メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway

よく検索されるキーワード

IPv6 DNS HTTP WHOIS BGP IPv4 ドメイン名とは IPアドレス FQDN インターネット
ロゴ:JPNIC
WHOIS検索 サイト内検索

よく検索されるキーワード

===================================
    __
    /P▲         ◆ JPNIC News & Views vol.805【臨時号】2010.12.17 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.805 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.800、vol.801、vol.804に続き、2010年11月に中国の北京で開
催された第79回IETFのレポート[第4弾]として、「セキュリティ関連WG報告
~IPSECME WG、KRB WGについて~」をお届けします。

なお、全体会議、IPv6関連WGおよびDNS関連WGについては、以下のURLからバッ
クナンバーをご覧ください。

□第79回IETF報告 特集
  ○[第1弾] 全体会議報告 (vol.800)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol800.html
  ○[第2弾] IPv6関連WG報告 (vol.801)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol801.html
  ○[第3弾] DNS関連関連WG報告 (vol.804)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol804.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第79回IETF報告 [第4弾]  セキュリティ関連WG報告
   ~IPSECME WG、KRB WGについて~
                                        NTTソフトウェア株式会社 菅野哲
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

第79回IETFは、中国の北京にて、2010年11月6日から12日の期間に開催されま
した。今回の参加者は52ヶ国1,177人でした。これは、第78回IETFオランダ・
マーストリヒト(53ヶ国 1,153人)と比較した場合、1ヶ国減、24人増という結
果となります。今回、中国での開催だったため、会場では中国からの参加者
が多く見受けられました。

IETFでは、さまざまな領域の議論が行われており、セキュリティに関する議
論も行われます。また、IETFにはセキュリティ関連WGが14存在しています。
今回は、11WGによる13のセッションに加えて、BoFが二つ(KIDNS(Keys in the 
DNS)とSCAP(Security Content Automation Protocol))で、合計15のセッショ
ンが開催されました。

セキュリティ関連のWGに関するこれらのミーティングは、領域および範囲が
広いため、すべてのミーティング内容を把握することが困難な状況です。そ
こで本稿では、会期中に議論されたセキュリティ関連セッションの中から、
認証やセキュア通信に特化した内容を議論するWGである、IPSECME WG(IP
Security Maintenance and Extensions WG)およびKRB WG(Kerberos WG)の動
向について報告します。


◆IPSECME WG(IP Security Maintenance and Extensions WG)

IPSEC WGの後継として、2005年に同WGがクローズした後、必要になった拡張
や既存ドキュメントの明確化などの議論を行うためのWGです。今回このミー
ティングは、2010年11月10日の午後1時から2時間程度開催されました。参加
者は、40人程度でした。

IPSECME WGにおいて、前回のマーストリヒトでのIETFから今回までにRFCとし
て発行されたドキュメントや、RFCとして発行される直前のドキュメントを示
します。

<RFCとして発行されたドキュメント>

・RFC5996 Internet Key Exchange Protocol Version 2(IKEv2)

  IKEv2について記述するドキュメントです。このI-D(Internet-Draft)がRFC
  化されたことで、以前発行されたRFC4306(Internet Key Exchange(IKEv2)
  Protocol)とRFC4718(IKEv2 Clarifications and Implementation
  Guidelines)を廃止(Obsoletes)しました。なお、このRFCは、インターネッ
  ト標準化過程(Standards Track)として発行されました。
  URL:http://tools.ietf.org/html/rfc5996
  
・RFC5998 An Extension for EAP-Only Authentication in IKEv2

  IKEv2において、拡張可能な応答者認証を提供するための相互認証(mutual
  authentication)や鍵合意(key agreement)を提供するEAP(Extensible
  Authentication Protocol)を仕様化するドキュメントです。なお、このRFC
  は、Standards Trackのドキュメントとして発行され、RFC5996を更新
  (Updates)しています。
  URL:http://tools.ietf.org/html/rfc5998
  
・RFC6027 IPsec Cluster Problem Statement

  クラスタ上でのIKEやIPsecを実装するための要求条件や問題の提示、およ
  び専門用語について定義しているドキュメントです。また、異なるクラス
  タ間の相互運用を可能にするピアを許可するための、仕様と実装のギャッ
  プも記述しています。なお、このRFCは、情報(Informational)に分類され
  るドキュメントとして発行されました。
  URL:http://tools.ietf.org/html/rfc6027 

<RFCとして発行される直前のドキュメント>

・IP Security(IPsec) and Internet Key Exchange(IKE) Document Roadmap
  (draft-ietf-ipsecme-roadmap-10)

  IPsecやIKEに関係するRFCが多く発行され、それぞれの関係などが複雑化し
  ており、そのドキュメントの背景や要約を記述することでそれらの関係を
  整理することを目的としたドキュメントです。なお、I-Dのステータスは、
  RFC Editorの 編集待ちリストに掲載されている状態(RFC Ed Queue)です。
  本I-Dは、Informationalのドキュメントとして発行される予定です。

