TLSv1.3への対応について

[kawasumi2019]

TLSv1.3のみを許可するようにFTPサーバを設定したところ、TLS AUTHで止まり接続出来ません。
デバッグを有効化すると

>AUTH TLS
234 AUTH TLS 成功
## AttachSSL InitializeSecurityContext error: 80090326.
ログインできません.
## Skt=1256 : Socket closed.

となります。
TLSv1.2を有効化しているとrecvでSYNから始まるSSL証明書を含むパケットデータを受信するのに対して、TLSv1.3のみ有効化しているとNAKから始まる7byteのパケットデータを受信してエラーとなっていました。

この問題はSchannel自体にTLSv1.3に対する対応が無い状況に由来するもので既知と思われますけれど、BoringSSL/OpenSSLを利用したEDGEはTLSv1.3に対応して久しく、仮にこのような状態になった方がいらっしゃった場合現状把握が難しいと思いましたので情報提供を兼ねてご報告させていただきます。

[sayurin]

Microsoft TLS 1.3 Support Referenceで

Will TLS 1.3 be supported in Windows 10 and Server?
TLS 1.3 is also supported on Windows 1903 as of release of this article for testing purposes only, not production environment.

と説明されているようにWindows 10 Version 1903から搭載はされていますがテスト目的とされています。実際、Protocols in TLS/SSL (Schannel SSP)では

• Windows Server 2022で有効化
• それ以外は未サポート

とされています。まだ表には記載されていませんが、手元のWindows 10 21H1でもやはり無効化されています。Disabledと書かれるかNot Supportedと書かれるかまではわかりませんが。

ちなみにhow to enable TLS 1.3 in windows 10で紹介されているように

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client]
"DisabledByDefault"=dword:00000000 
"Enabled"=dword:00000001

を設定すると現在のffftpでもTLS 1.3は有効化されます。

あとはこの方法をTLS 1.2のように案内するかどうか、といったところでしょうか。

[kawasumi2019]

ありがとうございます。
表向きには未対応でも搭載はされているという状態なのですね。

ただ、そちらのレジストリを記入することでAUTH TLSは通過出来るものの、PBSZ 0を送信するところで止まってしまうようです。具体的にはPBSZ 0を送信した後にFTPS_recvでSEC_I_RENEGOTIATIONを受け、これをSOCKET_ERRORとして処理することで通信を終了してしまっているようです。
daemonの問題の可能性も考慮して、念のためFileZilla ServerをTLSv1.3に対応する形（OpenSSL1.1.1k利用）にしてビルドし直して試してみたところ、やはり同じ状態になりました。

このレジストリキーを入力した段階でOS側はTLSv1.3を優先して利用する設定になるようで、現段階では単純にTLSv1.3に対応したホストに接続出来なくなってしまいます。私の環境由来である可能性もありますけれど、別PC上（Windows10 21H1 32bit Home/Windows10 20H2 64bit Pro）で同じ現象を再現出来たため、ご案内される場合はレジストリキーの削除＆Windows再起動で元に戻せるという付記も必要になるかと思います。

[sayurin]

SEC_I_RENEGOTIATE の誤記ですね？ Recognizing a Request to Renegotiate a Connection で

The DecryptMessage (General) function traps requests for renegotiation coming from the message sender. It notifies your application by decrypting the message data and returning the SEC_I_RENEGOTIATE value.

Your application must handle such requests by calling AcceptSecurityContext (General) (servers) or InitializeSecurityContext (General) (clients) and passing the contents of SECBUFFER_EXTRA returned from DecryptMessage in the SECBUFFER_TOKEN. After this initial call returns a value, proceed as though your application were creating a new connection.

