メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.606【臨時号】2008.12.24 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.606 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.600、vol.601、vol.603、vol.605に引き続き、第73回IETFのレ
ポート[第5弾]として、セキュリティ関連WGの動向についてお届けします。

□第73回IETF報告 特集
○[第1弾] 全体会議報告 (vol.600)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2008/vol600.html
○[第2弾] DNS関連WG報告 (vol.601)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2008/vol601.html
○[第3弾] IPv6関連WG報告 [前編] (vol.603)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2008/vol603.html
○[第4弾] IPv6関連WG報告 [後編] (vol.605)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2008/vol605.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第73回IETF報告 [第5弾]  セキュリティ関連WG報告
                                                 JPNIC 技術部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、インターネット経路制御のセキュリティ・アーキテクチャ策定に取
り組んでいるSIDR WG(Secure Inter-Domain Routing WG)と、認証基盤技術で
あるX.509を使って、インターネットで使われるPKI技術の策定に取り組んでい
るPKIX WG(Public-Key Infrastructure(X.509))について報告いたします。

◆SIDR WG (Secure Inter-Domain Routing WG)

SIDR WGは、インターネットにおけるドメイン間(AS間)の経路制御に関して、
セキュリティ・アーキテクチャの検討を行っているWGです。第73回IETFでは、
2日目(11/17)の13:10から2時間ほどミーティングが開かれ、約50名の方が参加
しました。

SIDR WGはまだRFCを出しておらず、Internet-Draft(以下、I-D)が10ありま
す。今回、さらに二つのI-Dが出されました。

   □ BGP Prefix Origin Validation
      http://tools.ietf.org/html/draft-pmohapat-sidr-pfx-validate-00

         RPKI(Resource PKI)を背景に、BGP UPDATEメッセージの検証におけ
         る有効性を提案しているドキュメントです。大手ベンダーである
         Cisco社やJuniper社に加え、日本のISPであるNTT Communications社
         やIIJ社からの参加者が議論に参加しています。

   □ Securing RPSL Objects with RPKI Signatures
      http://tools.ietf.org/html/draft-kisteleki-sidr-rpsl-sig-00

         WHOISデータベースの記述言語であるRPSL(Routing Policy 
         Specification Language)に、電子署名を加える提案です。電子署名
         のためにリソース証明書が使われます。RPSLを策定しているRIPE 
         NCCの、スタッフによって提案されています。

ミーティングでは、アジェンダに従って、三つのWGドキュメントについて議論
されました。

   □ Secure Inter-Domain Routing WG (sidr) (アジェンダ)
      http://www.ietf.org/proceedings/08nov/agenda/sidr.html

SIDR WGにおける議論を私なりに分類すると、以下の三つに分けられます。こ
の分類を使って、今回のSIDR WGで議論が行われた三つのI-Dを紹介したいと思
います。

   a. RPKIのアーキテクチャ

         全体的なアーキテクチャで、このPKIの目的や信頼の構造に関する
         議論です。

   b. RPKIの認証局

         リソース証明書を発行する認証局に関する議論で、IPアドレスの
         管理業務との関係や、レジストリ同士の連携も関連します。

   c. ROA(Route Origination Authorization)を使ったprefixの検証

         リソース証明書に基づいて発行されるROAと、経路情報の関係を
         明確化し、目的とするセキュリティを担保するための議論です。

最初のアジェンダである"RPKI Architecture"は、aに分類されます。WGでは、
経路フィルタやトラストアンカーについて、ドキュメントにどう記述するかが
議論されました。最終的にどちらも具体化せずに、一般化した記述にすること
になりました。五つのRIRがトラストアンカーになることを前提とするような
記述は、避けられることになりました。

   □ RPKI Architecture
      http://tools.ietf.org/html/draft-ietf-sidr-arch-04

二つ目の"ROA Format"は、cに分けられます。BGP UPDATEのprefixを検査する
段階で、ROA(Route Origination Authorization)とのオーバーラップをどのよ
うに扱うかについて議論されました。その結果、現行の記述は変更しないこと
になりました。

   □ ROA Format
      http://tools.ietf.org/html/draft-ietf-sidr-roa-format-04

三つ目の"Certificate Policy"は、bに関連したドキュメントです。リソース
証明書を発行するRPKIのCertificate Policyについて提案しています。主に
RIRにコメントが求められていますが、IETFの場であることに加えて、ドキュ
メントの内容がビジネス判断を伴うものであったりする理由で、なかなか十分
なコメントを得られていません。

   □ Certificate Policy
      http://tools.ietf.org/html/draft-ietf-sidr-cp-04

WGのメーリングリストでは、bogon prefix(*1)を示すROAに関する議論などが
行われています。

3年前から始まったSIDR WGですが、目標としているアーキテクチャに対して、
徐々にドキュメントが揃ってきた印象があります。これも2007年度にAPNIC、
ARIN、RIPE NCCの三つのRIRでプロトタイプシステムが作られ、上記のbが、現
実味を帯びてきたからかもしれません。

ただし、ROAとリソース証明書をBGPスピーカーがどのように経路制御に反映す
るのか、という大きな課題が残っています。ベンダーやISPを交えた議論が、
今後も必要とされていくと思われます。

(*1) bogon prefix
     割り振られていないIPアドレスなど、本来はインターネットの経路表に
     載るはずの無いprefixのこと


◆PKIX WG (Public-Key Infrastructure (X.509))

