<p><!--META { "title": "TLS 1.3 (RFC 8446) のハンドシェイクと暗号スイート", "primary_category": "ネットワーク", "secondary_categories": ["セキュリティ","プロトコル"], "tags": ["TLS1.3","RFC8446","ハンドシェイク","暗号スイート","0-RTT","HKDF"], "summary": "RFC 8446で標準化されたTLS 1.3のハンドシェイクフロー、暗号スイート、セキュリティ考慮点、実装上の注意点を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"TLS 1.3 (RFC 8446) の主要な変更点、特にハンドシェイクの高速化（1-RTT/0-RTT）とセキュリティ強化に焦点を当てて解説。新しい暗号スイートと実装の注意点も。 #TLS13 #RFC8446","hashtags":["#TLS13","#RFC8446","#ネットワーク"]}, "link_hints": ["https://www.rfc-editor.org/rfc/rfc8446"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">TLS 1.3 (RFC 8446) のハンドシェイクと暗号スイート</h1> <h2 class="wp-block-heading">背景</h2> <p>Transport Layer Security (TLS) プロトコルは、インターネット上で安全な通信を確立するための基盤技術です。TLS 1.2 以前のバージョンには、暗号学的な脆弱性の露呈、非効率なハンドシェイク、複雑すぎる機能セットなどの課題がありました。これらの課題に対処し、より高速で安全、かつシンプルなプロトコルとして、2018年8月に RFC 8446 で TLS 1.3 が標準化されました。</p> <h2 class="wp-block-heading">設計目標</h2> <p>TLS 1.3 の設計は、主に以下の目標に基づいて行われました。</p> <ul class="wp-block-list"> <li><p><strong>セキュリティの向上</strong>: 既知の脆弱性を持つ暗号アルゴリズム（RC4、CBCモード暗号、MD5、SHA-1など）や機能（RSA鍵交換、圧縮、再ネゴシエーションなど）を廃止し、Forward Secrecy (PFS) を強制する鍵交換（ECDHE/DHE）を必須化。ハンドシェイクの大部分を暗号化することで、メタデータに対するプライバシーを向上させました。</p></li> <li><p><strong>パフォーマンスの改善</strong>: ハンドシェイクのラウンドトリップ回数を削減し、特にセッション再開時には 0-RTT (Zero Round Trip Time) を可能にすることで、接続確立のレイテンシを大幅に短縮しました。</p></li> <li><p><strong>プロトコルの簡素化</strong>: 不要な機能やオプションを削除し、プロトコル仕様をスリム化することで、実装の複雑さを軽減し、誤実装のリスクを低減しました。</p></li> </ul> <h2 class="wp-block-heading">詳細</h2> <h3 class="wp-block-heading">ハンドシェイクフロー</h3> <p>TLS 1.3 では、フルハンドシェイクが 1-RTT で完了し、セッション再開時には 0-RTT をサポートします。これは、TLS 1.2 が通常 2-RTT（フルハンドシェイク）または 1-RTT（セッション再開）を必要としたのと比較して、大幅な改善です。</p> <h4 class="wp-block-heading">1-RTT ハンドシェイク (フルハンドシェイク)</h4> <p>クライアントとサーバーが初回接続時または共有鍵を持たない場合の流れです。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> sequenceDiagram participant C as Client participant S as Server C ->> S: Client Hello (Supported versions, Cipher Suites, Key Shares, PSK Identities, Client Random) Note over S: Server processes Client Hello, selects parameters, generates keys S -->> C: Server Hello (Selected version, Cipher Suite, Key Share, Server Random) S -->> C: Encrypted Extensions S -->> C: Certificate (Optional) S -->> C: Certificate Verify (Optional) S -->> C: Finished Note over C: Client verifies server messages, generates master secret, sends Finished C ->> S: Finished C< ->> S: Application Data (Encrypted) </pre></div> <p><strong>主要な変更点:</strong></p> <ul class="wp-block-list"> <li><p><strong>Client Helloでの鍵共有</strong>: クライアントは <code>Client Hello</code> にサポートする鍵共有方式（例: ECDHE）と、それぞれの鍵共有用公開鍵を含めます。