ニュースレターNo.37/2007年11月発行
RIRにおける電子証明書の動向
概要
JPNICでは、インターネットレジストリにおける電子証明書のあり方と動向について調査研究を行っています。電子証明書は、通信相手の認証や電子署名のために使われている技術で、SSLを使ったWebサーバの認証や、SSLを使ってWebサーバにアクセスしているユーザの認証、電子メールや公的認証の電子証明書に使われるなどしています。
RIPE NCCをはじめARINやAPNICでは、LIRのユーザ認証に電子証明書を導入することに加えて、リソース証明書と呼ばれる電子証明書についての検討が進められています。リソース証明書は、IPアドレスの割り振りやAS番号の割り当てを証明し、ひいてはルーティング情報のorigination(発信元)を電子的に証明する仕組みです。RIPE NCC、ARIN、APNICの三つのRIRでは、リソース証明書を発行するプログラムを開発するプロジェクトが立ち上げられ、技術的な評価が行われてきました。
本稿では、第54回RIPEミーティングの参加を通じて見えてきた、RIPE NCCにおける電子証明書の動向について、第19回ARINミーティングの動向を交えながら報告したいと思います。
RIPE NCCにおける認証と電子証明書の動向
RIPE NCCでは、電子証明書を使ったユーザ認証の方式(通称“X509”)が導入されています。これは、RIPE NCCの各種申請用WebページであるLIRPortalへのアクセスの際に、各LIRに対して発行された電子証明書が使われる方式です。RIPE NCCにおけるユーザの認証方式には、他にMD5(長いパスワードが使えるもの)とPGP(PGPの電子署名を使ったもの)があります。なおCRYPT-PW(短いパスワードしか設定できないもの)は、以下のプロジェクトを通じて廃止されました。
- □ CRYPT-PW Deprecation Project
- http://www.ripe.net/db/support/security/crypt-pw_deprecation/
RIPE NCCにおけるリソース証明書関連の活動は、これまではAPNICのプロジェクトに参加する形で進められてきました。しかし第54回RIPEミーティングでの二つの発表によると、現在は「Certification Task Force」と「CertProto」が中心的な活動になりつつあるようです。以下では、この二つの活動について紹介します。
Certification Task Force(以下、CA-TF)は第53回RIPEミーティングにおいて結成されたもので、RIPEコミュニティの中から立候補した6名※1で構成されています。
- □ RIPE Certification Task Force
- http://www.ripe.net/ripe/tf/certification/
設立当初の趣意書によると、以下について評価することが期待されています。
Certification Task Forceに期待されている報告の内容:
- リソース証明書の利便性
- LIRに対する業務面での影響
- リソース証明書サービスの要件
- ポリシーへの影響
- LIRに要求される事項
第54回RIPEミーティングでは、CA-TFの1回目となる報告が行われました。この発表は、Nigel Titley氏によって3日目のNCC Services WGで行われました。発表によると、CA-TFでは下記五つのエリアにわけて調査と議論が行われています。
CA-TFにおける五つの調査・検討エリア:
- ビジネスエリア(ポリシーを含む)
認証と業務上の関連性(エンドユーザやPIアドレスの割り当て先)、ERX※2やRIR間のアドレス資源の移転に関する事項を扱う。 - サービスエリア
公開用の証明書データベースとしての証明書リポジトリやリソース証明書の検証サービスに関する事項を扱う。 - テクニカルエリア
証明書リポジトリのアーキテクチャや性能の影響に関する事項を扱う。 - RIRエリア
信頼点(trust anchors)や導入プランに関する事項を扱う。 - アプリケーションエリア
ルーティングにおけるIPアドレスの認可(authorization)やRPSL※3との互換性、準備の自動化などに関する事項を扱う。
今回は評価の結果や内容については報告されておらず、第55回RIPEミーティングで結果報告が行われることになっています。
CertProtoプロジェクトは、リソース証明書のシステム評価を行うRIPE NCC内部のプロジェクトで、CA-TFと同じ3日目のNCC Services WGにおいて、RIPE NCCのHenk Uljterwaal氏によって活動内容が紹介されました。CertProtoプロジェクトは2007年1月頃に始められたもので、CA-TFの活動促進とRIPE NCC内部でのリソース証明書についての理解を深めることを目的としています。活動の一環として、プロトタイプシステムの構築や、業務プロセスの仮構築が行われています。プロジェクトメンバーは、RIPE NCCの各部から選ばれたスタッフで構成されています。
CertProtoプロジェクトの注目すべきところは、本番用のシステム開発を行う前に試験利用のためのシステムを開発し、このシステムを使うことで、スタッフがリソース証明書の業務プロセスを理解する工程が入っている点です。これによって、RIPE NCCでリソース証明書のサービスを行う場合に、業務を変更するための課題や、シナリオを具体化しやすくなると考えられます。これまでのAPNICやARINの活動状況を見る限り、このような活動はRIPE NCCでしか行われていません。
