メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲        ◆ JPNIC News & Views vol.317【臨時号】 2005.12.16 ◆
  _/NIC
===================================
--------- PR ---------------------------------------------------------
┏ さらに進む日本語JPドメイン名対応 ━━━━━━━━━━━━━━━━┓
┃     PCブラウザ … IE7 プレリリース版、来年3月にリリース予定!    ┃
┃     携帯電話   … auに続きWILLCOMでも対応機種(WX310SA)が登場     ┃
┃     最新情報   … http://日本語.jp ( http://nihongojp.jp/ )      ┃
┗━━━━━━━━━━━━━━ 株式会社日本レジストリサービス(JPRS) ┛
----------------------------------------------------------------------

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.317 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、第64回IETF報告[第5弾]セキュリティ関連WG報告をお届けします。

Vol.310から始まった本特集ですが、本号で終結です。これまでのレポートに
ついては、以下のWebページよりご覧いただけますので、また振り返ってじっ
くりお読みください。

□第64回IETF報告 特集
○[第1弾] 全体会議報告 (vol.310)
   http://www.nic.ad.jp/ja/mailmagazine/backnumber/2005/vol310.html
○[第2弾] DNS関連WG報告 (vol.311)
   http://www.nic.ad.jp/ja/mailmagazine/backnumber/2005/vol311.html
○[第3弾] IPv6関連WG報告 (vol.312)
   http://www.nic.ad.jp/ja/mailmagazine/backnumber/2005/vol312.html
○[第4弾]  ENUM/CRISP関連WG報告 (vol.315)
   http://www.nic.ad.jp/ja/mailmagazine/backnumber/2005/vol315.html


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第64回IETF報告 [第5弾]  セキュリティ関連WG報告
                                                 JPNIC 技術部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

第64回IETFでは、セキュリティエリアのセッションが合計で18行われました。
このうちBoFはDKIM BoF(*1)とEMU BoF(*2)の二つでした。DKIM BoFによって、
2004年秋のMARID WGのクローズ以降、迷惑メール対策になる技術に関するIETF 
の活動が再度始まったと言えます。またセキュリティエリアではありませんが、
セキュリティに関連してSIDR BoFが開かれていました。

本稿では、SIDR BoFとPKIX WG、IEPGでのAS番号の枯渇と電子証明書に関する
話題などについて報告致します。

◆SIDR BoF (Secure Inter-Domain Routing BoF)
  
これまでRPSEC WGにおいて、インターネットにおけるルーティングの仕組みに
ついて安全上の要件をまとめる作業が行われてきました。

 "Generic Threats to Routing Protocols"
   draft-ietf-rpsec-routing-threats-07.txt
  ルーティング・プロトコルに対する脅威を、原因・可能性・脅威となる挙動・
  その結果といった形でまとめたもの。

 "BGP Security Requirements"
 draft-ietf-rpsec-bgpsecrec-03.txt
  ルーティング情報の交換プロトコルであるBGP(Border Gateway Protocol) 
 を安全にするための要件(requirements)についてまとめたもの。ピア関係や
  BGPスピーカー同士、交換される経路情報の認証など複数のポイントについて
  まとめてある。

これらのドキュメントを通じてルーティングの安全性に関する認識が共有でき
るようになってきたことから、このBoFは論点を先に移して、ドメイン間ルー
ティングのセキュリティ・アーキテクチャについて議論し、さらにBGPの安全
性の機能を定義する、といった活動を行うために開かれました。
 
このBoFでは、まずこの議論とドキュメント化活動がSIDRという新たなWGを設
立して行われることの妥当性について議論されました。既にRPSEC WGやIDR WG 
といったWGで、ドメイン間ルーティングのセキュリティについての議論が行わ
れてきたためです。議論の結果、これらのWGでは安全上の要件や短期的な解決
方法のドキュメント化が行われてきたのに対し、SIDRはドメイン間ルーティン
グのインフラストラクチャやプロトコルに着目し、経路情報の認証を行う仕組
みを検討するという点で独自の趣意を持っていることが確認されました。

次にsoBGP、S-BGP、psBGPという三つのプロトコルのデザインについて紹介さ
れました。これらは経路情報を交換するためのプロトコルであるBGPを拡張し、
情報源の認証やASパスの検証といった手続きを通じて、ルーティングの安全性
向上が図られたプロトコルです。

 soBGPに関するインターネットドラフト(以下、I-D)
 ・draft-white-sobgp-architecture-01.txt
 ・draft-ng-sobgp-bgp-extensions-01.txt
 ・draft-weis-sobgp-certificates-01.txt
 
