| 文書管理情報 | |
|---|---|
| 文書番号 | JPNIC-01303 |
| 文書名 | オブジェクト登録時の認証方法について |
| 発効日 | 2024/3/18 |
| 最終更新日 | 2024/2/15 |
| この文書によって無効となる文書 | JPNIC-01049 |
| この文書を無効とする文書 | なし |
オブジェクト登録時の認証方法について
一般社団法人日本ネットワークインフォメーションセンター
本文書について
本文書は、 一般社団法人日本ネットワークインフォメーションセンター(以下「JPNIC」という)の管理・運用する経路情報データベース(IRR (Internet Routing Registryの略))(以下「JPIRR」という)に対して、 CRYPTパスワードまたはPGP鍵を利用してオブジェクト登録を行うための技術的な手順を解説したものです。
目次
1. CRYPTパスワード(暗号化パスワード)
1.1. CRYPTパスワードとして利用する文字列の暗号化
1.2. 認証情報の変更
1.3. CRYPTパスワードによるオブジェクトの登録・変更
2. PGP鍵
2.1 GPGソフトウェアによるPGP鍵の作成
2.1.1 GnuPGのインストール
2.1.2 PGP鍵の作成方法
2.1.2.1 PGP鍵の作成
2.1.2.2 鍵のバックアップ
2.1.2.3 破棄証明書の作成(オプション)
2.1.2.4 鍵IDの取得
2.1.2.5 公開鍵の展開
2.1.3. PGP鍵Key-cert オブジェクトの作成方法
2.1.3.1 Key-cert オブジェクトの構築
2.1.3.2 Maintainer オブジェクトの更新
2.1.4. PGP認証の利用方法
3. その他
3.1. 免責事項
3.2. 著作権・商標について
1. CRYPTパスワード(暗号化パスワード)
1.1. CRYPTパスワードとして利用する文字列の暗号化
CRYPTパスワードを利用する文字列は、 以下のwebページを利用して暗号化してください。
- 『JPIRR CRYPT-PW Generator』
- https://jpirr.nic.ad.jp/crypt_gen_web.html
1.2. 認証情報の変更
CRYPTパスワードを利用して認証を行うためには、 Maintainer オブジェクト中で、 authより始まる項目の登録内容を変更する必要があります。 CRYPTパスワードによる認証の場合には、項目名、認証方法、 1.1 により作成された暗号化後の文字列、の順に記入します。
変更の際には、既に登録されているパスワードもしくは、 Maintainerオブジェクトの新規登録時にJPNICから発行されたパスワードを利用してください。 変更方法の詳細については、以下の文書に従って行ってください。
- 『JPIRRでのオブジェクト登録について』
(2. Maintainer オブジェクトの仮パスワードの変更) - https://www.nic.ad.jp/doc/irr-registration.html#2
1.3. CRYPTパスワードによるオブジェクトの登録・変更
CRYPTパスワードを利用して認証を行うためには、 1.1. で暗号化を行う前の文字列を、 各登録フォームでpasswordより始まる項目に記入する必要があります。 変更方法の詳細については、以下の文書に従って行ってください。
- 『JPIRRでのオブジェクト登録について』
- https://www.nic.ad.jp/doc/irr-registration.html
2. PGP鍵
2.1 GPGソフトウェアによるPGP鍵の作成
2.1.1 GnuPGのインストール
あらかじめ、 GnuPGの配布元のダウンロードページよりそれぞれの環境にあった最新のファイルをダウンロードしてください。 パッケージに含まれるREADMEファイルなどに目を通した上でインストールしてください。 GnuPGをインストール済みの方はこの作業を行う必要はありません。
下記の例では、Windowsバイナリ版のGNU Privacy Guard (GnuPG)を利用します。 GnuPGについては以下のURLをご覧ください。
- GNU Privacy Guard (GnuPG 配布元)
- https://www.gnupg.org/
2.1.2 PGP鍵の作成方法
2.1.2.1 PGP鍵の作成
コマンドプロンプトまたはシェルを起動し、 以下のコマンドを入力します。
% gpg --gen-key
gpg (GnuPG) 1.4.10
Copyright (C) 2008 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection? 1
2を選択してください。 4を選択し鍵を作成しても登録できません。
DSA keys may be between 1024 and 3072 bits long.
