OpenSSL的Windows应用程序中非常普遍。
△ 克罗地亚的the Summer School on Real-World Cryptography and Privacy今年6月就TLS和密码学举行了各种讲座。它的网页上有相关的幻灯片。
△ Filippo Valsorda和Ben Cartwright-Cox正在研究age,这是一种简单的文件加密工具和格式。它现在只是一个设计文档,还没有代码。
△ OpenSSH实施了一些更改,试图通过加密密钥保护内存,使其免受潜在的硬件侧通道***。
CloudFlareの△それはテスト量子鍵交換アルゴリズムの後にグーグルと協力することを発表しました。HRSS-SXYとサイケがCloudFlareのサーバとGoogle Chromeブラウザのテストの一部となります。どちらのアルゴリズムは中X25519鍵交換TLS 1.3の組み合わせによって達成されます。
CloudFlareはCIRCLのリリースを発表しました△、これは移動中に書かれた暗号ライブラリがあり、また、量子アルゴリズムの一部をサポートしています。
PolarProxy△トラフィックを復号化するために、デバッグのためのTLS接続を傍受し、PCAPファイルを作成することを可能にする新しいツールです。
RAMBleed△***通路Rowhammerの側と同様です。デモンストレーションとして、著者は、他のプロセスからのRSA鍵を抽出しました。
Hardenize△監視サイトの統計上のPKIと証明書で表示するには、その公開ダッシュボードの機能を拡張します。