とあるように、正しくは InitializeSecurityContext() を呼ぶ必要がある、と理解しました。記述を見る限り、TLS 1.3はきっかけにすぎず、SChannelの扱い方に問題があったようです。

現在のffftpではまず AttachSSL() で InitializeSecurityContext() を行い成功したら Context を生成し、以降は Context::Decypt() で DecryptMessage() のみを行っていました。Context::Decypt() で SEC_I_RENEGOTIATE を受け取ったらもう一度 AttachSSL() 相当が必要とのことであり、設計を見直す必要がありそうですね。

正直、この辺りはドキュメントが不足していて、稀にバグとしか考えられないような挙動もあるため、実際に遭遇するまでわからない部分もあります。（ https://github.com/ffftp/ffftp/blob/v5.1/socket.cpp#L370-L371 とか、バッファにデータが残っていると言っていながらデータの先頭ポインターが設定されていない、とか）

すぐには対処できませんがちょっと頑張ります。ちょうど UTF-8 廃止が区切りがついたところなので、 #284 と合わせて取り組みます。

なお、レジストリ編集後、Windows再起動は不要です。ffftp再立ち上げで反映されます。

[kawasumi2019]

仰る通りSEC_I_RENEGOTIATEでした。
資料の少ない中では手探りになってしまうのは否めないですね。
残りのデータにアクセスしようとしてnullptrになってたら衝撃を受けそうです。
ご対応、感謝します。
Windows再起動しなくても大丈夫なのですね。こちらも確認させていただきました。

[sayurin]

軽く調査してみましたが簡単には動きませんでした。具体的にはRecognizing a Request to Renegotiate a Connectionの指示通り、DecryptMessage()がSEC_I_RENEGOTIATEを返したタイミングで InitializeSecurityContextW()を呼んだところSEC_E_INVALID_TOKENが返ってきました。

他のアプリを参考にしようとcURLを見てみましたが、ffftpと同じSChannelを使用するバージョンについてはまだTLS v1.3未対応でした…。

https://github.com/curl/curl/blob/curl-7_77_0/lib/vtls/schannel.c#L194-L196

    case CURL_SSLVERSION_TLSv1_3:
      failf(data, "schannel: TLS 1.3 is not yet supported");
      return CURLE_SSL_CONNECT_ERROR;

[kawasumi2019]

調査してくださいましてありがとうございます。
とすると、現時点では様子見しておいた方が良さそうですね。
TLSv1.2でも充分セキュリティは確保出来ていると思っていますので、そのうち対応出来るようになりましたら対応していただけますと幸いです。

[sayurin]

Windows 10 TLS v1.3について再度調べてみました。ちょっとややこしい組み合わせの問題が見つかりました。動作する組み合わせは次の通りでした。

Server TLS v1.2	Server TLS v1.3	Session reuse	Client TLS v1.2	Client TLS v1.3
o	-	x	o	-
-	o	x	-	o
o	-	o	o	x

つまり

• Session reuseを要求されていなければ、ffftp側はTLS v1.2 / v1.3どちらでも接続可能
• ffftp側でTLS v1.3を有効化すると、Session reuseが無効化されるため、Session reuseを要求するサーバーへは接続不可

というように、TLS v1.3とSession resueが排他でした。

[sayurin]

Protocols in TLS/SSL (Schannel SSP) が更新されており、Windows 11においてTLS v1.3がEnabledになっていました。 ただし、これは私がInsider Previewで確認した結果と異なります。正式版で再度確認します。

[kawasumi2019]

調べてくださいましてありがとうございます。
私もその更新を拝見して、ということはSession reuseは対応しないままに対応済みと・・・？
と思ってました。

[sayurin]

• 有効な組み合わせを調べたのはWindows 10
• TLS 1.3が有効化されたと記述されているのはWindows 11
• TLS 1.3が有効化されていないことを確認したのがWindows 11 Insider Preview

となっています。Insider Previewで無効だったものがリリース版で急に有効化されることはないはずなので、ドキュメントが誤っている可能性が濃厚です。

またいつの間にかTLSバージョンを指定するAPIのドキュメントが更新されていました。従来はホワイトリスト方式で有効化したいプロトコルバージョンを指定していたのに対し、更新版はブラックリスト方式で無効化したいプロトコルバージョンしか指定できなくなっています。とはいえ、APIバージョンが指定でき従来の方法でプロトコルを設定できているのでとりあえずは問題ありません。