メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.740【臨時号】2010.4.14 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.740 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.736、vol.737、vol739に続き、2010年3月にアメリカのアナ
ハイムで開催された第77回IETFのレポート[第4弾](最終回)として、「セキュ
リティ関連WG報告」をお届けします。

なお、その他の話題に関する報告は、以下のURLからご覧ください。

□第77回IETF報告
  ○[第1弾] IPv6関連WG報告(vol.736)
    ~v6ops WGについて~
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol736.html

  ○[第2弾] IPv6関連WG報告(vol.737)
    ~6man WG、behave WGについて~
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol737.html

  ○[第3弾] DNS関連WG報告(vol.739)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol739.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第77回IETF報告 [第4弾]  セキュリティ関連WG報告
   ~IPSECME WG、KRB WGについて~
                                        NTTソフトウェア株式会社 菅野哲
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

IETFでは、セキュリティに関連したWG(今回は10セッション)が開催され、世
界中からのさまざまな背景を持った参加者によって議論が行われています。
このようにセキュリティ領域においては、数多くのWGが開催されているため、
それらすべてのセッションの内容を把握することが困難な状況です。

そこで本稿では、会期中に議論されたセキュリティに関連したセッションの
中から、認証や通信に特化した内容を議論するWGでの話題を中心に紹介する
こととして、IPSECME WG(IP Security Maintenance and Extensions WG)お
よびKRB WG(Kerberos WG)の動向について報告します。


◆IPSECME WG (IP Security Maintenance and Extensions WG)

IPSEC WGの後継として、2005年に同WGがクローズした後、必要になった拡張
や既存ドキュメントの明確化などの議論を行うためのWGです。今回このミー
ティングは、2010年3月22日の午前9 時から1時間半程度開催されました。参
加者は、50人程度でした。

IPSECME WGにおいて、今回のIETFまでにRFCとして発行されたドキュメント
や、RFCとして発行される直前のドキュメントを示します。

<RFCとして発行されたドキュメント>

RFC 5658: Redirect Mechanism for the Internet Key Exchange Protocol
          Version 2(IKEv2)

          ノードからIPsecでの接続を他ノードへリダイレクトするための、
          IKEv2における拡張仕様を規定するドキュメントです。

RFC 5723: Internet Key Exchange Protocol Version 2(IKEv2) Session
          Resumption

          現状のIKEv2では、VPN接続をサスペンドした後に、その接続を再
          開する際、IKEv2ネゴシエーションを再度実行する必要があり、
          ノードやVPNゲートウェイの負荷を増加させてしまう問題があり
          ました。この問題を解決するために、最初のIKEv2認証完了時に
          チケットを発行することで再接続を簡略化するための拡張仕様を
          規定するドキュメントです。

RFC 5739: IPv6 Configuration in Internet Key Exchange Protocol
          Version 2(IKEv2)

          RFC 4306では、IPv4のためのConfiguration payloadは規定され
          ていますが、IPv6での機能を利用するまでには至りませんでした。
          このドキュメントでは、IPv6のために新規でConfiguration
          attributeを規定しています。

<RFCとして発行される直前のドキュメント>

・Wrapped ESP for Traffic Visibility
                            (draft-ietf-ipsecme-traffic-visibility-12)

  Wrapped Encapsulating Security Payload(WESP)プロトコルを定義したド
  キュメントです。なお、Internet-Draft(I-D)のステータスは、RFC
  Editor queueです。

・Heuristics for Detecting ESP-NULL packets
                           (draft-ietf-ipsecme-esp-null-heuristics-07)

  暗号化されたESPパケットからESP-NULLパケットを識別するための、ヒュー
  リスティックについて記述したドキュメントです。I-Dのステータスは、
  IESG reviewです。

また、今回議論された検討項目は、以下の通りです。

・IPsec High Availability and Load Sharing Problem Statement
  (略称:IPsec HA)
・An Extension for EAP-Only Authentication in IKEv2
  (略称:EAP-only authentication)
・Secure Failure Detection
・Password-Based Authentication in IKEv2: Selection Criteria and
  Comparison(略称:PAKE authentication)

今回のミーティングにおいて、現在WGとして扱っている検討項目がRFC化さ
れ、完了フェーズに入りました。そのため、新規の項目として今回議論され
た中から、IPsec HA、EAP-only authentication、PAKE authentication の3 
項目がWGとしての検討項目として選定され、IPSECME WGのマイルストーンへ
反映されました。