What keysize do you want? (2048)
ここでは鍵のサイズを指定します。 最大3072ビットで、長い方が安全とされています。
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0) 2y
ここでは鍵の有効期限を指定します。 期限なしにしたい場合は0(ゼロ)を指定します。 本例では2年としました。
Key is valid for? (0) 2y
Key expires at Fri Jan 17 14:03:25 2025 JST
Is this correct (y/n)? y
確認後、yを入力して確定します。
次に名前と電子メールアドレスを入力します。 括弧の中はニックネームで、 空欄でも構いません。
You need a User-ID to identify your key; the software constructs the
user id from Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: JPNIC Taro
Email address: taro@example.jp
Comment: NIC
You selected this USER-ID:
"JPNIC Taro (NIC) <taro@example.jp>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
確認して上記内容でよければO(オー)を入力します。
次に、秘密鍵を守るためのパスフレーズを設定します。 パスフレーズは長さに制限はなく、 なるべく長く設定してください。
Enter passphrase: **************
確認のためもう一度聞いてくるのでパスフレーズを再度入力してください。
Repeat passphrase: **************
鍵が長いと生成にしばらく時間がかかる場合があります。
We need to generate a lot of random bytes. It is a good idea to
perform some other action (type on the keyboard, move the mouse,
utilize the disks) during the prime generation; this gives the
random number generator a better chance to gain enough entropy.
++++++++++..+++++++++++++++.+++++.+++++++++++++++.+++++.++++++++++++
++++++++++++++++.+++++++++++++++++++++++++..+++++.++++++++++..+++...
.....................>..+++++..........+++++
public and secret key created and signed.
key marked as ultimately trusted.
pub 2048D/BEC2344F 2023-01-18 [expires: 2025-01-17]
Key fingerprint = 6B07 AA24 6DD2 4024 170F 2C79 B0F9 097F BEC2 344F
uid JPNIC Taro (NIC) <taro@example.jp>
sub 2048g/6B361CFE 2023-01-18 [expires: 2025-01-17]
鍵の作成が終わると以上のように表示されます。
2.1.2.2 鍵のバックアップ
秘密鍵を紛失すると本文書で説明している手順を最初からやり直す必要があるため、 CD-Rなどのメディアに鍵ペアをバックアップすることをお勧めします。 その際、 バックアップメディアおよびパスフレーズは厳重に管理してください。
2.1.2.3 破棄証明書の作成(オプション)
秘密鍵が漏洩した場合に備えて破棄証明書を作成し一緒に保存しておきます。 GnuPGはPGPと違い、破棄証明書をインポートするまでは、 鍵を破棄したことにはならないため、 事前に作成しておく必要があります。 コマンドプロンプトより、以下のように入力します。 2.1.2.1 で作成した鍵IDもあわせて入力します。
%gpg --gen-revoke BEC2344F
sec 2048D/BEC2344F 2023-01-18 JPNIC Taro (NIC) <taro@example.jp>
Create a revocation certificate for this key? y
Please select the reason for the revocation:
0 = No reason specified
1 = Key has been compromised
2 = Key is superseded
3 = Key is no longer used
Q = Cancel
(Probably you want to select 1 here)
Your decision? 0
Enter an optional description; end it with an empty line:
> Make revocation certificate in advance in case if lost
>
Reason for revocation: No reason specified
Make revocation certificate in advance in case if lost
Is this okay? y
You need a passphrase to unlock the secret key for
user: "JPNIC Taro (NIC) <taro@example.jp>"
2048-bit DSA key, ID BEC2344F, created 2023-01-18
Enter passphrase: ******
Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable. But have some caution: The print
system of your machine might store the data and make it available to
others!
