メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

===================================
    __
    /P▲         ◆ JPNIC News & Views vol.457【臨時号】2007.6.6 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.457 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.455、vol.456に引き続き、第54回RIPEミーティング報告
[第3弾]として、RIRにおける電子証明書の動向に関するレポートをお届けしま
す。

○[第1弾] 全体会議報告
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2007/vol455.html

○[第2弾] IPアドレスポリシー関連報告
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2007/vol456.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第54回RIPEミーティング報告 [第3弾]  RIRにおける電子証明書の動向
                           JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 概要

JPNICでは、インターネットレジストリにおける電子証明書のあり方と動向に
ついて調査研究を行っています。電子証明書は、通信相手の認証や電子署名の
ために使われている仕組みで、SSLを使ったWebサーバの認証や、SSLを使って
Webサーバにアクセスしているユーザの認証、電子メールにおける送信者の認
証や公的個人認証などに使われています。

RIPE NCCをはじめARINやAPNICでは、LIRのユーザ認証に電子証明書を導入する
ことに加えて、リソース証明書と呼ばれる電子証明書についての検討が進めら
れています。リソース証明書は、IPアドレスやAS番号の利用権利を証明し、ひ
いてはルーティング情報のorigination(発信元)を電子的に証明する仕組みで
す。RIPE NCC、ARIN、APNICの三つのRIRでは、リソース証明書を発行するプロ
グラムを開発するプロジェクトが立ち上げられ、技術的な評価が行われてきま
した。

本稿では、第54回RIPEミーティングの参加を通じて見えてきた、RIPE NCCにお
ける電子証明書の動向について、第19回ARINミーティングの動向を交えながら
報告したいと思います。

◆ RIPE NCCにおける認証と電子証明書の動向

RIPE NCCでは、電子証明書を使ったユーザ認証の方式(通称"X.509")が導入さ
れています。これは、RIPE NCCの各種申請用WebページであるLIRPortalへのア
クセスの際に、各LIRに対して発行された電子証明書が使われる方式です。
RIPE NCCにおけるユーザの認証方式には、他に"MD5"(長いパスワードが使える
もの)と"PGP"(PGPの電子署名を使ったもの)があります。なおCRYPT-PW(短いパ
スワードしか設定できないもの)は下記のプロジェクトを通じて廃止されまし
た。

   □ CRYPT-PW Deprecation Project
   http://www.ripe.net/db/support/security/crypt-pw_deprecation/

RIPE NCCにおけるリソース証明書関連の活動は、これまではAPNICのプロジェ
クトに参加する形で進められてきました。しかし第54回RIPEミーティングでの
二つの発表によると、今は「Certification Task Force」と「CertProto」が
中心的な活動になりつつあるようです。以下では、この二つの活動について紹
介します。

Certification Task Force(以下、CA-TF)は第53回RIPEミーティングのときに
結成されたもので、RIPEコミュニティの中から立候補した6名で構成されてい
ます。

   □ RIPE Certification Task Force
   http://www.ripe.net/ripe/tf/certification/

設立当初の趣意書によると、下記について評価することが期待されています。

   Certification Task Forceに期待されている報告の内容:
   -リソース証明書の利便性
   -LIRに対する業務面での影響
   -リソース証明書サービスの要件
   -ポリシーへの影響
   -LIRに要求される事項

第54回RIPEミーティングでは、CA-TFの1回目となる報告が行われました。この
発表は、Nigel Titley氏によって3日目のNCC Services WGで行われました。発
表によると、CA-TFでは下記五つのエリアにわけて調査と議論が行われていま
す。

   CA-TFにおける五つの調査・検討エリア:

   -ビジネスエリア(ポリシーを含む)
    認証と業務上の関連性(エンドユーザやPIアドレスの割り当て先)、
    ERX(*1)やRIR間におけるアドレス資源の移転に関する事項を扱う。

   -サービスエリア
    公開用の証明書データベースとしての証明書リポジトリや
    リソース証明書の検証サービスに関する事項を扱う。
   
   -テクニカルエリア
    証明書リポジトリのアーキテクチャや性能の影響に関する
    事項を扱う。

   -RIRエリア
    信頼点(trust anchors)や導入プランに関する事項を扱う。
   
   -アプリケーションエリア
    ルーティングにおけるIPアドレスの認可(authorization)や
    RPSL(*2)との互換性、準備の自動化などに関する事項を扱う。

今回は評価の結果や内容については報告されておらず、第55回RIPEミーティン
グで結果報告のドキュメントが公開されることになっています。

CertProtoプロジェクトは、リソース証明書のシステム評価を行うRIPE NCC内
部のプロジェクトで、CA-TFと同じ3日目のNCC Services WGにおいて、RIPE
NCCのHenk Uljterwaal氏によって活動内容が紹介されました。CertProtoプロ
ジェクトは2007年1月頃に始められたもので、CA-TFの活動促進とRIPE NCC内部
でのリソース証明書についての理解を深めることを目的としています。活動の
一環として、プロトタイプシステムの構築や、業務プロセスの仮構築が行われ
ています。プロジェクトメンバーは、RIPE NCCの各部から選ばれたスタッフで
構成されています。