これにより、サーバーは <code>Server Hello</code> で鍵共有を完了し、すぐに鍵を確立できます。</p></li> <li><p><strong>暗号化されたハンドシェイク</strong>: <code>Server Hello</code> 以降のメッセージ（<code>Encrypted Extensions</code>, <code>Certificate</code>, <code>Certificate Verify</code>, <code>Finished</code>）は、確立された鍵を使って暗号化されます。これにより、傍受者からこれらの情報が保護されます。</p></li> </ul> <h4 class="wp-block-heading">0-RTT ハンドシェイク (セッション再開)</h4> <p>以前に接続があり、PSK (Pre-Shared Key) を共有している場合に利用できるハンドシェイクです。クライアントは <code>Client Hello</code> と同時に初期アプリケーションデータを送信できます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> sequenceDiagram participant C as Client participant S as Server C ->> S: Client Hello (PSK Identity, early_data extension), Early Application Data (Optional) Note over S: Server attempts to decrypt early data with PSK S -->> C: Server Hello (Selected version, Cipher Suite, Key Share, Server Random) S -->> C: Encrypted Extensions S -->> C: Certificate (Optional) S -->> C: Certificate Verify (Optional) S -->> C: Finished Note over C: Client verifies server messages, generates master secret, sends Finished C ->> S: Finished C< ->> S: Application Data (Encrypted) </pre></div> <h3 class="wp-block-heading">暗号スイート</h3> <p>TLS 1.3 では、安全性が低いと判断された多くの暗号スイートが廃止され、AEAD (Authenticated Encryption with Associated Data) アルゴリズムを必須としています。これにより、データの機密性、完全性、認証が同時に保証されます。</p> <h4 class="wp-block-heading">TLS 1.3 で必須または推奨される主な暗号スイート:</h4> <ul class="wp-block-list"> <li><p><code>TLS_AES_128_GCM_SHA256</code> (AES 128-bit GCM with SHA256 for HKDF)</p></li> <li><p><code>TLS_AES_256_GCM_SHA384</code> (AES 256-bit GCM with SHA384 for HKDF)</p></li> <li><p><code>TLS_CHACHA20_POLY1305_SHA256</code> (ChaCha20-Poly1305 with SHA256 for HKDF)</p></li> </ul> <p>これらの暗号スイートは、以下の構成要素を持ちます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart LR A["TLS 1.3 Cipher Suite"] --> B["鍵交換アルゴリズム | ECDHE / DHE"]; B --> C["認証付き暗号化アルゴリズム (AEAD) | AES-GCM, ChaCha20-Poly1305"]; C --> D["HKDF用ハッシュ関数 | SHA256, SHA384"]; A --> E["鍵導出関数 | HKDF"]; </pre></div> <p>鍵導出には、HMAC-based Key Derivation Function (HKDF) が使用されます。HKDFは、初期の共有秘密情報から複数の暗号鍵を安全に導出するために設計されており、TLS 1.2 で使用されていた PRF (Pseudo-Random Function) よりも堅牢です。</p> <h3 class="wp-block-heading">ヘッダ/フレーム/パケット構造の例 (Client Helloの一部)</h3> <p>TLSレコードプロトコルは TLS 1.2 から変更されていませんが、ハンドシェイクメッセージの構造は異なります。