 S-BGPの情報源
 ・http://www.net-tech.bbn.com/sbgp/sbgp-index.html

 psBGPに関するテクニカルレポート
 ・http://www.scs.carleton.ca/research/tech_reports/2005/download/TR-05-08.pdf

いずれもIPアドレスとAS番号の偽装を防ぐために電子証明書が使われており、 
soBGPとS-BGPでは、その電子証明書がIPレジストリで運用される認証局によっ
て発行されることが想定されています。IPアドレスの割り振りをIPレジストリ
の認証局が証明する(certificate)という意味があります。IPレジストリの認
証局が発行した証明書を使うことで、経路情報に含まれているIPアドレスが正
当に割り振られたものなのかどうかを判断できるようになるというわけです。

BoFでは、この証明の基盤に基づく経路情報の認証についての議論を進めるこ
とに協力するメンバーがいることが確認されました。SIDR WGが設立されると、
経路情報の証明データに関するドキュメント活動が行われていくと考えられま
す。


◆PKIX (Public-Key Infrastructure (X.509)) WG

PKIX WGのセッションは11月7日(月)の9時から行われました。約45名の参加で
前回の約60名よりは減少しました。

前回の第63回IETF(2005年8月開催)から今回までの期間に、RFCになったドキュ
メントが三つ(*3)、RFC Editorの編集待ちのドキュメントが三つ(*4)という状
況です。

RFC3280(*5)の後継(通称RFC3280bis)の議論は、ドキュメント改定が進んでい
るSCVP (Simple Certificate Validation Protocol)への影響を避けるために
一旦停止しています。PKIX WGのセッションの後に新たなドラフトの準備が行
われるようです。

SCVPのI-Dは21版になりました。SCVPは電子証明書の検証を他のサーバに任せ
て行うためのプロトコルです。新たにSCVPのサーバが別のサーバからの返答を
リレーできるようにするための拡張が行われたりしています。またSHA1等の一
方向ハッシュアルゴリズムの脆弱化を受け、新たなハッシュアルゴリズムに対
応できるような書式が盛り込まれることになりました。

10月に米国のNIST (National Institute of Standards and Technology:米国
標準技術研究所)で行われたハッシュ・ワークショップでの議論の結果を受け、
OCSP(Online Certificate Status Protocol)における新たなハッシュアルゴリ
ズムへの対応手法について議論が行われました。OCSPはオンラインで失効状況
を問い合わせるためのプロトコルで、応答の中で電子署名が使われています。
ハッシュアルゴリズムの移行時期には複数の種類のハッシュアルゴリズムが使
われることが考えられるため、問い合わせ側(requestor)は応答側(responder)
が、どのハッシュアルゴリズムを使うのかを知っている必要があります。今の
ところ問い合わせ側が応答側に対し、事前に指定する方法が挙げられています
が、詳細の検討は今後行われる見込みです。

PKIX WGでは、OCSP以外のプロトコルでも新たなハッシュアルゴリズムに対応
する必要性があることがわかっています。なおNISTのワークショップでは、当
面2010年を目処にSHA-256というハッシュアルゴリズムへの移行が提案されて
おり、業界全体としての移行プランの検討が始まっているようです。また
SHA-256の次のハッシュアルゴリズムに関する検討も始まっているようです。

前回のIETFでプレゼンテーションが行われたdraft-ietf-pkix-srvsanはDNSの
SRVレコードにあまり依存しない仕様になるようです。このドキュメントは
"_ldap._tcp.domain.com"といったドメイン名のSRVレコードを使って証明書デー
タをやり取りする手法を提案したものです。以前は、得られた証明書の中で
subjectAltNameとして指定された文字列と証明書の入手のために使われたドメ
イン名とが比較されることになっていました。新しい版では、問い合わせ側は
予め対象のサーバのドメイン名とサービス名を知っているという前提に立ち、
DNSのドメイン名ではなく、問い合わせ側でわかっている文字列(ユーザーに指
定されたものなど)と比較をすることになりました。ただしこの用法の安全性
は再検証される必要があると指摘されていました。

◆IEPGにおけるAS番号の枯渇と電子証明書に関する話題

IEPG (Internet Engineering and Planning Group)は主にインターネットのオ
ペレーションに関して意見交換を行い、調整を行うためにIETFの直前に開かれ
ている会合です。

 The IEPG
 http://www.iepg.org/

第64回IETFの直前に開かれたIEPGミーティングの中で、RIPE NCCのHenk氏がAS
番号に関する電子証明書について紹介する場面がありましたので紹介します。

