TLS Encrypted Client Hello (ECH) conformance test with Ruby

Transcript

1. TLS Encrypted Client Hello (ECH) conformance test with Ruby @Gotanda.rb

   #61 2025/01/28 桒山智耶 thekuwayama

2. 自己紹介 - 桒山智耶 - thekuwayama - Nature株式会社 - バックエンド

3. 目次 1. ECH の概要 2. echspec とは 3. echspec の構成

   4. echspec でやったこと

4. ECH の概要

5. ECH の概要 - Encrypted Client Hello - TLS 拡張の新しい提案仕様 -

   https://datatracker.ietf.org/doc/draft-ietf-tls-esni/ - 2025/01 現在、IETF の TLS WG にて議論中

6. クライアント サーバ ClientHello Finished ServertHello EncryptedExtensions Certificate CertificateVerify Finished

7. クライアント サーバ ClientHello Finished ServertHello EncryptedExtensions Certificate CertificateVerify Finished •

   SNI

8. ECH の概要 - TLS ハンドシェイクメッセージ Client Hello は平文 - Client

   Hello には平文の SNI 拡張が含まれる - Server Name Indication - 第三者は SNI を観測することでクライアントがアクセスしようとしている Web サイトなどを特定でき る - プライバシー

9. ECH の概要 - TLS ハンドシェイクメッセージ Client Hello は平文 - Client

   Hello には平文の SNI 拡張が含まれる - Server Name Indication - 第三者は SNI を観測することでクライアントがアクセスしようとしている Web サイトなどを特定でき る - プライバシー - Client Hello を暗号化して ECH 拡張に詰める

10. クライアント サーバ ClientHello Finished ServertHello EncryptedExtensions Certificate CertificateVerify Finished •

    SNI

11. クライアント サーバ ClientHello Finished ServertHello EncryptedExtensions Certificate CertificateVerify Finished •

    SNI • ECH

12. ECH の概要 ClientHello { SNI: “cloudflare-ech.com” ECH: “...” } 通信相手は

    cloudflare-ech.com のように見える パディングなどした後、暗号化した ClientHello など - ECH 拡張を含む Client Hello の概略

13. ECH の概要 - Client Hello を暗号化して ECH 拡張に詰める - 暗号化には

    HPKE を用いる - https://datatracker.ietf.org/doc/rfc9180/ - 公開鍵などを含む ECHConfig は HTTPS RR で配ることが検討されている - https://datatracker.ietf.org/doc/rfc9460/ - https://datatracker.ietf.org/doc/draft-ietf-tls-svcb-ech/

14. ECH の概要 - TLS ライブラリにおける実装状況 - https://github.com/tlswg/draft-ietf-tls-esni/wiki/Implementations - openssl/openssl -

    https://github.com/openssl/openssl/tree/feature/ech - rustls - https://github.com/rustls/rustls/pull/2104 - golang/go - https://github.com/golang/go/tree/go1.24rc2

15. echspec とは

16. echspec とは - https://github.com/thekuwayama/echspec - A conformance testing tool for

    ECH implementation. - Ruby で実装した - ECH を有効化した TLS のクライアントとして動作 - サーバとハンドシェイクを試みる - ハンドシェイクの過程でサーバが ECH の仕様に沿った実装になっているかチェック

17. The client-facing server computes ClientHelloInner by reversing this process. First

    it parses EncodedClientHelloInner, interpreting all bytes after client_hello as padding. If any padding byte is non-zero, the server MUST abort the connection with an "illegal_parameter" alert. https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni-22#section-5.1-9 echspec とは

18. echspec とは - 例えば、クライアントから送信されるメッセージの 0 パディング部分が 0 以外でパ ディングされていた場合、サーバは illegal_parameter

    アラートを返してハンドシェ イクを中止する (MUST) - echspec ではテストケース - EncodedClientHelloInner を 0 以外でパディングして送信 - illegal_parameter アラート返送されることをチェック

19. クライアント サーバ ClientHello Alert • SNI • ECH 0 以外でパディングした

    EncodedClientHelloInner を利用 illegal_parameter ? 👀

20. echspec の構成

21. echspec の構成 - echspec - https://github.com/thekuwayama/echspec - ech_config - https://github.com/thekuwayama/ech_config

    - tttls1.3 - https://github.com/thekuwayama/tttls1.3 - hpke-rb - https://github.com/sylph01/hpke-rb - openssl - https://github.com/ruby/openssl

22. echspec tttls1.3 hpke-rb ruby/openssl openssl/openssl echspec の構成 ech_config

23. echspec tttls1.3 hpke-rb ruby/openssl openssl/openssl echspec の構成 自作 ech_config 自作

    自作

24. echspec tttls1.3 hpke-rb ruby/openssl openssl/openssl echspec の構成 TLS1.3 ECH HPKE

    RSA, AEAD, X.509, Hash, etc conformance testing tool ech_config

25. echspec tttls1.3 hpke-rb ruby/openssl openssl/openssl echspec の構成 Ruby C 拡張

    ech_config
26. None

27. echspec でやったこと

28. echspec でやったこと - golang/go へのパッチが取り込まれました!! 🎉🎉 - https://go-review.googlesource.com/c/go/+/639235

29. echspec でやったこと - 動的な解析 - 書き換える ⇄ 試す - ハンドシェイクメッセージログの出力

    - 暗号化された ClientHello (ClientHelloInner) - client,server_handshake_traffic_secret で暗号化されたハンドシェイクメッセージ - ハンドシェイクの過程を読める - 目的をもって TLS ECH 実装のソースコードを読める

30. まとめ - Ruby で ECH の仕様準拠テストツールを実装した - 楽しい!! 👍👍 -

    今後 - テストケースを増やしていきたい - 他の ECH 実装についても仕様準拠テストしていきたい