<code>Client Hello</code> メッセージの一部のフィールドを <code>text</code> 形式で示します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"> TLSPlaintext.type:8 (Handshake: 22) TLSPlaintext.version:16 (Legacy: 0x0303 for TLS 1.2, but indicates TLS 1.3 if supported_versions extension is present) TLSPlaintext.length:16 (Length of the encapsulated Handshake message) Handshake.msg_type:8 (Client Hello: 1) Handshake.length:24 (Length of Client Hello message body) ClientHello.legacy_version:16 (Set to 0x0303 for TLS 1.2 compatibility) ClientHello.random:256 (32 bytes random value) ClientHello.legacy_session_id_length:8 ClientHello.legacy_session_id:variable (Length from legacy_session_id_length) ClientHello.cipher_suites_length:16 (Number of bytes for cipher_suites) ClientHello.cipher_suites:variable (List of 16-bit cipher suite codes) ClientHello.legacy_compression_methods_length:8 (Must be 1) ClientHello.legacy_compression_methods:8 (Must be 0) ClientHello.extensions_length:16 (Number of bytes for extensions) ClientHello.extensions:variable (List of extensions, e.g., key_share, supported_versions, early_data) </pre> </div> <p><code>ClientHello.legacy_version</code>は互換性のために<code>0x0303</code> (TLS 1.2) を設定しますが、実際のバージョンネゴシエーションは<code>supported_versions</code>拡張によって行われます。</p> <h2 class="wp-block-heading">既存プロトコルとの比較 (TLS 1.3 vs TLS 1.2)</h2> <p>TLS 1.3 は、TLS 1.2 から以下の点で大きく進化しています。</p> <ul class="wp-block-list"> <li><p><strong>ハンドシェイクの効率性</strong>:</p> <ul> <li><p><strong>TLS 1.2</strong>: フルハンドシェイクは通常 2-RTT を要し、PFSを有効にするためには追加のラウンドトリップが必要でした。</p></li> <li><p><strong>TLS 1.3</strong>: フルハンドシェイクは 1-RTT で完了し、PFSが必須化されています。セッション再開時には 0-RTT が可能です。</p></li> </ul></li> <li><p><strong>鍵交換</strong>:</p> <ul> <li><p><strong>TLS 1.2</strong>: RSA鍵交換が可能であり、Forward Secrecyを強制しませんでした。</p></li> <li><p><strong>TLS 1.3</strong>: ECDHE/DHE鍵交換が必須となり、すべてのセッションで Forward Secrecy が保証されます。</p></li> </ul></li> <li><p><strong>暗号アルゴリズム</strong>:</p> <ul> <li><p><strong>TLS 1.2</strong>: RC4、CBCモードの暗号（BEAST攻撃への脆弱性）、MD5、SHA-1ベースのPRFsなど、多くの弱体化したアルゴリズムをサポートしていました。</p></li> <li><p><strong>TLS 1.3</strong>: AEAD (Authenticated Encryption with Associated Data) 暗号（AES-GCM, ChaCha20-Poly1305）のみをサポートし、より強力なハッシュ関数（SHA256, SHA384）に基づく HKDF を鍵導出に用います。</p></li> </ul></li> <li><p><strong>ハンドシェイクの暗号化</strong>:</p> <ul> <li><p><strong>TLS 1.2</strong>: <code>Server Hello</code> 以降のハンドシェイクメッセージは暗号化されませんでした。</p></li> <li><p><strong>TLS 1.3</strong>: <code>Server Hello</code> 以降の大部分のハンドシェイクメッセージが暗号化され、通信のプライバシーが向上しました。</p></li> </ul></li> <li><p><strong>機能の簡素化</strong>:</p> <ul> <li><p><strong>TLS 1.2</strong>: 圧縮、再ネゴシエーション、カスタムDHEグループ、ChangeCipherSpecプロトコルなど、多くのオプション機能が存在し、実装の複雑さと攻撃ベクトルを増やしていました。</p></li> <li><p><strong>TLS 1.3</strong>: これらの機能はすべて廃止され、プロトコルが大幅に簡素化されました。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">セキュリティ考慮</h2> <p>TLS 1.3 はセキュリティを大幅に強化していますが、いくつかの重要な考慮点があります。