- 安全性が高いTLSへの移行で解決 - 狙われるセキュリティプロトコル:日経 xTECH Active (2018/04/05)
次期バージョンのTLS 1.3では、AES-CBCが廃止され、AEADだけになる予定である。SSLのPOODLEの温床になったCBC自体が使われなくなる方向だ
- 安全で高速なTLS 1.3が登場、2019年内に対応を | 日経 xTECH(クロステック) (2018/09/21)
鍵交換方式としてPFS、共通鍵暗号方式としてAEADしか使えなくなった。PFSはDHEやECDHEといった新しい鍵交換方式を指す。AEADは認証付き暗号だ。
PFSであるDHEやECDHE では秘密鍵として一時鍵を使うため、たとえ秘密鍵が漏洩しても通信の暗号データを復号できず、安全性が高い。これまでAESのCBCという暗号利用モードが広く使われていた。CBCは暗号の機能しか持たない。これに対し、AESのGCMなどの暗号利用モードは、暗号に加えて改ざん検知の機能も備える。
- 理解してるつもりの SSL/TLS でも、もっと理解したら面白かった話 · けんごのお屋敷
近年、暗号化と同時に完全性や認証性も実現するための暗号方式 (たとえば GCM) が考案され、それらを総称して AEDA (Authenticated Encryption with Asocciated Data) と呼ばれます。暗号スイートの Mac の部分に AEAD という表記があるものは、暗号モードとして認証付き暗号の GCM が利用されています。
- 組み込み技術者向けTLS1.3基礎解説(後編):IoTでTLS1.3を活用すべき3つの理由 (1/3) - MONOist(モノイスト)
TLS1.3で使用する共通鍵暗号は攻撃リスクの小さい認証付き暗号(AEAD:Authenticated Encryption with Associated Data)を暗号スイートの標準とした。認証付き暗号とは、データの暗号化と同時にMACなどの認証用コードの演算を行うアルゴリズムのことだ。ブロック暗号では、AES-GCMやAES-CCMが認証付き暗号とされるが、性能が思うように出ないことが課題だった。特に、AES-NI(AESを高速処理する命令セット)を搭載したIntelプロセッサに比べ、組み込み分野で高いシェアを持つArmプロセッサはAESの性能が十分ではなかったこともあり、AES以外の選択肢も求められていた。
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
