=================================== __ /P▲ ◆ JPNIC News & Views vol.424【臨時号】2006.12.28 ◆ _/NIC =================================== --------- PR --------------------------------------------------------- ┏━━━━━━━━━━━━┓ ★2007年1月17日(水) 13:30~★ ┏━┫ 第17回 ICANN報告会 ┣━┓ ★ 東京・砂防会館 にて ★ ┃ ┗━━━━━━━━━━━━┛ ┃ ★ 参加費 無料 ★ ┗━━┛ JPNIC・IAjapan共催 ┗━━┛ ICANNから!Hot Topics満載です! 詳細はこちら → http://www.nic.ad.jp/ja/topics/2006/20061221-01.html ---------------------------------------------------------------------- ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.424 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 本号では、vol.415、vol.416、vol.417に続き、第67回IETFのレポート[第4弾] として、セキュリティ関連WGの動向についてお届けします。 □第67回IETF報告 特集 ○[第1弾] 全体会議報告 (vol.415) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol415.html ○[第2弾] DNS関連WG報告 (vol.416) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol416.html ○[第3弾] IPv6関連WG報告 (vol.417) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2006/vol417.html なお、このvol.424が2006年最後の発行となります。 本年もご愛読いただきありがとうございました。 これからも読者のみなさまに喜んでいただけるテーマを取り上げていくように 努力いたしますので、2007年も引き続きJPNIC News & Viewsをよろしくお願い いたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ 第67回IETF報告 [第4弾] セキュリティ関連WG報告 JPNIC 技術部 木村泰司 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 第67回IETFではセキュリティエリアのセッションが21行われました。その中の 二つがBoFで、残りの19セッションがWGでした。本稿では、この中からSIDR WG とPKIX WGを中心に報告いたします。リソース証明書についてはAPNICやRIPE NCCの動向を踏まえてお送りしたいと思います。 ◆SIDR WG (Secure Inter-Domain Routing WG) SIDR WGはネットワーク・ドメイン間の経路制御に適用できる新たなセキュリ ティの仕組みを策定・開発することを目的としたWGです。このWGは2006年4月 に結成され、WGとしてのセッションが開かれるのは前回の第66回IETFに続いて 今回が2回目となります。 SIDR WGでは、IPアドレスの割り振りを電子証明書で証明する認証基盤の検討 が進められています。この電子証明書はリソース証明書と呼ばれ、主にルー ティングの安全性向上のために使われるとされています。 セッションの最初にWGのステータスの確認が行われました。SIDR WGの趣意書 で示されたマイルストーンでは、以下の三つのinitial draftが投稿される予 定でした。 -inter-domain routing security ドメイン間のルーティングセキュリティ -certificate objects 電子証明書の内容と処理手続き -securing origination of routing information 経路情報の発信元情報を安全にする手法 このうち2番目はリソース証明書の書式に関するもので、すでにAPNICのGeoff Huston氏によって進められています。1番目と3番目は、これまでに大きな取り 組みがなく、今回のミーティングで活動を開始することが確認されました。ま たルーティングセキュリティアーキテクチャについてのInformational RFC と、セキュアオリジンメカニズムに関するProposed Standard RFCが作られる ことが予定されていましたが、これらは議論があまり行われてきていなかった ことから、作成を取りやめる可能性がチェアによって示されました。これまで リソース証明書の議論に注力してきており、セキュアなルーティングアーキテ クチャの具体化に、手が回っていなかったのが実情のようです。 □Secure Inter-Domain Routing (sidr) http://www.ietf.org/html.charters/sidr-charter.html 今回のBoFでは主に四つの話題について議論されました。 