</p> <ul class="wp-block-list"> <li><p><strong>リプレイ攻撃 (0-RTT)</strong>: 0-RTT データは、クライアントが暗号鍵を確立する前にサーバーに送信するアプリケーションデータです。このデータは、通信経路上の攻撃者によって捕捉され、サーバーに再度送信される（リプレイされる）可能性があります。これにより、サーバー側で非冪等な操作（例：注文の繰り返し）が発生するリスクがあります。RFC 8446のセクション8.1は、サーバーがリプレイを検出・防止するためのメカニズム（例：タイムスタンプ、ワンタイムナンス）を実装する必要があると明確に規定しています。</p></li> <li><p><strong>ダウングレード攻撃</strong>: 攻撃者がクライアントとサーバー間のTLS接続を TLS 1.2 などの古いバージョンに強制的にダウングレードしようとする攻撃です。TLS 1.3 は <code>Server Random</code> フィールドに特定のパターンを埋め込むことで、このようなダウングレード試行を検出・防止するメカニズムを備えています。</p></li> <li><p><strong>鍵更新 (Key Update)</strong>: 長時間継続するTLSセッションでは、同じセッション鍵を使い続けることはセキュリティリスクを高めます。TLS 1.3 では、<code>KeyUpdate</code> メッセージを送信してセッション中に新しい鍵を導出し、利用することができます。これにより、フォワードシークレットがさらに強化され、鍵の漏洩による被害範囲を限定できます。</p></li> <li><p><strong>初期データ保護の制限</strong>: 0-RTT で送信される初期データは、まだ完全なハンドシェイクが完了していないため、完全な Forward Secrecy が保証されません。これは、PSK が漏洩した場合に初期データが復号される可能性があることを意味します。そのため、機密性の高い初期データは 0-RTT で送信すべきではない、または限定的な用途に留めるべきです。</p></li> </ul> <h2 class="wp-block-heading">実装メモ</h2> <p>TLS 1.3 の高性能とセキュリティ上の利点を最大限に活用し、安定した実装を行うためには、以下の点に注意が必要です。</p> <ul class="wp-block-list"> <li><p><strong>MTU/Path MTU の考慮</strong>: <code>Client Hello</code> メッセージは、<code>key_share</code>、<code>pre_shared_key</code>、その他の拡張を含めることで、TLS 1.2 よりも大きくなる可能性があります。特に、複数の鍵共有アルゴリズムやPSK IDを提示する場合、MTU (Maximum Transmission Unit) を超え、IPフラグメンテーションやPath MTU Discovery (PMTUD) の問題を引き起こす可能性があります。クライアント実装は、<code>Client Hello</code> のサイズを適切に管理するか、フラグメンテーションを許容できる構成とする必要があります。</p></li> <li><p><strong>HOL blocking 回避</strong>: TLS 1.3 自体はTCPの上に位置するため、TCPのHead-of-Line (HOL) blockingを直接回避するものではありません。しかし、ハンドシェイクのRTT削減は、アプリケーション層での待ち時間を短縮し、結果的にアプリケーション全体のHOL blockingの影響を軽減します。実装者は、アプリケーション層のプロトコル設計において、TLS 1.3 の低レイテンシ特性を活かすことを検討すべきです（例: HTTP/3 の QUIC は TLS 1.3 をベースに HOL blocking を回避）。</p></li> <li><p><strong>キュー制御と優先度</strong>: 0-RTT データは早期に送信されるため、サーバー側で通常のアプリケーションデータとは異なるキューイングや処理優先度を検討することが可能です。しかし、リプレイ攻撃のリスクを考慮し、0-RTT データが冪等な処理に限定されているか、または適切なリプレイ保護が施されていることを確認する必要があります。</p></li> <li><p><strong>鍵共有グループの選択</strong>: TLS 1.3 では、楕円曲線（Curve25519、secp256r1など）に基づく鍵共有グループが一般的に使用されます。実装は、セキュリティとパフォーマンスのバランスを考慮し、適切な鍵共有グループのサポートを推奨します。RFC 8446は、Curve25519とsecp256r1を必須とすることを推奨しています。</p></li> <li><p><strong>PSK (Pre-Shared Key) 管理</strong>: 0-RTT およびセッション再開の効率は、PSK の安全かつ効率的な管理に依存します。サーバーは、PSK を生成し、セッションチケットとしてクライアントに発行し、その後の接続で検証するメカニズムを堅牢に実装する必要があります。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>RFC 8446 で標準化された TLS 1.3 は、セキュリティ、パフォーマンス、プロトコル簡素化の点で、従来の TLS バージョンから大きな進歩を遂げました。特に、1-RTT/0-RTT ハンドシェイクによる接続確立の高速化、Forward Secrecy の強制、脆弱な暗号スイートの排除は、現代のインターネット通信の安全性を高める上で不可欠です。実装にあたっては、0-RTT のリプレイ攻撃リスクへの対応や、<code>Client Hello</code> サイズの最適化、適切な鍵共有グループの選択など、RFC が規定する詳細なガイドラインに厳密に従うことが重要です。これにより、より堅牢で高速なセキュア通信環境の構築が可能となります。</p>

