TLS1.2 における Truncated HMAC 利用時の脆弱性について

現在ソウルで開催されている ASIACRYPT2011 にて、RFC6066 で規定された拡張機能のひとつである Truncated HMAC を用いた TLS1.2 通信における脆弱性が公開されました。

本脆弱性[1]K.G. Paterson, T.E. Shrimpton and T. Ristenpart, Tag Size Does Matter: Attacks and Proofs for the TLS Record Protocol. http://www.isg.rhul.ac.uk/~kp/mee-comp.pdfは9月に公開された攻撃ツール BEAST と同様、暗号モードとして CBC を利用しているケースにのみ適用可能です。

Truncated HMAC は RFC6066 7章に記載されている方式で、メッセージ認証子 (MAC; データの完全性を保証するために利用される) として通常の HMAC (ハッシュ関数を用いた MAC。出力長は利用されるハッシュ関数と同じ出力長) ではなく、80ビットに切り詰めたデータを MAC として利用する拡張方式です。この切り詰められた MAC を利用する場合、暗号化対象のアプリケーションデータが短く、暗号化データがブロックサイズを超えないケースにおいて平文の情報が漏洩する可能性があります。

ASIACRYPT にて発表が行われた後、本拡張機能の経緯を調査した結果、TLS1.0 および TLS1.1 の拡張を規定している RFC4346 にも同様の機能が盛り込まれており、本脆弱性の影響を受ける可能性があります。今後、理論的に本攻撃が TLS1.0, 1.1 及び SSL にも影響するかどうか、また本拡張機能がどのくらい広く実装・利用されているかについて調査を継続致します。

脚注

脚注
1 K.G. Paterson, T.E. Shrimpton and T. Ristenpart, Tag Size Does Matter: Attacks and Proofs for the TLS Record Protocol. http://www.isg.rhul.ac.uk/~kp/mee-comp.pdf

シェアする