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: A revocation certificate should follow
iGEEIBEIAAkFAmPHgOQCHQAACgkQsPkJf77CNE/cjwEAlMFwsEVOax3p6cCDahRH
Hg7bw+6Xa/BNHj0kHUUJ33gA/21kqUDsgXMyE0NZaDJ3MKL2rzuE8ML4c4uAIC3+
2SJx
=aKAr
-----END PGP PUBLIC KEY BLOCK-----
-----BEGIN PGP PUBLIC KEY BLOCK-----
と
-----END PGP PUBLIC KEY BLOCK-----
で囲まれた文字列が破棄証明書です。
メディアにバックアップし、
印刷をしておくことをお勧めいたします。
破棄証明書が盗まれた場合、
勝手に鍵を破棄される可能性があるのでこちらも厳重に管理する必要があります。
2.1.2.4 鍵IDの取得
2.1.2.1での結果表示より、 またはコマンドプロンプトより、以下のように入力して、 作成した公開鍵のIDを確認します。 IDは16進数で表示されます。
% gpg --list-keys上記コマンドの結果は以下のようになります。
pub 2048D/BEC2344F 2023-01-18 [expires: 2025-01-17]
uid JPNIC Taro (NIC) <taro@example.jp>
sub 2048g/6B361CFE 2023-01-18 [expires: 202
上記例では、鍵IDは'BEC2344F'となります。
2.1.2.5 公開鍵の展開
以下のコマンドにより公開鍵をテキストファイルとして保存します。 --exportオプションの後の文字列は 2.1.2.1 で取得した鍵IDが入ります。
% gpg -a --export BEC2344F > BEC2344F.asc
作成されたファイルの内容は以下の通りです。
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)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=r8CG
-----END PGP PUBLIC KEY BLOCK-----
2.1.3. Key-cert オブジェクトの作成方法
2.1.3.1 Key-cert オブジェクトの構築
Key-cert オブジェクトも、 他のオブジェクトと同じように作成します。 method、owner、 fingerprの各項目は定義されていないことに注意してください。 これらの属性は、IRRソフトウエアで自動生成されるため、 項目名も取り除いてください。
certifの項目中のすべての行頭には+(半角のプラス記号)が必要です。 あらかじめ、テキストエディタで編集して下さい。 2.1.2.5 で作成した公開鍵を以下のように編集します。 内容に問題がないことを確認した後に、 JPIRRにこのオブジェクトを登録してください。
key-cert: PGPKEY-BEC2344F
certif:
+-----BEGIN PGP PUBLIC KEY BLOCK-----
+Version: GnuPG v1.4.10 (GNU/Linux)
+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mnt-by: MAINT-TAROU
changed: tarou@nic.ad.jp 20230118
source: JPIRR
他のオブジェクトと同様に、 本文に上記の内容を記入した電子メールを auto-dbm@nic.ad.jp へ送信します。 key-certオブジェクトの登録が完了すると、 その旨が通知されます。
2.1.3.2 Maintainer オブジェクトの更新
key-cert オブジェクトからPGP Keyを使ってPGP認証を利用するためにMaintainer オブジェクトにkey-cert オブジェクトの名称を追加してください。 以下は登録例を示します。
mntner: MAINT-TAROU
descr: Illustrate PGP authenticaion
admin-c: Jyeipinikku Tarou
tech-c: Jyeipinikku Tarou
upd-to: tarou@nic.ad.jp
mnt-nfy: tarou@nic.ad.jp
auth: CRYPT-PW pfrutahVELjzI
auth: PGPKEY-BEC2344F
mnt-by: MAINT-TAROU
changed: tarou@nic.ad.jp 20230118
source: JPIRR
2.1.3.2 の登録が終われば、 オブジェクトの登録・更新の際にPGPを利用できるようになります。
セキュリティを強固にするため、 PGP鍵によるオブジェクトの登録が行えることを確認した後に、 Maintainer オブジェクトからCRYPTパスワードの設定を削除するとよいでしょう。
2.1.4. PGP認証の利用方法
PGP/GPGプラグインをサポートしているメールソフトを利用している場合は、 そのメーラーのマニュアルに従ってください。 ここでは、GnuPGを利用した場合の送信方法を説明します。
まず、申請書を作成し、テキスト形式で保存します。 次に下記のコマンドを入力して署名を行います。 その際には、パスフレーズの入力を求められます。
% gpg --clearsign irr-apply-data.txt上記の例では、 irr-apply-data.ascというファイル名で署名したテキストファイルが作成されます。 このファイルを開き、 その内容をメールソフトの本文に貼り付けます。 このメールを送信すればPGP認証による申請を行うことができます。
3. その他
3.1. 免責事項
- このサービスに関する動作仕様は今後変更される場合があります。 最新の情報については本文書をご参照ください。
- 暗号化申請は申請者の責任において行ってください。 JPNICでは暗号化申請を行うための負担や責任は負いかねます。
- 緊急を要するやむをえない状況においては、 事前の予告なくサービスの一部またはすべてを制限する場合があります。
- JPNICは、 この文書の内容について万全を期して作成しておりますが、 この文書の中に誤りまたは脱漏があり、その結果、 損害が生じた場合でも、 JPNICはいかなる責任も負いません。
- 暗号技術の問題によって、 損害が生じた場合でもJPNICはいかなる責任も負いません。
3.2. 著作権・商標について
本文書の著作権は一般社団法人日本ネットワークインフォメーションセンターに帰属し、 著作権関連諸権利はすべてJPNICにあります。 また、本文書に記載されているシステム名、製品名等は、 一般に各開発メーカーの登録商標あるいは商標です。 なお、本文中では(TM)、(R)マークは明記しておりません。
以上
