メインコンテンツまでスキップ

1. はじめに

1. はじめに

TLS 1.3 [RFC8446] は, CertificateVerify メッセージにおける RSASSA-PKCS1-v1_5 [RFC8017] のサポートを削除し, RSASSA-PSS を採用しました. RSASSA-PSS は長く確立されていますが, 一部のレガシーハードウェア暗号デバイスはこれをサポートしていません. これらのデバイスは TLS サーバでは一般的ではありませんが, TLS クライアントがクライアント証明書のために使用することがあります.

たとえば, Trusted Platform Module (TPM) は TLS クライアント証明書の秘密鍵を保護するためによく使われます. 多くの TPM は TLS 1.3 と互換性のある RSASSA-PSS 署名を生成できません. 2.0 より前の TPM 仕様は RSASSA-PSS サポートを定義しておらず, TPM 2.0 デバイスも US FIPS 186-4 と互換である場合にのみ TLS 1.3 互換のソルト長を信頼できます.

TLS 1.2 に留まる展開は, ネットワーク攻撃者にクライアント証明書を漏らし [PRIVACY], 量子コンピュータを持つ攻撃者による過去トラフィックの復号から保護できません [RFC9954]. TLS はクライアント証明書より前にバージョンを交渉するため, クライアントとサーバが TLS 1.3 を交渉した後, クライアントがレガシー鍵を持つために失敗することもあります.

TLS 1.3 を無効化すると, 本来影響を受けない接続にも影響します. 一方, 外部の fallback 仕組みは TLS のセキュリティ分析を壊し, 脆弱性を導入する可能性があります [POODLE]. この文書は, TLS 1.3 でクライアント証明書とともにこれらのレガシー鍵を使うためのコードポイントを割り当て, そのような緩和策を選ぶ圧力を減らし, TLS 1.3 展開を妨げる要因を取り除きます.