1997/12/22 運営委員会 資料 4-2 運営委員会資料 1997年12月22日 運営委員長 佐野 晋 国内のPGPキーサーバの運用取りまとめを行っている,鈴木氏より,運営委 員長に対して以下のような提案がありましたので,審議をお願いいたします. ====================================================================== Subject: JPNICでのPGP Public Key Server実験運用の提案 AUTHOR: 鈴木裕信 (ソフトウェア・コンサルタント) E-Mail: hironobu@h2np.suginami.tokyo.jp 0. 本提案書に関して PGPは、インターネット上での暗号ツールのデファクトスタンダードである。 PGPを効果的に使用するためには、Public Key Server(公開鍵サーバ)が必要で ある。 日本国内におけるPGPユーザの公開鍵交換をスムーズに行なう支援を行ないイ ンターネットでのセキュリティ、特に日本におけるインターネットでのセキュ リティに寄与するために、JPNICにてPGP Public Key Server実験運用を行なう ことを提案する。 本提案書は以下の内容である。 0. 本提案書に関して 1. はじめに 1.1 PGPとは 1.1.1 今後のPGP 1.2 PGP Public Key Serverとは 1.2.1 PGP-PKSのバーションの違い 1.2.2 日本国内でのPGP-PKSの運用実績 2. JPNICでの鍵サーバ実験運用の意義 2.1 実験という名目の意義 3. 実験運用計画 1 はじめに 1.1 PGPとは PGPはPhilip Zimmermann が作成したプログラムを出発点とする暗号化/電子 署名が行えるツールである。公開鍵暗号、慣用暗号のどちらの機能も持ってい る。インターネット上で安全な情報交換を行うツールとして用いられ、事実上 の標準になっている。 現在は、PGPのバージョンは5.xとなり、商用、非商用(以降パブリック版と 呼ぶ)の2つが存在している。さらにパブリックのPGPには輸出規制上の問題 によりZimmermannの指揮の元、PGP, Incで作成し保守を行っている米国内用と、 PGP Inc社が出版した同じソースコードを利用し米国外の暗号輸出規制が存在 しない国でコード化し、配布を行なっている国際版との2種類ある。 1.1.1 今後のPGP 現在、PGPは、OpenPGPという形でietfでのRFC化作業が行なわれている最中で ある。今後は、Zimmermann(PGP Inc)だけではなく、RFCを元に、多くのパブ リック・ドメイン・ソフト作成者や、企業が作成していくものと考えられる。 1.2 PGP Public Key Serverとは PGP Public Key Server (以下PGP-PKSとする)とは、PGPの公開鍵をユーザ間 で交換するためのサーバーで世界各地でボランティアによって運営されている (現在20~30サイト程度と考えられる)。PGP-PKSは同期メカニズムを持っており 世界各地に散らばる中心的な役割を果しているPGP-PKSは同期している。従っ て、ユーザは世界中のどこかのPKSに登録されれば、自動的に世界中のPGP-PKS に反映される。 ただし、PGP-PKSはユーザが公開鍵を交換する中継点として利用することを目 的としており、その公開鍵が本当に正しい公開鍵なのかを保証しているわけで はない。その点では、PGP-PKS認証局(CA:Certificate Authority)とは位置付 けが異なる。一般に認証局とは、公開鍵の認証(正しいということを保障する) を前提としているからである。 現在ICAT.OR.JP(1.2.2節参照)で運用されているPGP-PKSは現在約48000程度の 公開鍵が登録されており、毎日、数十~数百の新たな登録が行われている。 1.2.1 PGP-PKSのバーションの違い PGP-PKSは、2つのバージョンが存在する。1つは、古いPGP2.6.x時代に作ら れた効率の悪いバージョン(ここではPerlバージョンと呼ぶ)。もう1つは、新 しいPGP5.xをサポートし、独自の鍵データベース(ハッシュテーブル)を持ち、 かつTCP/IPベースのプロトコルで直接PGPからアクセスできるバージョンがあ る(ここではpksdと呼ぶ)。 前者のPerlバージョンは安定しているが、新しいPGP5.xバージョンに対応し ていない。また、直接PGPとネットワークコネクションを持つことはできない。 後者のpksdは、まだ新しいバージョンなのでプログラムが安定していないとい う問題がある。したがって、その分、メンテナンスの手間がかかる。 既に一般の利用者はPGP5.xが主流になっているので、PGP-PKSを運用している サイトでは、perlバージョンからpksdへと移行している最中である。