PKIX WGは、X.509を使ってインターネットで使われる、PKI技術の策定に取り
組んでいるWGです。PKIX WGは新たなドキュメントを扱わず、近々クローズす
ると宣言されたことが4年程前にありましたが、暗号アルゴリズムの移行や、
TAM(Trust Anchor Management)など、WGの活動項目が減る様子はありません。
ミーティングは11/21(木)の15:20から2時間行われました。50名程の参加者が
ありました。

前回の第71回IETF以降、RFCになったドキュメントは無く、二つのドキュメン
トがIESGのレビューを受けている状態です。ECC Subject Public Key
Informationは、2008年11月24日にレビュー状態からAD(Area Director)の最終
判断を待つ状態になりました。

   - ECC Subject Public Key Information
      http://tools.ietf.org/html/draft-ietf-pkix-ecc-subpubkeyinfo-10

      証明書にECC(Elliptic Curve Cryptography - 楕円暗号)の鍵を入れる
      ためのパラメーターを定義しています。

   - RFC4055 update
      http://tools.ietf.org/html/draft-ietf-pkix-rfc4055-update-01

      証明書でRSAES-OAEP(RSA Encryption Scheme - Optimal Asymmetric
      Encryption Padding)を使うため、暗号アルゴリズムを定義している
      RFC4055を更新するための変更点を述べています。

PKIX WGには、WGで議論することになっているI-Dが11あります。このうち9の
I-Dについて議論が行われました。その他に"関連する仕様やリエゾンのプレゼ
ンテーション"として、二つのプレゼンテーションがありました。主だったド
キュメントの動向を報告します。

   - Other-certs extension
      http://tools.ietf.org/html/draft-ietf-pkix-other-certs-01

      単一のEE(End Entity - 証明書の発行対象)に発行された、複数の証明
      書の、証明書同士を関連付ける証明書拡張です。若干の修正の後、WG 
      Last Callにかけられることになりました。

   - PKI resource Query Protocol
      http://tools.ietf.org/html/draft-ietf-pkix-prqp-01(*2)

      (*2) 2008年12月8日に修正版の"-02"になりました。
           http://tools.ietf.org/html/draft-ietf-pkix-prqp-02

      認証局証明書とリソースID(OCSP、LDAP、CRLなど)を使って、アクセス
      するためのURIを問い合わせるプロトコルです。問い合わせる先のRQA
      (Resource Query Authority)のアドレスをクライアントにどう伝えるの
      か、といった議論がありました。PRQPを実装しているプロジェクトがあ
      ります。

         □ OpenCA Research Labs - LibPRQP Project
            http://www.openca.org/projects/prqpd

   - Attribute Certificate Profile Update
      http://tools.ietf.org/html/draft-ietf-pkix-3281update-01

      属性証明書を策定したRFC3281の、Errata(修正)対応です。数年来の
      Errataを反映し、新たなRFCとして更新しようとしています。

   - Traceable Anonymous Certificates
      http://tools.ietf.org/html/draft-ietf-pkix-tac-01

      名称(CN)にハッシュ値を記述し、匿名性を担保しつつ後でEEと証明書の
      関係を追跡できるようにした証明書です。韓国のKISA(Korea 
      Information Security Agency:韓国情報保護振興院)の方々による提案
      です。

"関連する仕様やリエゾンのプレゼンテーション"として、OCSPにおけるハッ
シュアルゴリズムの移行に関する状況と、タイムスタンププロトコルに関する
RFCの更新について議論が行われました。

   - OCSP Algorithm Agility
      http://tools.ietf.org/html/draft-hallambaker-ocspagility-02

      オンラインで証明書の有効性を問い合わせるOCSP(Online Certificate 
      Status Protocol)の、レスポンスの中で使われるアルゴリズムの移行に
      関する議論です。

      返答する側(レスポンダー)が、問い合わせた側(リクエスター)のサポー
      トしていない署名アルゴリズムを使ってしまうことを避けるため、アル
      ゴリズムを選ぶ方法について議論が行われました。WGの活動項目として
      MLで意見が求められることになりましたが、この議論は1年程前にも行
      われたことがあり、進んでいない様子がうかがわれます。

   - Time-Stamp Protocol update - 3161bis

      ETSIのTC ESI(Technical Committee Electronic Signature &
      Infrastructure)の要望を受けて、更新するための活動が行われていま
      す。WGの活動項目に入れるかどうかの議論が行われ、ドキュメントに含
      まれる八つの特許についての記述を、削除することの賛否が問われまし
      た。その結果、削除するべきであるという方向になりました。

               ◇                ◇                ◇

先日行われたInternet Week 2008でも、「次世代暗号アルゴリズムへの移行
~暗号の2010年問題にどう対応すべきか~」というセッションがありました
(*3)。利用する暗号アルゴリズムを切り替えるには、プロトコルとして切り替
えが可能になっていなければなりません。また、並行して、認証局や認証シス
テムの対応も必要になってきます。これらの状況を踏まえ、安全性を維持しつ
つスムーズに移行できるよう、来年も引き続き議論を進められればと思いま
す。

(*3) 次世代暗号アルゴリズムへの移行
     ~暗号の2010年問題にどう対応すべきか~
     https://internetweek.smartseminar.jp/public/session/view/40


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.606 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2008 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.