1.Geoff氏によるリソース証明書に関するI-Dの02版について 2.Stephen Kent氏によるCPS(Certification Practice Statement) CP(Certificate Policy) に関するドラフトドキュメント 3.ROA(Route Origination Authorization)のデータ形式に 関する提案 4.RIPEドキュメントとなっているRPSLとROAとの整合性 ここでは1と4についてご報告いたします。 一つ目のGeoff氏のリソース証明書に関するプレゼンテーションでは、何点か の改良を行った、リソース証明書に関するドラフトドキュメントの02版につい て説明されました。リソース証明書には全て(割り振り先の)証明書を発行する ために認証局であることを示すビットが立つことが想定されていましたが、こ のビットが立っていないEE証明書が新たに紹介されていました。しかし複数の 割り振り元があるマルチホームの状態である場合などで、これらの証明書がど のように使われるか、といった具体的な使い方が明らかになっておらず、今後 も検討が進められると考えられます。 Geoff氏のプレゼンテーションの後半では、"リソース証明書の利用"と題して、 電子署名のWebインターフェースのデモが行われました。このWebのプログラム は10月に行われた第53回RIPEミーティングや第18回ARINミーティングで使われ たものとほとんど同じです。Webアプリケーションとして動作するもので、 サーバ側にある鍵を使って電子署名が行われます。このデモについて、RIRの ミーティングでは、このデモの動作の内容については特に議論されませんでし たが、SIDR WGでは運用面で更に突っ込んだ議論になりました。結局、リソー ス証明書をエンドユーザ同士でどのように交換するかのガイドラインが必要に なることがわかりました。 リソース証明書のモデルはシンプルですが、証明書の構造は徐々に複雑になっ てきました。また第53回のRIPEミーティングではルーティングセキュリティに おける効果がわからないという指摘を受けてもいます。IETFのSIDR WGとして は仕様を検討してドキュメント策定を進めることになりますが、利用モデルが 見えない中で複雑化が進んでいった場合に、運用しやすいものになるのか、と いう懸念は残ります。 四つ目の議論は、ROAではASパスを保護できないという点についてです。ROAは 経路情報の発信元がIPアドレスを利用する権利を持つことを保証します。しか し経路情報が伝播するASパスの正しさを保証することはできません。これは ルーティングにおけるセキュリティの要件をまとめているRPSEC WGのドキュメ ントに依存する議論となりそうです。RPSEC WGでは、ASパスのセキュリティに 関するドキュメント作成にも取り組んでおり、2007年の3月頃にWG last call になる見込みであるとのことです。RPSEC WGのドキュメントがまとまる頃に は、SIDR WGで扱われるプロトコルが増え、ASパスの安全性向上を図るプロト コルが現れるかも知れません。 ◆PKIX WG (Public-Key Infrastructure (X.509)) PKIX WGは電子的な認証基盤の規格であるITU-TのX.509をインターネットに適 用して新たな規格作りを行っているWGです。PKIXは長寿のWGで、参加者は顔な じみの方が多いようです。 はじめにドキュメントステータスの確認が行われました。新たにRFCになった のは以下の二つです。 -Internet X.509 Public Key Infrastructure Subject Identification Method (SIM) (RFC 4683) http://www.ietf.org/rfc/rfc4683.txt 個人が特定できるような識別子(米国のソーシャルセキュリティ ナンバーなど)を直接電子証明書に載せる代わりに、一方向性 ハッシュ関数の結果を入れるなどして、第三者に対して匿名性 を確保する手法を提案したRFC。元々は韓国のJongwook Park氏 によって提案され、後に前チェアのTim Polk氏によって引き継 がれた。 -Update to DirectoryString Processing in the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (RFC 4630) http://www.ietf.org/rfc/rfc4630.txt RFC3280に記述された、ディレクトリ文字列のエンコードに関 する部分を変更したドキュメント。ディレクトリ文字列は証明 書の発行元や発行先の記述のために使われる文字列で、一時期 は国際化と相互運用性を図るためにUTF-8の利用が推奨された。 しかし実装の現状を鑑みて、移行期限であった2003年12月31日 という記述は削除された。なお、本RFCでは、UTF8Stringと PrintableStringの二つが推奨されている。 IESGのレビューを受けているドキュメントは以下の六つで、これらはまだ修正 のための検討の余地が残っているようです(2006年12月現在)。 -Certificate Management Messages over CMS -Certificate Management over CMS (CMC) Transport Protocols -CMC Complience Document -Server-based Certificate Validation Protocol (SCVP) -Lightweight OCSP Profile for High Volume Environments -Internet X.509 Public Key Infrastructure Subject Alternative Name for expression of service name 最後のSubject Alternative Name for expression of service nameは、DNSの リソースレコードに記述されたホスト名とサービス名を証明書の SubjectAltNameフィールドに載せ、ホスト認証だけでなく個々のサービスを 行っているサーバの認証を行えるようにしたものです。マッチングルールを用 いて、メールサーバのような同一のサービスを複数のサーバで提供している場 合にもSRV RRと証明書を組み合わせて認証できるようになっています。 セッションの中で多くの議論が行われたのが、Elliptic Curve Cryptography 公開鍵識別子に関するデザインチームのレポートです。アルゴリズムの識別子 を定義しているRFC3280に則った方法では、楕円暗号を使った鍵交換プロトコ ルのEC-DHとEC-MQVを識別することができません。そこで、識別のための三つ の手法を比較することになりました。議論はメーリングリストで継続されるこ とになっています。 最後に"Certificates in CRLs"と題してMicrosoftのStefan Stantesson氏によ るindividualドラフト(WGのドラフトではない個人作成のドキュメント)の紹介 が行われました。このドキュメントでは、CRLの中に証明書データを入れてお いて、CRLの署名検証のときに行われるパス構築(検証したい証明書と信頼され たCAまでの間の証明書のツリー構造を作ること)の補助をする仕様が提案され ています。CRLを発行した認証局の鍵が変更されたときなど、そのCRLの署名を 行った鍵を見つける必要がある場合には、RFC4325で定義されているCRL拡張を 使って鍵の識別子を読み出して探す方法があります。しかし検証対象のCRLが 古く、それを発行した認証局の証明書がネットワークを使って得られなかった り、必要な数の証明書を入手するまでに多くのネットワークアクセスを伴う可 能性があります。このドキュメントでは、これらの処理を軽減させるために、 CRL拡張の中に入った証明書データを使うことを提案しています。会場では、 このドキュメントをWGドキュメントとするかどうかについて議論されました が、今後メーリングリストを使って方向性が決められることになりました。 □Internet X.509 Public Key Infrastructure Authority Information Access Certificate Revocation List (CRL) Extension http://www.ietf.org/rfc/rfc4325.txt ◇ ◇ ◇ IETFでは、議論の合理性や方向性などについて真剣に話し合われることがしば しばありますが、セッションの終了後や休憩時間には、まれにユーモラスな遊 び(?)が繰り広げられていることがあります。ある方は、IETFやRIPEミーティ ングなどの国際会議で出会った人々と有名なテレビ番組の人形を一緒に写真に おさめて、Webページにまとめています。光栄なことに私も撮っていただきま した。 □Bert meets the stars http://bert.secret-wg.org/Stars/ この写真を撮ってらっしゃる方は、WGのチェアやIABのメンバなどをされてい て、RIRのミーティングなどでも大変活躍をされている方です。ちなみに写真 のコメント文には、それぞれの方の専門分野をからめたシャレが書かれていま す。私もいつか自分の専門分野についてのコメントをいただけるようになれた らと、密かに思いました。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ わからない用語については、【JPNIC用語集】をご参照ください。 http://www.nic.ad.jp/ja/tech/glossary.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: http://www.nic.ad.jp/member/(PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ =================================== JPNIC News & Views vol.424 【臨時号】 @ 発行 社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F @ 問い合わせ先 jpnic-news@nic.ad.jp =================================== 登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/ ■■◆ @ Japan Network Information Center ■■◆ @ http://www.nic.ad.jp/ ■■ Copyright(C), 2006 Japan Network Information Center