===================================
__
/P▲ ◆ JPNIC News & Views vol.673【臨時号】2009.8.28 ◆
_/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.673 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本号では、vol.667、vol.668、vol.669、vol.670に続き、スウェーデンのス
トックホルムで開催された第75回IETFのレポート[第6弾]として、「セキュリ
ティ関連WG報告」の後編をお届けします。6回にわたりお届けしてきた第75回
IETFレポートですが、本号が最後のレポートとなります。
後編となる本号は、SIDR WGとPKIX WGについてのご報告です。krb WGとtls WG
について、またその他の話題につきましては、以下のバックナンバーをご覧く
ださい。
□第75回IETF報告
○[第1弾] 全体会議報告(vol.667)
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol667.html
○[第2弾] DNS関連WG報告(vol.668)
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol668.html
○[第3弾] IPv6関連WG報告(vol.669)
~6man WG、v6ops WGについて~
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol669.html
○[第4弾] IPv6関連WG報告(vol.670)
~behave WG、softwire WG、homegate bar-BoFについて~
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol670.html
○[第5弾] セキュリティ関連WG報告(vol.672)
~krb WG、tls WGについて~
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol672.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第75回IETF報告 [第6弾] セキュリティ関連WG報告
~SIDR WG、PKIX WGについて~
JPNIC 技術部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本稿では、SIDR WG (Secure Inter-Domain Routing WG)とPKIX WG
(Public-Key Infrastructure (X.509))の動向について報告します。
◆SIDR WG (Secure Inter-Domain Routing WG)
SIDR WGは、インターネットにおける経路制御のセキュリティ・アーキテク
チャについて検討を行っているWGです。まだRFCになったドキュメントはな
く、Internet-Draftの議論が続いています。第75回IETFでは、5日目(7月30日)
の午前9時から2時間半ほどミーティングが行われました。約80名が参加しまし
た。
更新された五つのInternet-Draftのうち四つについては、多くの議論はありま
せんでした。最後の一つについては、二つのプレゼンテーションがありまし
た。
- ROA Format - draft-ietf-sidr-roa-format-04
IPアドレスのprefixに対する経路広告元を指定(authorize)する
データ、Route Origination Authorization(ROA)の形式を定めるも
のです。
会場での確認の結果、ROAにおける署名アルゴリズムは
draft-ietf-sidr-cp-06ではなく、本ドキュメントにまとめて記述さ
れることになりました。
- RPKI Architecture - draft-ietf-sidr-arch-07
リソースPKI(RPKI)の全体像を述べたものです。
会場では、収束していない論点はなく著者としても書き足りないこ
とはないことが説明され、WGメンバーにレビューが依頼されまし
た。
- Certificate Policy - draft-ietf-sidr-cp-06
リソース証明書の発行要件やCPSについて書かれています。
会場では、RFCの分類としてSTD(Internet Standards)ではなく、BCP
(Best Current Practice)としてRFC化を目指すことが確認されまし
た。RIPE NCCのAndrei氏がRIRで本ドキュメントのレビューを働きか
けたため、あらためてNumber Resource Organization(NRO)に確認す
る必要がなくなりました。
- RPSL with RPKI Signatures - draft-ietf-sidr-rpsl-sig-01
リソース証明書を使ってRPSLオブジェクトに電子署名を施す形式を
定めるものです。
会場では、RPSLのオブジェクトに記述されたコンタクト先の情報が
電子署名で担保されるわけではないなど、不明瞭な点があるという
指摘がありました。Routing Policy Specification Security(RPSS)
との関係を記述すべき、という指摘がAPNICのGeoff Huston氏(リ
モート参加)からありました。
以下は、RPKIに関するBGPルータの実装に関する二つのプレゼンテーションで
す。
- BGP Protocol Geekiness
- http://archive.psg.com/090730.sidr-rpki.pdf
BGPルータにおけるRPKIを使ったOrigin ASの検証方式を検討した結
果に関するプレゼンテーションです。
- BGP Prefix Origin Validation
- draft-pmohapat-sidr-pfx-validate-01
BGPルータにおけるROAを使ったOrigin Validationの経路表への適用
方法に関するプレゼンテーションです。
ルータベンダーやISPを交えてレビューが行われています。別の
Internet-Draft(draft-ymbk-rpki-rtr-protocol-04)に基づいてプロ
トタイプの実装が行われていることなどが報告されました。WGの
Internet-DraftにするかどうかはMLで議論することとなりました。
前回のIETF以降、RPKIとROAの用途を明文化するためのInternet-Draft、"Use
Case"がICANNのTerry Manderson氏によって作成されました。このドキュメン
トはROAを使って、(BGPでいうところの)Originを検証する利用ケースを集めた
ものです。MLに引き続いて、BGPではOriginの検証よりもPathの検証の方が効
果的ではないか、という議論がありました。しかし、SIDR WGとしては、
Originの検証なしにはPathの検証に意味がないとされ、WGとしてはこれまで通
りOriginの検証について取り組むことが確認されました。
最後に新たなトピックとして、BBNのStephen Kent氏が"Trust Anchor
Management"についてプレゼンテーションされました。これはRPKIやROAを検証
するRelying Party(RP;電子証明受け取り側)において、トラストアンカーとな