  このI-DがRFC化されると、以前発行されたRFC2411(IP Security Document
  Roadmap)は廃止されます。

また、今回議論された検討項目は、以下の通りです。

・A Quick Crash Detection Method for IKE
  draft-ietf-ipsecme-failure-detection-02 
・Protocol Support for High Availability of IKEv2/IPsec
  draft-ietf-ipsecme-ipsecha-protocol-02

このミーティングでは、主に"A Quick Crash Detection Method for IKE"と
"Protocol Support for High Availability of IKEv2/IPsec"に関する議論に
時間を費やしました。

上記以外のトピックスとして、以下の三つの話題が会議で取り上げられ議論
されました。この中から二つに注目して、議論内容のポイントを報告します。

・IKEv2 Re-authentication

  IKEv2bisとして議論され、RFC5996として発行された仕様において、
  Re-authenticationにいくつかの問題が存在しているという指摘がありまし
  た。それらの問題に対して、いくつかの解決策はあるが、現在思いつくよ
  うな解決策ではなく、異なる方法による解決が必要であるという議論にな
  りました。今後のIPSECMEでの議論に注目する必要があると考えます。
  
・IKEv2--(IKEv2 "minus minus")

  「デバイスによる高い制約を受ける状況などでIKEv2を実装する人などに向
  けて、最小構成のIKEv2を規定する必要はあるのではないか?」という議論
  が行われました。IKEv2という仕様は複雑であり比較的大きなものなので、
  IKEv2を利用するIPSECME WG以外の人に対して、最小構成仕様の必要性は高
  いと考えられます。この議論の結果としては、最小実装として満たさなけ
  ればならない仕様は、RFC5996で規定されている仕様となりました。

・IKEv2 with CGA(CGA: Cryptographically Generated Addresses [RFC3972])

なお、IPSECME WGの詳細情報および今回のアジェンダについては、以下のURL
をご参照ください。

□IPSECME WG
  http://www.ietf.org/dyn/wg/charter/ipsecme-charter.html

□第79回IETF IPSECME WGのアジェンダ
  http://www.ietf.org/proceedings/79/agenda/ipsecme.txt


◆KRB WG(Kerberos WG)

KRB WGは、マサチューセッツ工科大学(MIT)が考案した、認証方式の一つであ
るKerberosプロトコルに関する新規仕様や機能拡張について、検討を行うWG
です。このミーティングは、最終日である2010年11月12日の午後1時から2時
間半程度開催されました。なお、参加者は、20人程度でした。

ミーティングの構成として、以下のような議題で進行されました。

・ドキュメントステータスおよび議論
・技術的な議論
  -KerberosにおけるCamelliaに関する議論
  -IANAに関する議論
  -PAC(Privilege Attribute Certificate)に関する議論
・Mesh wireless network through Kerberosに関する提案
  (draft-moustafa-krb-wg-mesh-nw)

このミーティングについて、ドキュメントステータス、技術的な議論および
今回の3提案の中から、いくつかのトピックスに関して報告します。

<ドキュメントステータスおよび議論>

・Deprecate DES support for Kerberos
  (draft-lha-des-die-die-die)

  危殆化した暗号アルゴリズムであるDESに関してKerberosでのサポート停止
  をアナウンスするためのDraftです。このドキュメントのステータスとして
  は、WG Last Callは完了しており、著者によるIESGへの対応待ちの状況で
  す。この仕様は、暗号の危殆化(暗号の世代交代)の観点から重要なもので
  あると考えられています。

・Kerberos Options for DHCPv6
  (draft-sakane-dhc-dhcpv6-kdc-option)

  Dynamic Host Configuration Protocol for IPv6(DHCPv6)において、
  Kerberosプロトコルに関係する設定情報を利用するために、四つのオプショ
  ンを定義する仕様です。このドキュメントのステータスは、修正版の投稿
  待ちでしたが、ミーティング中に、著者から更新版が投稿されました。

<技術的な議論>

・KerberosにおけるCamelliaに関する議論

  現在、KRB WGのスコープに暗号アルゴリズムの追加は含まれていないため、
  WGとして議論するトピックとしてコンセンサスを取るための議題でした。
  議論の概要としては、技術的な議論が主な目的だったため、Camellia-CCM
  を利用した際のKerberosに対する影響などについて活発な議論が行われま
  した。

  議論を行う際に、KRB WGのチェアから送られたメールを参照しました。そ
  のメールの詳細については、以下のURLをご覧ください。

  https://lists.anl.gov/pipermail/ietf-krb-wg/2010-November/008770.html


なお、KRB WGの詳細情報および今回のアジェンダについては、以下のURLをご
参照ください。

□KRB WG
  http://www.ietf.org/dyn/wg/charter/krb-wg-charter.html

□第79回IETF KRB WGのアジェンダ
  http://www.ietf.org/proceedings/79/agenda/krb-wg.txt


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.805 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2010 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

メールマガジン(JPNIC News & Views)登録

パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが
誤っていた可能性がありますので、 再度ご登録手続きを行ってください。

ロゴ:JPNIC

Copyright© 1996-2025 Japan Network Information Center. All Rights Reserved.