メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.706【臨時号】2009.12.18 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.706 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.699、vol.700、vol.702、vol.704、vol.705に続き、2009年11
月に広島で開催された第76回IETFのレポート[第6弾]として、「セキュリティ
関連WG報告」の後編をお届けします。6回にわたりお届けしてきた第76回IETF
のレポートですが、本号が最後のレポートとなります。

後編となる本号は、SIDR WGとPKIX WGについてのご報告です。krb WGとtls 
WG、ipsecme WGについて、またその他の話題につきましては、以下のバックナ
ンバーをご覧ください。

□第76回IETF報告
  ○[第1弾]  全体会議報告(vol.699)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol699.html

  ○[第2弾] DNS関連WG報告(vol.700)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol700.html

  ○[第3弾] IPv6関連WG報告(vol.702)
    ~6man WG、v6ops WGについて~
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol702.html

  ○[第4弾] IPv6関連WG報告(vol.704)
    ~softwire WG、aplusp BoF、behave WGについて~
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol704.html

  ○[第5弾] セキュリティ関連WG報告(vol.705)
    ~krb WG、tls WG、ipsecme WGについて~
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol705.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第76回IETF報告 [第6弾]  セキュリティ関連WG報告
   ~SIDR WG、PKIX WGについて~
                            JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、SIDR WG(Secure Inter-Domain Routing WG)とPKIX WG(Public-Key 
Infrastructure(X.509))の動向について報告します。

◆SIDR WG (Secure Inter-Domain Routing WG)

SIDR WGは、インターネットにおける経路制御のセキュリティ・アーキテク
チャについて検討を行っているWGです。WG Last CallとなるInternet-Draft
(I-D)が出揃ってきました。WG Last Callとは、WG内でドキュメントを変更す
る必要性がないかどうか、一定の期間を取り最終確認をすることです。第76回
IETFでは、SIDR WGのミーティングが2日目(11月9日)の午前9時から1時間半程
行われました。参加者は80名程でした。

SIDR WGでWG Last Callの状態になっているI-Dを、以下に示します。

  - An Infrastructure to Support Secure Internet Routing
     draft-ietf-sidr-arch-09
       RPKIの全体構造や概念を述べたドキュメントです。

  - Certificate Policy (CP) for the Resource PKI (RPKI)
     draft-ietf-sidr-cp-07
       リソース証明書の発行条件を定義したドキュメントです。
       RIPE NCCのAndrei氏のコメントを受けた修正が終わりました。

  - A Profile for Route Origin Authorizations (ROAs)
     draft-ietf-sidr-roa-format-06
       ROAの書式を定義したドキュメントです。

  - A Profile for Resource Certificate Repository Structure
     draft-ietf-sidr-repos-struct-03
       リソース証明書などの格納や公開の仕方を定義したドキュメントで
       す。公開サーバと登録オブジェクトの命名方法に関する提案がなされ
       ています。

  - A Profile for X.509 PKIX Resource Certificates
     draft-ietf-sidr-res-certs-17
       リソース証明書の各フィールドの内容を定義したドキュメントです。

これらは、ほぼ議論が終わっており、大きな変更はない見込みです。ただ、
RPKIで使われる暗号アルゴリズムの記述をまとめた下記のドキュメントが新た
に作成されたため、これらのドキュメントでは、各々記述を持つのではなく、
これを参照する形に変更されました。

  - A Profile for Algorithms and Key Sizes for use in the Resource
     Public Key Infrastructure
     draft-ietf-sidr-rpki-algs-00
       RPKIで使われる暗号アルゴリズム、ハッシュアルゴリズム、鍵長など
       についてまとめたドキュメントです。デフォルトではSHA-256と2,048
       bitのRSAが使われることになっています。

SIDR WGのアジェンダの最後で、2009年9月にISOC主催で行われた会議「RPKI
Operators Roundtable Report and Discussion」の報告がありました。この会
議は、RPKIに関するルーティング・オペレーターのニーズを確認するために開
かれたもので、米国、日本、ヨーロッパのISPでルーティングに携わっている
技術者を中心に、参加者が構成されました。SIDR WGでドキュメント策定に関
わっている主要なメンバーは招待されなかった模様です。

下記のレポートには、以下のようなポイントがまとめられています。

  - 参加者の間で確認された、RPKIに対するニーズ
     ・RPKIにおいてはIPv4とIPv6のサポートが必要である。
     ・IPアドレスの一意性の担保は必要である。
     ・IPv6のデータ(登録情報)をきれいにする必要がある。
       (IPv4は難しいので後にする)
     ・リソースホルダーの認証(レジストリごとの対応)が必要である。