る認証局の処理を工夫し、プライベートアドレスのプリフィクスやプライベー
トネットワークでもRPKIを使えるようにする提案です。アドレスの全域をカ
バーする、IANAにあたるトラストアンカーの証明書を生成し、その証明書の配
下に有効な証明書を配置していくという内容となっていました。
◆PKIX WG (Public-Key Infrastructure (X.509))
PKIX WGは、インターネットのためのPKI技術策定に取り組んでいるWGです。
ミーティングは、4日目の7月29日(水)午後1時から1時間程行われました。参加
者は30名程でした。
前回のIETF以降、RFCになったドキュメントはなく、三つのドキュメントが
IESGのレビュー中です。
- Update for RSAES-OAEP Algorithm Parameters
http://tools.ietf.org/id/draft-ietf-pkix-rfc4055-update-02.txt
Optimal Asymmetric Encryption Paddingという手法を用いたRSAの暗
号化方式を証明書でサポートするためのRFC4055のアップデート版で
す。
- Attribute Certificate Profile - 3281bis
http://tools.ietf.org/id/draft-ietf-pkix-3281update-05.txt
属性証明書(Attribute Certificate)を定めたRFC3281の修正版で
す。
策定内容に主だった変更はないものの、参照先のRFCの番号をアップ
デートするなどのerrata(誤字)を修正しました。
- Traceable Anonymous Certificate
http://tools.ietf.org/id/draft-ietf-pkix-tac-04.txt
証明書のSubject欄に匿名の識別子を入れる方式で、匿名の識別子を
作成する役割を証明書とは別にすることで、特殊な場合でなければ
実際のIDと匿名の証明書とのマッピングができない仕組みを提案し
たドキュメントです。
WGで議論することになっているInternet-Draftは九つあります。このうち七つ
のInternet-Draftについてプレゼンテーションが行われました。
Trust Anchor Management(TAM)は、トラストアンカーである認証局証明書をオ
ンラインで管理できるようにする仕組みで、三つのInternet-Draftが出されて
います。それぞれWG Last Callに近づいています。実装も行われており、
WindowsのCAPIを使ったアプリケーション用のインタフェースを備えたプログ
ラムを、SourceForgeにて公開する予定とのことです。
- 本プロトコルの要件
http://tools.ietf.org/id/draft-ietf-pkix-ta-mgmt-reqs-03.txt
- トラストアンカーストア(格納場所)を転送するプロトコル
http://tools.ietf.org/id/draft-ietf-pkix-tamp-03.txt
- トラストアンカーの表現形式
http://tools.ietf.org/id/draft-ietf-pkix-ta-format-03.txt
OCSP Agility(draft-ietf-pkix-ocspagility-01)は、証明書検証用のオンラ
インプロトコルであるOCSPで、SHA-1以外のハッシュアルゴリズムを使えるよ
うにする提案です。特に議論はなく、何かある場合にはMLで議論されることに
なりました。
Time Stamp Protocol 3161 update(draft-ietf-pkix-rfc3161bis-01)は、
ESSCertIDv2のオプションを追加するための書き直しを行ったものです。
RFC3161bis(RFC3161の後継)とするには、用語を大幅に書き換える必要があ
り、それは適切ではないため、本ドキュメントは先に進めないことになりまし
た。
Certificate Image(draft-ietf-pkix-certimage-00.txt)は、証明書の中に画
像データを入れられるようにする拡張フィールドの提案です。何の証明書であ
るのか、発行元(Issuer)、発行対象(Subject)を示す画像データを入れること
ができ、画像の形式はPDF(Portable Document Format)、SVG(Scalable Vector
Graphics)、PNG(Portable Network Graphics)の三つが提案されています。
最後に、毎回恒例の"Related specifications and Liaison Presentations"
(関連する標準と関連団体のプレゼンテーション)として二つのプレゼンテー
ションが行われました。
- Certificate Information Expression, Stefan Santesson
EUでは、PEPS(ID提供機能の代理機能)において、証明書のID情報を
マッピングする仕組みがあります。認証処理ならばこれで認証情報
の交換が適切にできますが、電子署名を検証する処理の場合は交換
できません。ETSI(欧州電気通信標準化機構)のESI(電子署名および
基盤に関する技術評議委員会)で、証明書にID情報を含める提案が承
認されたため、テクニカルレポートの作成を2009年秋に開始予定で
す。
- Local Management of Trust Anchor for RPKI, Steve Kent
SIDR WGでも提案されている、RPKIのためのRelying Partyにおける
トラストアンカーの処理方式です。全ての範囲が入ったIANAのリ
ソース証明書に代わるRPの証明書を作る方式が提案されています。
会場では、BGPを使った相互接続に関係して、RP毎に証明書のツリー
が変わってしまい、有効とみなされるプリフィクスが異なる可能性
がある、といった懸念が出ていました。
◇ ◇ ◇
5日目のTechnical Plenaryで行われたIRTF報告で、Public Key
Next-Generation Research Group (PKNG)という新しいリサーチグループが設
置されたことが報告されました。PKIXに代わる公開鍵暗号を使った新たな公開
鍵サービスを検討しており、証明書フォーマットやセマンティクスを検討して
いるようです。チェアは、古参で、セキュリティエリアのWGで鋭い洞察力を発
揮しているPaul Hoffman氏です。どのような議論が行われていくのかが楽しみ
です。
Public Key Next-Generation Research Group
http://www.irtf.org/charter?gtype=rg&group=pkng
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
http://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.673 【臨時号】
@ 発行 社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/
■■◆ @ Japan Network Information Center
■■◆ @ http://www.nic.ad.jp/
■■
Copyright(C), 2009 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
- JPNIC会員