CertProtoプロジェクトの注目すべきところは、本番用のシステム開発を行う
前に試験利用のためのシステムを開発し、このシステムを使うことでスタッフ
がリソース証明書の業務プロセスを理解する工程が入っている点です。これに
よって、RIPE NCCでリソース証明書のサービスを行う場合に、業務を変更する
ための課題やシナリオを具体化しやすくなると考えられます。これまでの
APNICやARINの活動状況をみる限り、このような活動はRIPE NCCでしか行われ
ていません。

今後このプロジェクトでは、費用面の検討等が行われた後、6月中に調査結果
がまとめられることになっています。

◆ ARINにおける認証と電子証明書の動向

RIPE NCCと同様に、ARINでもLIRの認証に電子証明書が使われています。一方、
ARINにおけるリソース証明書の検討は、現在はクローズドなミーティングで進
められています。6月頃までに利用技術等を定めたシステムデザインを進め、
その後に本格的な開発が行われていく模様です。

LIRの認証については、ARINにおける認証方式に関する章を、NRPM(*3)に新た
に設ける提案について、第19回ARINミーティングで議論されていました。下記
の三つが関連する提案です。

   □ Policy Proposal 2007-1: Reinstatement of PGP Authentication
      Method

      ARINではmail-fromとX.509の二種類の認証方式しか選べないが、これに
      PGPを使って署名するcrypt-authを加える提案(InterNIC時代にはPGPを
      使うことができた)。以下の2007-2と2007-3の内容と一緒に、NRPMへの
      追加を行う。

   □ Policy Proposal 2007-2: Documentation of the Mail-From
      Authentication Method

      NRPMに12章を追加し、現行の認証方式にmail-from、X.509の方式がある
      ことを明文化する提案。記述中でmail-fromは推奨されない点が補足さ
      れている。

   □ Policy Proposal 2007-3: Documentation of the X.509
      Authentication Method

      NRPMに追加される12章に、X.509の方式が選べることを記述する提案。

いずれもPaul Vixie氏、Mark Kosters氏ら5名による提案です。会場での挙手
の結果、賛成意見の方が40名以上いて、反対意見の方はいませんでした。現在
はBoard of Trusteesによる議論が行われている段階にあります。

「Policy Proposal 2007-3: Documentation of the X.509 Authentication
Method」については、会場で興味深い議論がありました。X.509の認証方式
で、他のRIRの電子証明書を使えるようにすべきかどうかという議論です。提
案の趣旨からは外れますが、もしこれが実現すると、RIPE NCCにおけるLIRの
電子証明書やAPNICにおけるLIRの電子証明書を、ARINにおける各種申請業務で
使えることになります。複数の(地理的な)地域に渡るASでIPアドレスを使って
いるようなLIRの、利便性が上がるかも知れません。

                 ◇                ◇                ◇

RFC3779によると、リソース証明書はSecure BGP等のルーティングプロトコル
で使われることが想定されています。しかし、これを実現するには、各RIRで
発行されるリソース証明書の相互運用性が必要です。IETFのSIDR WGでは、リ
ソース証明書を発行する認証局の証明書発行条件などを明確化するためのCPS
(Certification Practice Statement)のテンプレート作りが行われており、電
子証明書の相互運用性に向けた足がかりが探られつつあります。

IPv4の枯渇期には、自分の組織に割り振られたIPアドレスが、他のASによって
経路広告されてしまい、インターネットとの接続性が第三者に奪われてしまっ
たり、不正なIPアドレスの使用を通じて、不正アクセスの温床が作られたりし
てしまう危険性が増すかも知れません。RIPE NCCやARIN、APNICで検討されて
いるリソース証明書は、このような不正行為の影響を避けることが可能になる
技術ですが、実現性や効果はまだ明らかになっていません。効果や業務面の検
討を進め、実効性のある対策が取れる状況を作ることが、RIRにとって重要に
なってくると考えられます。


(*1)Early Registration Transfer project
    過去にInterNICにより割り当てられ、その後ARINが管理を引き継いだIPア
    ドレスやAS番号のうち、現在、他のRIRs地域への割り当て分について、現
    在の適切なRIRへ管理元を移管するプロジェクト。2005年2月に完了した。

(*2)Routing Policy Specification Language

    RFC2280で定義されたルーティングポリシーの記述言語で、ASのつながり
    のようなインターネット接続の階層構造から、ルータの設定に至るまでの
    様々なポリシーを記述できる。RIPE NCCやAPNICのWHOIS やIRRの登録情報
    は、RPSLを使って記述されている。

    RFC2280 "Routing Policy Specification Language (RPSL)"
    http://www.ietf.org/rfc/rfc2280.txt

(*3)NRPM(Number Resource Policy Manual)
    ARINにおけるポリシーがまとめられた一つの文書です。ポリシーに関する
    議論は主にこの文案を元にして行われ、ポリシー変更の際もこの文書を変
    更する形で行われます。

    ARIN Number Resource Policy Manual
    http://www.arin.net/policy/nrpm.html


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.457 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2007 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.