メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.673【臨時号】2009.8.28 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.673 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.667、vol.668、vol.669、vol.670に続き、スウェーデンのス
トックホルムで開催された第75回IETFのレポート[第6弾]として、「セキュリ
ティ関連WG報告」の後編をお届けします。6回にわたりお届けしてきた第75回
IETFレポートですが、本号が最後のレポートとなります。

後編となる本号は、SIDR WGとPKIX WGについてのご報告です。krb WGとtls WG
について、またその他の話題につきましては、以下のバックナンバーをご覧く
ださい。

□第75回IETF報告
  ○[第1弾]  全体会議報告(vol.667)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol667.html

  ○[第2弾] DNS関連WG報告(vol.668)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol668.html

  ○[第3弾] IPv6関連WG報告(vol.669)
    ~6man WG、v6ops WGについて~
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol669.html

  ○[第4弾] IPv6関連WG報告(vol.670)
    ~behave WG、softwire WG、homegate bar-BoFについて~
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol670.html

  ○[第5弾] セキュリティ関連WG報告(vol.672)
    ~krb WG、tls WGについて~
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol672.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第75回IETF報告 [第6弾]  セキュリティ関連WG報告
   ~SIDR WG、PKIX WGについて~
                                                 JPNIC 技術部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、SIDR WG (Secure Inter-Domain Routing WG)とPKIX WG
(Public-Key Infrastructure (X.509))の動向について報告します。

◆SIDR WG (Secure Inter-Domain Routing WG)

SIDR WGは、インターネットにおける経路制御のセキュリティ・アーキテク
チャについて検討を行っているWGです。まだRFCになったドキュメントはな
く、Internet-Draftの議論が続いています。第75回IETFでは、5日目(7月30日)
の午前9時から2時間半ほどミーティングが行われました。約80名が参加しまし
た。

更新された五つのInternet-Draftのうち四つについては、多くの議論はありま
せんでした。最後の一つについては、二つのプレゼンテーションがありまし
た。

   - ROA Format - draft-ietf-sidr-roa-format-04
         IPアドレスのprefixに対する経路広告元を指定(authorize)する
         データ、Route Origination Authorization(ROA)の形式を定めるも
         のです。

         会場での確認の結果、ROAにおける署名アルゴリズムは
         draft-ietf-sidr-cp-06ではなく、本ドキュメントにまとめて記述さ
         れることになりました。

   - RPKI Architecture - draft-ietf-sidr-arch-07
         リソースPKI(RPKI)の全体像を述べたものです。

         会場では、収束していない論点はなく著者としても書き足りないこ
         とはないことが説明され、WGメンバーにレビューが依頼されまし
         た。

   - Certificate Policy - draft-ietf-sidr-cp-06
         リソース証明書の発行要件やCPSについて書かれています。

         会場では、RFCの分類としてSTD(Internet Standards)ではなく、BCP
         (Best Current Practice)としてRFC化を目指すことが確認されまし
         た。RIPE NCCのAndrei氏がRIRで本ドキュメントのレビューを働きか
         けたため、あらためてNumber Resource Organization(NRO)に確認す
         る必要がなくなりました。

   - RPSL with RPKI Signatures - draft-ietf-sidr-rpsl-sig-01
         リソース証明書を使ってRPSLオブジェクトに電子署名を施す形式を
         定めるものです。

         会場では、RPSLのオブジェクトに記述されたコンタクト先の情報が
         電子署名で担保されるわけではないなど、不明瞭な点があるという
         指摘がありました。Routing Policy Specification Security(RPSS)
         との関係を記述すべき、という指摘がAPNICのGeoff Huston氏(リ
         モート参加)からありました。

以下は、RPKIに関するBGPルータの実装に関する二つのプレゼンテーションで
す。

   - BGP Protocol Geekiness
       - http://archive.psg.com/090730.sidr-rpki.pdf
         BGPルータにおけるRPKIを使ったOrigin ASの検証方式を検討した結
         果に関するプレゼンテーションです。

   - BGP Prefix Origin Validation
       - draft-pmohapat-sidr-pfx-validate-01
         BGPルータにおけるROAを使ったOrigin Validationの経路表への適用
         方法に関するプレゼンテーションです。

         ルータベンダーやISPを交えてレビューが行われています。別の
         Internet-Draft(draft-ymbk-rpki-rtr-protocol-04)に基づいてプロ
         トタイプの実装が行われていることなどが報告されました。WGの
         Internet-DraftにするかどうかはMLで議論することとなりました。

前回のIETF以降、RPKIとROAの用途を明文化するためのInternet-Draft、"Use
Case"がICANNのTerry Manderson氏によって作成されました。このドキュメン
トはROAを使って、(BGPでいうところの)Originを検証する利用ケースを集めた
ものです。MLに引き続いて、BGPではOriginの検証よりもPathの検証の方が効
果的ではないか、という議論がありました。しかし、SIDR WGとしては、
Originの検証なしにはPathの検証に意味がないとされ、WGとしてはこれまで通
りOriginの検証について取り組むことが確認されました。

最後に新たなトピックとして、BBNのStephen Kent氏が"Trust Anchor
Management"についてプレゼンテーションされました。これはRPKIやROAを検証
するRelying Party(RP;電子証明受け取り側)において、トラストアンカーとな
る認証局の処理を工夫し、プライベートアドレスのプリフィクスやプライベー
トネットワークでもRPKIを使えるようにする提案です。アドレスの全域をカ
バーする、IANAにあたるトラストアンカーの証明書を生成し、その証明書の配
下に有効な証明書を配置していくという内容となっていました。

