メインコンテンツへスキップ
トップページ > JPNICライブラリ > ニュースレター > バックナンバーオンライン版 > No.45
現在、マイクロソフト セキュリティ情報 MS10-090のパッチを適用したInternet Explorer 8をお使いの方は、 JPNIC Webサイトの内容が印刷できない状態になっています。 印刷をする場合には、 Internet Explorer 8以外のブラウザを利用してください。
この不具合の詳細と、その対処方法については、 マイクロソフトのWebサイトに掲載されている以下の技術情報をご覧いただくか、 マイクロソフトのサポートセンターにお問い合わせください。
 マイクロソフトの技術情報

ニュースレターNo.45/2010年7月発行

第77回IETF報告 セキュリティ関連WG報告

セキュリティ領域においては、数多くのWGが開催されているため、それらすべてのセッションの内容を把握することが困難な状況です。そこで本稿では、会期中に議論されたセキュリティに関連したセッションの中から、認証や通信に特化した内容を議論するWGでの話題を中心に紹介することとして、IPSECME WG(IP Security Maintenance and Extensions WG)およびKRBWG(Kerberos WG)の動向について報告します。

IP SECME WG(IP Security Maintenance and Extensions WG)

IPSEC WGの後継として、2005年に同WGがクローズした後、必要になった拡張や既存ドキュメントの明確化などの議論を行うためのWGです。今回このミーティングは、2010年3月22日の午前9時から1時間半程度開催されました。参加者は、50人程度でした。

IPSECME WGにおいて、今回のIETFまでにRFCとして発行されたドキュメントや、RFCとして発行される直前のドキュメントを示します。

<RFCとして発行されたドキュメント>

RFC 5658:
Redirect Mechanism for the Internet Key Exchange
Protocol Version 2(IKEv2)
ノードからIPsecでの接続を他ノードへリダイレクトするための、IKEv2における拡張仕様を規定するドキュメントです。
RFC 5723:
Internet Key Exchange Protocol Version 2(IKEv2)
Session Resumption
現状のIKEv2では、VPN接続をサスペンドした後に、その接続を再開する際、IKEv2ネゴシエーションを再度実行する必要があり、ノードやVPNゲートウェイの負荷を増加させてしまう問題がありました。この問題を解決するために、最初のIKEv2認証完了時にチケットを発行することで再接続を簡略化するための拡張仕様を規定するドキュメントです。
RFC 5739:
IPv6 Configuration in Internet Key Exchange Protocol
Version 2(IKEv2)
RFC 4306では、IPv4のためのConfiguration payloadは規定されていますが、IPv6での機能を利用するまでには至りませんでした。このドキュメントでは、IPv6のために新規でConfiguration attributeを規定しています。

<RFCとして発行される直前のドキュメント>

また、今回議論された検討項目は、以下の通りです。

今回のミーティングにおいて、現在WGとして扱っている検討項目がRFC化され、完了フェーズに入りました。そのため、新規の項目として今回議論された中から、IPsec HA、EAP-only authentication、PAKE authenticationの3項目がWGとしての検討項目に選定され、IPSECME WGのマイルストーンへ反映されました。

なお、詳細な情報やI-Dなどについてご興味がありましたら、以下のURLをご参照ください。

□IPSECME WG
http://www.ietf.org/dyn/wg/charter/ipsecme-charter.html

□第77回IETF IPSECME WGのアジェンダ
http://www.ietf.org/proceedings/10mar/agenda/ipsecme.txt

KRB WG(Kerberos WG)

KRB WGは、マサチューセッツ工科大学(MIT)が考案した、認証方式の一つであるKerberosプロトコルに関する新規仕様や機能拡張について、検討を行うWGです。このミーティングは、2010年3月24日の午後1時から2時間程度開催されました。なお、参加者は、30人程度でした。

<検討項目に関するドキュメントの状況>

KRB WGでの検討項目に関するドキュメントの状況は、次の通りです。

<失効ステータスI-D>

上記のI-Dについては、どちらもKRB WGでの検討項目ですが、失効しているステータスです。これらのような失効しているI-Dも、新たに更新版をアップロードすることで、ドキュメントのステータスをアクティブな状態に変更することができ、これにより他の議題と同様に議論を行うことができます。

Additional Kerberos Naming Constraintsについては、ドキュメントに存在している問題は解決されているため、最新版の投稿が行われるのを待つという状態であり、また、Anonymity Support for Kerberosは、いくつかの修正が残っている状況です。

<Last Call中の検討項目>

KRB WGでLast Callを行っている検討項目として、次の項目がありました。

<新規の検討項目>

KRB WGにおける新規の検討項目として、以下の議題について議論を行いました。

この検討項目の中で、個人的に注目しているのは、Deprecate DES support for Kerberosです。その理由としては、暗号アルゴリズムの危殆化対策(暗号技術の世代交代)の対象アルゴリズムである、DES暗号の利用停止を行うために、WGとして検討が行われていることが挙げられます。暗号アルゴリズムを利用するプロトコルの危殆化対策を推進していくことは、プロトコルが利用している暗号アルゴリズムの安全性について強く意識することであり、利用者や実装者への注意喚起を促すのに良い機会にもなります。そのため、このような検討は多くのセキュリティ関連のプロトコルでも、積極的に行われてほしいと考えています。

<今後の検討項>

今後のKRB WGとしての検討項目について議論しました。議題は、以下の通りです。

ここでは、上記の中から議論が盛り上がった話題について報告します。それは、NTT社とMIT Kerberos Consortiumの共同により提案が行われた「Kerberos 5プロトコルにおいて、日本で開発されたCamellia暗号をCTS(Cipher Text Stealing)モードで利用するための仕様提案」についてです。現状のKRB WGにおいて、新規暗号アルゴリズムを追加することが、検討項目になっていないため、本提案をどのように扱うべきか議論が行われました。

結果的には、KRB WGにおける検討項目にはなりませんでしたが、Individual draftとして有識者のレビューを行うことになりました。この議論に関係した話題として、Kerberos 5プロトコルで利用する暗号モードとして、GCMモード(Galois Counter Mode)やCCM(Counter with CBC-MAC)モードに関する話題も検討される流れになっていました。

□KRB WG
http://www.ietf.org/dyn/wg/charter/krb-wg-charter.html

□第77回 IETF KRB WGのアジェンダ
http://www.ietf.org/proceedings/10mar/agenda/krb-wg.txt

(NTTソフトウェア株式会社 菅野哲)

このページを評価してください
このWebページは役に立ちましたか?
役に立った。
役に立たなかった。
どちらとも言えない。

ページの改良点等がございましたら自由にご記入ください。
  • このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、 お問い合わせ先 をご利用ください。
  • 文中でのHTMLタグ使用はご遠慮ください。
ページトップへ