IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > TLS1.2におけるTruncated HMAC利用時の脆弱性について

TLS1.2におけるTruncated HMAC利用時の脆弱性について

現在ソウルで開催されているASIACRYPT2011にて、RFC6066で規定された拡張機能のひとつであるTruncated HMACを用いたTLS1.2通信における脆弱性が公開されました。

本脆弱性 (1)は9月に公開された攻撃ツールBEASTと同様、暗号モードとしてCBCを利用しているケースにのみ適用可能です。

Truncated HMACはRFC6066 7章に記載されている方式で、メッセージ認証子 (MAC; データの完全性を保証するために利用される) として通常のHMAC (ハッシュ関数を用いたMAC。出力長は利用されるハッシュ関数と同じ出力長) ではなく、80ビットに切り詰めたデータをMACとして利用する拡張方式です。この切り詰められたMACを利用する場合、暗号化対象のアプリケーションデータが短く、暗号化データがブロックサイズを超えないケースにおいて平文の情報が漏洩する可能性があります。

ASIACRYPTにて発表が行われた後、本拡張機能の経緯を調査した結果、TLS 1.0およびTLS 1.1の拡張を規定しているRFC4346にも同様の機能が盛り込まれており、本脆弱性の影響を受ける可能性があります。今後、理論的に本攻撃がTLS1.0, 1.1及びSSLにも影響するかどうか、また本拡張機能がどのくらい広く実装・利用されているかについて調査を継続致します。


参考文献

(1) K.G. Paterson, T.E. Shrimpton and T. Ristenpart, Tag Size Does Matter: Attacks and Proofs for the TLS Record Protocol. http://www.isg.rhul.ac.uk/~kp/mee-comp.pdf

-
 
カテゴリー :
脆弱性  
タグ :
SSL   TLS   Vulnerability  
この記事のURL :
https://sect.iij.ad.jp/d/2011/12/079269.html