  - 参加者間における認識の違い
     ・IRR(RADB)とWHOISとでどちらがクリーンか。
     ・単一のルート(例えばIANAやNRO)は必要か。
     ・BGP(プロトコル)を変えずにpath validationはできるか。
     ・リージョンごとにIPアドレスやルーティングの正しさに関する認識や
       状況は異なる。

  - 参加者が共通に認識している課題。
     ・RPKIに関する共通のツール開発が必要である。
     ・Origin Validationの仕組み(draft-ymbk-rpki-rtrprotocol)。

□"Securing Routing Information - Findings from an Internet Society 
   Roundtable", September 2009
   http://www.isoc.org/educpillar/resources/docs/routingroundtable_200909.pdf


◆PKIX WG (Public-Key Infrastructure (X.509))

PKIX WGは、インターネットのための、PKI技術の策定に取り組んでいるWGで
す。ミーティングは、3日目の11月10日(火)午後1時から2時間程、行われまし
た。参加者は30名程でした。

新たに以下のドキュメントがRFC化されました。

  - Elliptic Curve Cryptography Subject Public Key Information (RFC 5480)
       電子証明書発行先の公開鍵暗号として、楕円暗号のアルゴリズムを使
       うためのアルゴリズムIDと構造を定義したドキュメントです。以下の
       アルゴリズムを使うことができます。

         - Elliptic Curve Digital Signature Algorithm (ECDSA)
         - Elliptic Curve Diffie-Hellman (ECDH) family schemes
         - Elliptic Curve Menezes-Qu-Vanstone (ECMQV) family schemes

WGで作業中となっている主なドキュメントの状況を、以下にまとめます。

  - Trust Anchor Management (TAM) 関連
       PC以外の機器を含むPKIアプリケーションで、トラストアンカーのデー
       タを管理するためのプロトコルなどのドキュメントです。Trust 
       Anchor Formatに関するドキュメントdraft-ietf-pkix-ta-format-04は
       IESGのレビューが行われている状態で、プロトコルを定義した
       draft-ietf-pkix-tamp-04は今後WG Last Callがかけられる見込みで
       す。

  - OCSP Algorithm Agility
       OCSPで使われる暗号アルゴリズムを、複数候補から選べるようにする
       仕組みの提案です。議論は特になく、今後WG Last Callがかけられる
       見込みです。

  - Certificate image
       証明書の証明内容や発行元、発行先のイメージデータを入れる提案で
       す。PDF(Portable Document Format)とSVG(Scalable Vector Graphic
       (SVG) imageが入れられるようになっています。議論は特になく、今後
       WG Last Callがかけられる見込みです。

PKIの仕様に関係して行われた、主なプレゼンテーションを以下にまとめま
す。

  - RFC 5280 Implementation Report, 発表者 Tim Polk氏
       RFC 5657に基づく実装の調査報告です。実装が存在することを提示す
       ることで、RFC5280をProposed Standard(PS)からDraft Standard
       (DS)にする(格上げする)活動として行われています。

       PKIX WGのMLに投げられたS/MIMEメッセージを収集し、米国NISTの
       Public Key Interoperability Test Suite(PKITS)を使って検証が行わ
       れました。国際化対応については、確認が行われませんでした。

       今後、RFC5280にはErrataの修正を行った上で、調査報告書を添えて
       Draft Standardをめざすようです。

  - Certificate information expression, 発表者 Stefan Santesson氏
       電子証明書のフィールドに、EUで進められているSTORKプロジェクト
       (*)で使われる「マッピングの情報」を含める提案です。STORKプロ
       ジェクトで課題となっている、EU内の各国間で、発行されている証明
       書を対応付けるマッピングの必要性についてプレゼンテーションが行
       われていました。

       (*) STORK(Secure idenTity acrOss boRders linKed)
           http://www.eid-stork.eu/

この他に、ホスティングサーバの間で行われるXMPP連携で使われる属性証明書
の必要性や、Digital Right Management(DRM)のためのProxyアーキテクチャの
提案、TLSでサービスごとに異なる識別子に関する共通ルールの提案などが行
われました。

                ◇                ◇                ◇

日本での開催とあって、会場では多くの日本人を見かけましたが、SIDR WGや
PKIX WGの議論でアクティブなのは相変わらずの常連メンバーでした。この二
つのWGは、他のWGでも活躍しているIETFの常連メンバーによって成り立ってい
る側面があり仕方がないことではあるのですが、日本からも抽象度の高いハイ
レベルな議論に参加していきたいとあらためて感じました。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.706 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2009 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.