なお、詳細な情報やI-Dなどについてご興味がありましたら、以下のURLをご
参照ください。

□IPSECME WG
  http://www.ietf.org/dyn/wg/charter/ipsecme-charter.html

□第77回IETF IPSECME WGのアジェンダ
  http://www.ietf.org/proceedings/10mar/agenda/ipsecme.txt


◆KRB WG (Kerberos WG)

KRB WGは、マサチューセッツ工科大学(MIT)が考案した、認証方式の一つで
あるKerberosプロトコルに関する新規仕様や機能拡張について、検討を行う
WGです。このミーティングは、2010年3月24日の午後1時から2時間程度開催
されました。なお、参加者は、30人程度でした。

<検討項目に関するドキュメントの状況>

KRB WGでの検討項目に関するドキュメントの状況は、以下の通りです。

・Problem statement on the cross-realm operation of Kerberos
  IESGによって承認され、Editor's queueのステータスになりました。

・A Generalized Framework for Kerberos Pre-Authentication
  2010年4月8日に、IESG Telechatを実施する予定です。

・Using Kerberos V5 over the Transport Layer Security(TLS) protocol
  IESG reviewというステータスです。

・Initial and Pass Through Authentication Using Kerberos V5 and the 
  GSS-API(IAKERB)
  数ヶ月前にWGとしてのLast Callが完了しました。

<失効ステータスI-D>

・Additional Kerberos Naming Constraints
・Anonymity Support for Kerberos

上記のI-Dについては、どちらもKRB WGでの検討項目ですが、失効している
ステータスです。これらのような失効しているI-Dも、新たに更新版をアッ
プロードすることで、ドキュメントのステータスをアクティブな状態に変更
することができ、これにより他の議題と同様に議論を行うことができます。

Additional Kerberos Naming Constraintsについては、ドキュメントに存在
している問題は解決されているため、最新版の投稿が行われるのを待つとい
う状態であり、また、Anonymity Support for Kerberosは、いくつかの修正
が残っている状況です。

<Last Call中の検討項目>

KRB WGでLast Callを行っている検討項目として、以下の項目がありました。
・An information model for Kerberos version 5

複数のrealm(realmとは、ここではKerberosを使用したネットワークのこと) 
において、Kerberosを使用して認証できるユーザーやサービス固有の名前で
あるprincipalが、複数の名前を持ってしまうかもしれないことについて議
論されていました。

<新規の検討項目>

KRB WGにおける新規の検討項目として、以下の議題について議論を行いまし
た。
・Kerberos ticket extensions
・Deprecate DES support for Kerberos
・Kerberos Option for DHCPv6

この検討項目の中で、個人的に注目しているのは、Deprecate DES support
for Kerberosです。その理由としては、暗号アルゴリズムの危殆化対策(暗
号技術の世代交代)の対象アルゴリズムである、DES暗号の利用停止を行うた
めに、WGとして検討が行われていることが挙げられます。暗号アルゴリズム
を利用するプロトコルの危殆化対策を推進していくことは、プロトコルが利
用している暗号アルゴリズムの安全性について強く意識することであり、利
用者や実装者への注意喚起を促すのに良い機会にもなります。そのため、こ
のような検討は多くのセキュリティ関連のプロトコルでも、積極的に行われ
てほしいと考えています。

<今後の検討項目>

今後のKRB WGとしての検討項目について議論しました。議題は、以下の通り
です。
・Kerberos number registry to IANA
・KDC Schema
・Camellia Encryption for Kerberos 5

ここでは、上記の中から議論が盛り上がった話題について報告します。それ
は、NTT社とMIT Kerberos Consortiumの共同により提案が行われた
「Kerberos 5 プロトコルにおいて、日本で開発されたCamellia暗号をCTS
(Cipher Text Stealing)モードで利用するための仕様提案」についてです。
現状のKRB WGにおいて、新規暗号アルゴリズムを追加することが、検討項目
になっていないため、本提案をどのように扱うべきか議論が行われました。

結果的には、KRB WGにおける検討項目にはなりませんでしたが、Individual
draftとして有識者のレビューを行うことになりました。この議論に関係し
た話題として、Kerberos 5プロトコルで利用する暗号モードとして、GCM
(Galois Counter Mode)モードやCCM (Counter with CBC-MAC)モードに関す
る話題も検討される流れになっていました。

なお、詳細な情報やI-Dなどについてご興味がありましたら、以下のURLをご
参照ください。

□KRB WG
  http://www.ietf.org/dyn/wg/charter/krb-wg-charter.html

□第77回IETF KRB WGのアジェンダ
  http://www.ietf.org/proceedings/10mar/agenda/krb-wg.txt


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.740 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2010 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.