また、世 界での主要なサイト(MIT、OXなど)は、pksdへ既に移行終了している。 ICAT.OR.JPでは、perlバージョンからpksdへと移行する作業を行なっている 最中である。 1.2.2 日本国内でのPGP-PKSの運用実績 日本国内のPGP-PKSは、1994年4月11日から一般に公開されている。この日付は、 MITのPGP-PKSのボランティア管理者に同期を願い出て、実際に連動し始めた日 である。 pgp-public-keys@ext221.sra.co.jp Hironobu Suzuki <hironobu@sra.co.jp> FTP: None Verified: 11-Apr-94 その後、運用者(本提案書著者)が、1996年7月7日付でSRA.CO.JPを離れるこ とにより、そのタイミングで、ICAT.OR.JPに移動した。 ICAT.OR.JPから同期を取っている日本国内の他PGP-PKSは以下の通りである。 pgp-public-keys@nets.ce.hiroshima-cu.ac.jp pgp-public-keys@chem.sci.osaka-u.ac.jp ICAT.OR.JPは、諸般の事情により98年3月を持って停止する予定である。 2. JPNICでの鍵サーバ実験運用の意義 広域ネットワーク上で不特定多数が使う公開鍵システムには、認証局が必要 である。既に実験CAや商用CAが存在している。 ・認証実証協議会(URL: http://www.icat.or.jp) ・日本ベリサイン社 (URL: http://www.verisign.com) 一方、実験/商用CAとしてではなく、PGP-PKSのようなインターネット上でPGP を利用しているユーザのインフラをサポートするために公開鍵を交換するため のサーバが必要であるという現状があり、また、そのために世界中のあちこち でボランティアがPGP-PKSを運用している。このような努力により、インター ネット上でPGPが、さらに便利に使えることになる。 世界的にPGP-PKSが増えていく現状で、なるべく日本国内のPGP-PKSはグルー プ化し、他の国のPKSボランティアに負荷をかけないようにする配慮が必要だ からである。したがって、日本国内では、JPNICのような国内でインターネッ ト普及のためのイニチアチブを取る組織が中心となって国内で同期する PGP-PKSを国内に配送することが望ましい。 2.1 実験という名目の意義 PGP-PKSは、PGPの公開鍵をプールしておくだけなので、そこに何の保障もな いのは前記の通りである。また、サービスが安定して続けられるかという保障 もない。外部への利用者に対して、PGP-PKSの運用は、努力目標以上のものは 約束はできない。そのような状況で、運用という名目は不適切であり、ステー タスは、実験以上のものには成り得ないと考える。 3. 実験運用計画 箇条書にまとめると以下の通りである。 1) JPNICドメイン上のマシンを利用する。実験のためとセキュリティ確保 のため、通常の業務に使用されるマシンとの共存は難しい。従って独立の マシンが望ましい。 1-1)ハードウェア・スペック(いずれか) * IBM-PC互換 CPU: Pentium II 300Mhz メモリ: 64Mbyte以上 ディスク: 2Gbyte以上(インタフェースはSCSI-2以上) 周辺装置: CD-R 装置(CD読み込みかつバックアップ用) ネットワーク接続可能であること * 1-2で指定するいずれかOSが動作し、上記ハードウェア と同等レベルのパフォーマンスが出るもの。 注)今後のPGP-PKSへのアクセス数増加とJPNICという知名度による アクセス数増加を見込んでいるスペックである。 1-2)オペレーティングシステム・スペック(いずれか) * Linux * FreeBSD * Mklinux 2) PGP-PKSのサービスを行う。サーバは、最新のpksdを使用する。 2-1) JPNIC PGP-PKSは、オックスフォード大(OX)とMIT(MIT)の PGP-PKSと連動を取る。 2-2) pgp-public-keys@jpnic.ad.jpでのメールを介しての 公開鍵の登録/検索サービス 2-3) URL: http://pgp.jpnic.ad.jpを介してのWWWを介しての 公開鍵の登録/検索サービス 2-4) URL: hkp://pgp.jpnic.ad.jpを介してのPGP5.xからの公開鍵 の登録/検索サービス 2-5) 他の新規PGP-PKSサイトへの同期(もしあれば) 2-5)の場合、もし日本国内に新規のPGP-PKSサイトができ、かつ要求があれば、 そこのサイトと JPNICと同期させる。この場合、OXやMITへの国内ゲートウェ イとして JPNICのサーバが使われる。 以上 ------- End of Forwarded Message