RIPE NCCのRIS(*6)を使った調査によると、2005年8月1日現在、33681のAS番
号が割り当てられていることがわかっています。AS番号として使える番号の総
数は64511で、まだ残りがあるものの、ひと月に160前後の伸びがあるため、
2013年から2024年の間に枯渇するという予測が立てられるとのことです。

枯渇を避ける方法として、AS番号のビット長を現行の16ビットから32ビットに
する方法と、利用されていないAS番号を回収する方法の二つが考えられていま
す。前者は、根本的な解決方法でありながらまだ実装がなく、移行プランも立っ
ていません。一方後者は回収したAS番号が再び使われ始めるとAS番号の一意性
が失われてしまうという問題があります。

Henk氏は後者の問題の対策として、電子証明書を使ってAS番号の利用の証明
(certification)を利用する手段について紹介していました。電子証明書を利
用すると有効期限を設定したり、有効期限内に失効させたりできるためです。
前の利用者の電子証明書が有効かどうかを確認することでAS番号を再利用して
よいかどうかの判断ができると考えられます。

このAS番号の電子証明書はRIPE NCCの2006年活動計画の中に入っているそうで
す。なお第20回APNICミーティングRouting SIGでも"resource certificate" 
という考え方が紹介されていました。今後、RIRで電子証明書を使ったIPアド
レスやAS番号の証明(certification)がさらに検討されていくと考えられます。

(*1)DKIM BoF (Domain Keys Identified Mail BoF)
  迷惑メールなどの中でしばしば行われている発信元メールアドレスのドメ
    イン部分を偽装する行為(スプーフィング)を、電子署名を使って検出でき
    るようにする仕組みについてのBoFです。DKIM WGのチャーターでは、現在
    のスパムをなくすこと自体を目的にするのではなく、安全上の脅威
    (threats)や要求事項(requirements)をまとめ、またDKIMを使う場合と使
    わない場合の違いについて分析を行うといったアプローチを取っています。

(*2)EMU BoF (EAP Method Update BoF)
  PPPや802.11等で使われている認証の枠組みであるEAP (Extensible
    Authentication Protocol)方式のドキュメント整備に関するBoFです。EAP 
    方式を使った認証プロトコルは数多く提案されていますが、RFCになって
    いるものは少なくI-Dを元にした実装の相互運用性が確保されていない可
    能性があります。そこでEAP-TLS(RFC2716)の Proposed Standard化進める
    と共に、パスワードなどの方式についてもドキュメント化を進めていくと
    されています。

(*3)第63回IETFでRFCとなったドキュメント
 ・RFC4158 - Certification Path Building
  http://www.ietf.org/rfc/rfc4158.txt
    証明書のパス(CAの繋がり方)を見つけ、全ての証明書の有効性を確認する
    ための方法や条件など。   
  ・RFC4210 - Certificate Management Protocol (CMP)   
    http://www.ietf.org/rfc/rfc4210.txt
    CAと証明書を利用するクライアントプログラムの間などで証明書発行や失
    効のやり取りをするためのプロトコル。
 ・RFC4211 - Certificate Request Message Format (CRMF)
  http://www.ietf.org/rfc/rfc4211.txt
    登録局(RA)から発行局としてのCAに証明書の発行要求をするための形式。

(*4)RFC Editorの編集待ちのドキュメント
 ・Operational Protocols: Certificate Store Access via HTTP
  draft-ietf-pkix-certstore-http-09.txt
 ・Certificate Extensions and Attributes Supporting
    Authentication in Point-to-Point Protocol (PPP)
    and Wireless Local Area Networks (WLAN)
  draft-ietf-pkix-rfc3770bis-03.txt
 ・Authority Information Access CRL Extension
  draft-ietf-pkix-crlaia-03.txt

(*5)RFC3280
   "Internet X.509 Public Key Infrastructure Certificate and Certificate
    Revocation List (CRL) Profile"
   http://www.ietf.org/rfc/rfc3280.txt
   インターネットで使われることを想定したX.509v3形式の電子証明書と
   X.509v2 形式のCRLの、書式と意味をまとめたドキュメント。RFC2457の後
   継で、証明書に含めた文字列の国際化や解釈方式などに関する記述を改訂
   する予定になっている。

(*6)RIS: Routing Information Service
    http://www.ripe.net/ripencc/pub-services/np/ris-index.html


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.317 【臨時号】 

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F 
 @ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center 
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2005 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2021 Japan Network Information Center. All Rights Reserved.