今後このプロジェクトでは、費用面の検討等が行われた後、9月に調査結果が公開されることになっています。
ARINにおける認証と電子証明書の動向
RIPE NCCと同様に、ARINでもLIRの認証に電子証明書が使われています。一方、ARINにおけるリソース証明書の検討は、現在はクローズドなミーティングで進められています。6月頃までに利用技術等を定めたシステムデザインを進め、その後に本格的な開発が行われていく模様です。
LIRの認証については、ARINにおける認証方式に関する章を、NRPM※4に新たに設ける提案について、第19回ARINミーティングで議論されていました。以下の三つが関連する提案です。
- □ Policy Proposal 2007-1: Reinstatement of PGP Authentication Method
- ARINではmail-fromとX.509の2種類の認証方式しか選べないが、これにPGPを使って署名するcrypt-authを加える提案(InterNIC時代にはPGPを使うことができた)。以下の2007-2と2007-3の内容と一緒に、NRPMへの追加を行う。
- □ Policy Proposal 2007-2: Documentation of the Mail-From Authentication Method
- NRPMに12章を追加し、現行の認証方式にmail-from、X.509の方式があることを明文化する提案。記述中でmail-fromは推奨されない点が補足される。
- □ Policy Proposal 2007-3: Documentation of the X.509 Authentication Method
- NRPMに追加される12章に、X.509の方式が選べることを記述する提案。
いずれもPaul Vixie氏、Mark Kosters氏ら5名による提案です。会場での挙手の結果、賛成意見の方が40名以上いて、反対意見の方はいませんでした。現在はBoard of Trusteesによる議論が行われている段階にあります。※5
「2007-3 “Documentation of the X.509 Authentication Method”」の提案については、会場で興味深い議論がありました。X.509の認証方式で、他のRIRの電子証明書を使えるようにすべきかどうかという議論です。提案の趣旨からは外れますが、もしこれが実現すると、RIPE NCCにおけるLIRの電子証明書やAPNICにおけるメンバーの電子証明書を、ARINにおける各種申請業務で使えることになります。複数にわたるRIRからIPアドレスの割り振りを受けていたり、他地域のASでIPアドレスが使われていたりするLIRの利便性が上がるかもしれません。
RFC3779によると、リソース証明書はSecure BGP等のルーティングプロトコルで使われることが想定されています。しかし、これを実現するには、各RIRで発行されるリソース証明書の相互運用性が必要です。IETFのSIDR WGでは、リソース証明書を発行する認証局の証明書発行条件等を明確化するためのCPS(Certification Practice Statement)のテンプレート作りが行われており、電子証明書の相互運用性に向けた足がかりが探られつつあります。
IPv4の在庫枯渇期には、自分の組織に割り振られたIPアドレスが、他のASによって経路広告されてしまい、インターネットとの接続性が第三者に奪われてしまったり、不正なIPアドレスの使用を通じて、不正アクセスの温床が作られたりしてしまう危険性が増すかもしれません。RIPE NCCやARIN、APNICで検討されているリソース証明書は、このような不正行為の影響を避けることが可能になる技術ですが、実現性や効果はまだ明らかになっていません。効果や業務面の検討を進め、実効性のある対策が取れる状況を作ることが、RIRにとって重要になってくると考えられます。
(JPNIC 技術部 木村泰司)
- ※1 2007年8月現在で7名になっています。
- ※2 ERX(Early Registration Transfer project)
- 過去にInterNICにより割り当てられ、その後ARINが管理を引き継いだIPアドレスやAS番号のうち、現在、他のRIRs地域への割り当て分について、管理元を現在の適切なRIRへ移管するプロジェクトです。
- ※3 RPSL(Routing Policy Specification Language)
- RFC2280で定義されるルーティングポリシーを記述するための言語で、ネットワークオペレータはこの記述を用いることにより、さまざまな階層においてポリシーを定義することができます。
RFC2280 “Routing Policy Specification Language (RPSL)”
http://www.ietf.org/rfc/rfc2280.txt - ※4 NRPM(Number Resource Policy Manual)
- ARINにおけるポリシーを一つの文書としてまとめたもので、ポリシーに関する議論は主にこの文案を基にして行われ、ポリシー変更の際もこの文書を変更する形で変更が行われます。
- ※5 議論の結果、これらの三つの提案はポリシーとはなりませんでしたが、ARINにおいて、各々の認証機能について実装とマニュアル類の整備が行われることになりました。特にPGPの実装が急がれるとされています。