◆PKIX WG (Public-Key Infrastructure (X.509))

PKIX WGは、インターネットのためのPKI技術策定に取り組んでいるWGです。
ミーティングは、4日目の7月29日(水)午後1時から1時間程行われました。参加
者は30名程でした。

前回のIETF以降、RFCになったドキュメントはなく、三つのドキュメントが
IESGのレビュー中です。

   - Update for RSAES-OAEP Algorithm Parameters
      http://tools.ietf.org/id/draft-ietf-pkix-rfc4055-update-02.txt

        Optimal Asymmetric Encryption Paddingという手法を用いたRSAの暗
        号化方式を証明書でサポートするためのRFC4055のアップデート版で
        す。

   - Attribute Certificate Profile - 3281bis
      http://tools.ietf.org/id/draft-ietf-pkix-3281update-05.txt

         属性証明書(Attribute Certificate)を定めたRFC3281の修正版で
         す。

         策定内容に主だった変更はないものの、参照先のRFCの番号をアップ
         デートするなどのerrata(誤字)を修正しました。

   - Traceable Anonymous Certificate
      http://tools.ietf.org/id/draft-ietf-pkix-tac-04.txt

         証明書のSubject欄に匿名の識別子を入れる方式で、匿名の識別子を
         作成する役割を証明書とは別にすることで、特殊な場合でなければ
         実際のIDと匿名の証明書とのマッピングができない仕組みを提案し
         たドキュメントです。

WGで議論することになっているInternet-Draftは九つあります。このうち七つ
のInternet-Draftについてプレゼンテーションが行われました。

Trust Anchor Management(TAM)は、トラストアンカーである認証局証明書をオ
ンラインで管理できるようにする仕組みで、三つのInternet-Draftが出されて
います。それぞれWG Last Callに近づいています。実装も行われており、
WindowsのCAPIを使ったアプリケーション用のインタフェースを備えたプログ
ラムを、SourceForgeにて公開する予定とのことです。

   - 本プロトコルの要件
      http://tools.ietf.org/id/draft-ietf-pkix-ta-mgmt-reqs-03.txt
   - トラストアンカーストア(格納場所)を転送するプロトコル
      http://tools.ietf.org/id/draft-ietf-pkix-tamp-03.txt
   - トラストアンカーの表現形式
      http://tools.ietf.org/id/draft-ietf-pkix-ta-format-03.txt

OCSP Agility(draft-ietf-pkix-ocspagility-01)は、証明書検証用のオンラ
インプロトコルであるOCSPで、SHA-1以外のハッシュアルゴリズムを使えるよ
うにする提案です。特に議論はなく、何かある場合にはMLで議論されることに
なりました。

Time Stamp Protocol 3161 update(draft-ietf-pkix-rfc3161bis-01)は、
ESSCertIDv2のオプションを追加するための書き直しを行ったものです。
RFC3161bis(RFC3161の後継)とするには、用語を大幅に書き換える必要があ
り、それは適切ではないため、本ドキュメントは先に進めないことになりまし
た。

Certificate Image(draft-ietf-pkix-certimage-00.txt)は、証明書の中に画
像データを入れられるようにする拡張フィールドの提案です。何の証明書であ
るのか、発行元(Issuer)、発行対象(Subject)を示す画像データを入れること
ができ、画像の形式はPDF(Portable Document Format)、SVG(Scalable Vector
Graphics)、PNG(Portable Network Graphics)の三つが提案されています。

最後に、毎回恒例の"Related specifications and Liaison Presentations"
(関連する標準と関連団体のプレゼンテーション)として二つのプレゼンテー
ションが行われました。

   - Certificate Information Expression, Stefan Santesson

         EUでは、PEPS(ID提供機能の代理機能)において、証明書のID情報を
         マッピングする仕組みがあります。認証処理ならばこれで認証情報
         の交換が適切にできますが、電子署名を検証する処理の場合は交換
         できません。ETSI(欧州電気通信標準化機構)のESI(電子署名および
         基盤に関する技術評議委員会)で、証明書にID情報を含める提案が承
         認されたため、テクニカルレポートの作成を2009年秋に開始予定で
         す。

   - Local Management of Trust Anchor for RPKI, Steve Kent

         SIDR WGでも提案されている、RPKIのためのRelying Partyにおける
         トラストアンカーの処理方式です。全ての範囲が入ったIANAのリ
         ソース証明書に代わるRPの証明書を作る方式が提案されています。

         会場では、BGPを使った相互接続に関係して、RP毎に証明書のツリー
         が変わってしまい、有効とみなされるプリフィクスが異なる可能性
         がある、といった懸念が出ていました。

               ◇                ◇                ◇

5日目のTechnical Plenaryで行われたIRTF報告で、Public Key
Next-Generation Research Group (PKNG)という新しいリサーチグループが設
置されたことが報告されました。PKIXに代わる公開鍵暗号を使った新たな公開
鍵サービスを検討しており、証明書フォーマットやセマンティクスを検討して
いるようです。チェアは、古参で、セキュリティエリアのWGで鋭い洞察力を発
揮しているPaul Hoffman氏です。どのような議論が行われていくのかが楽しみ
です。

      Public Key Next-Generation Research Group
      http://www.irtf.org/charter?gtype=rg&group=pkng


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.673 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2009 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.