sequenceDiagram
    participant C as Client
    participant S as Server

    C ->> S: Client Hello (Supported versions, Cipher Suites, Key Shares, PSK Identities, Client Random)
    Note over S: Server processes Client Hello, selects parameters, generates keys
    S -->> C: Server Hello (Selected version, Cipher Suite, Key Share, Server Random)
    S -->> C: Encrypted Extensions
    S -->> C: Certificate (Optional)
    S -->> C: Certificate Verify (Optional)
    S -->> C: Finished
    Note over C: Client verifies server messages, generates master secret, sends Finished
    C ->> S: Finished
    C> S: Application Data (Encrypted)

sequenceDiagram
    participant C as Client
    participant S as Server

    C ->> S: Client Hello (PSK Identity, early_data extension), Early Application Data (Optional)
    Note over S: Server attempts to decrypt early data with PSK
    S -->> C: Server Hello (Selected version, Cipher Suite, Key Share, Server Random)
    S -->> C: Encrypted Extensions
    S -->> C: Certificate (Optional)
    S -->> C: Certificate Verify (Optional)
    S -->> C: Finished
    Note over C: Client verifies server messages, generates master secret, sends Finished
    C ->> S: Finished
    C> S: Application Data (Encrypted)

flowchart LR
    A["TLS 1.3 Cipher Suite"] --> B["鍵交換アルゴリズム | ECDHE / DHE"];
    B --> C["認証付き暗号化アルゴリズム (AEAD) | AES-GCM, ChaCha20-Poly1305"];
    C --> D["HKDF用ハッシュ関数 | SHA256, SHA384"];
    A --> E["鍵導出関数 | HKDF"];

  TLSPlaintext.type:8 (Handshake: 22)
  TLSPlaintext.version:16 (Legacy: 0x0303 for TLS 1.2, but indicates TLS 1.3 if supported_versions extension is present)
  TLSPlaintext.length:16 (Length of the encapsulated Handshake message)

  Handshake.msg_type:8 (Client Hello: 1)
  Handshake.length:24 (Length of Client Hello message body)

  ClientHello.legacy_version:16 (Set to 0x0303 for TLS 1.2 compatibility)
  ClientHello.random:256 (32 bytes random value)
  ClientHello.legacy_session_id_length:8
  ClientHello.legacy_session_id:variable (Length from legacy_session_id_length)
  ClientHello.cipher_suites_length:16 (Number of bytes for cipher_suites)
  ClientHello.cipher_suites:variable (List of 16-bit cipher suite codes)
  ClientHello.legacy_compression_methods_length:8 (Must be 1)
  ClientHello.legacy_compression_methods:8 (Must be 0)
  ClientHello.extensions_length:16 (Number of bytes for extensions)
  ClientHello.extensions:variable (List of extensions, e.g., key_share, supported_versions, early_data)