===================================
__
/P▲ ◆ JPNIC News & Views vol.811【臨時号】2011.1.4 ◆
_/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.811 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あけましておめでとうございます。本年も、JPNIC News & Viewsをよろしく
お願いします。
さて2011年の1号目となる本号では、vol.800、vol.801、vol.804、vol.805に
続き、2010年11月に中国の北京で開催された第79回IETFのレポート[第5弾]と
して「セキュリティ関連WG報告 PKIX WG、SIDR WGとリソースPKIの動向~」
をお届けします。
なお、その他の話題につきましては、以下のバックナンバーをご覧ください。
□第79回IETF報告 特集
○[第1弾] 全体会議報告 (vol.800)
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol800.html
○[第2弾] IPv6関連WG報告 (vol.801)
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol801.html
○[第3弾] DNS関連関連WG報告 (vol.804)
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol804.html
○[第4弾] セキュリティ関連WG報告 ~IPSECME WG、KRB WGについて~
(vol.805)
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol805.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第79回IETF報告 [第5弾] セキュリティ関連WG報告
~PKIX WG、SIDR WGとリソースPKIの動向~
JPNIC 技術部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本稿では、セキュリティ関連WG (Working Group)の中でも、特にPKIX WG
(Public-Key Infrastructure (X.509) WG)とSIDR WG (Secure Inter-Domain
Routing WG)、およびリソースPKIの動向について報告します。
◆PKIX WG (Public-Key Infrastructure (X.509) WG)
PKIX WGは、インターネットのためのPKI技術に関する策定に取り組んでいる
WGです。ミーティングは、4日目の2010年11月10日(水)午前9時から1時間程行
われました。参加者は50名程でした。
前回の第78回IETF以降、新たに三つのドキュメントがRFCになりました。
- Trust Anchor Management Protocol (TAMP) (RFC5934)
Trust Anchorとなる証明書を格納する形式について述べたドキュメン
トです。2008年の中頃から議論されてきました。
- Trust Anchor Management Requirements (RFC6024)
Trust Anchorの管理上の課題点やTrust Anchorを管理する仕組みにつ
いて述べたドキュメントです。TAMPとともに議論が進められてきまし
た。
- ASN.1 Translation (RFC6025)
ASN.1記法のうち、2002年7月に公開されたX.681等に合わせて変更が
必要な点についてまとめたドキュメントです。
WGで議論されたドキュメントは以下の五つです。
- Certificate Management over CMS (CMC) Updates
CMSを用いた証明書管理のプロトコルに関するRFC5272とRFC5274の更
新です。
- Clarifications to the Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List (CRL) Profile
(draft-ietf-pkix-rfc5280-clarifications-01)
RFC5280を更新するドキュメントで、RFC5280で使用しないとされてい
たVisibleStringエンコードを利用できるようになっています。
- X.509 Internet Public Key Infrastructure Online Certificate
Status Protocol - OCSP
(draft-ietf-pkix-rfc2560bis-02)
「1. Introduction」で述べられている更新を行うための議論が行わ
れています。同じDN(Distinguished Name)の異なる鍵を判別するため
の課題が残っています。
- Internet X.509 Public Key Infrastructure -- Transport Protocols
for CMP
(draft-ietf-pkix-cmp-transport-protocols-10)
CMP (Certificate Management Protocol)とトランスポートプロトコ
ルの関係を述べたドキュメントです。HTTPとMailベースのプロトコル
について述べられています。
- OCSP Algorithm Agility
(draft-ietf-pkix-ocspagility-02)
オンラインの証明書検証プロトコルであるOCSP (Online
Certificate Status Protocol)で、暗号アルゴリズムを変更できるよ
うにするための提案です。Extension(拡張)のSignature
Algorithm(署名アルゴリズムの種類)について議論が行われています。
◆SIDR WG (Secure Inter-Domain Routing WG)
SIDR WGは、インターネットにおける経路制御のセキュリティ・アーキテク
チャに関する検討を行っているWGです。第79回IETFでは、SIDR WGのミーティ
ングが5日目(11月11日)の午前9時から3時間半程行われました。参加者は60名
程でした。このWGのI-D (Internet-Draft)にはRFCになったものがなく、多く
のドキュメントもI-Dのまま議論が進められています。
WGのLast CallがかかっているI-Dは以下の三つです。
- An Infrastructure to Support Secure Internet Routing
(draft-ietf-sidr-arch-11.txt)
RPKIの全体構造や概念を述べたドキュメントです。しばらく大きな変
更が行われていません。
- Signed Object Template for the Resource Public Key Infrastructure
(draft-ietf-sidr-signed-object-01)
RPKIを使った電子署名の、汎用的に形式をまとめたドキュメントです。
形式はCMS (Cryptographic Message Syntax - RFC3852)に則っていま
す。
- Resource Certificate PKI (RPKI) Trust Anchor Locator
(draft-ietf-sidr-ta-06)
Trust Anchorとなるリソース証明書の位置と内容を示す書式を述べた
ドキュメントです。
以下のI-Dは、Last Callが終了しました。
- Validation of Route Origination using the Resource Certificate
PKI and ROAs
(draft-ietf-sidr-roa-validation-09)
リソース証明書とROA(Route Origin Authorization)の電子署名などの
検証方法について述べたドキュメントです。しばらく大きな変更が行
われていません。
- Certificate Policy (CP) for the Resource PKI (RPKI)
(draft-ietf-sidr-cp-15)
リソース証明書の発行条件を定義したドキュメントです。
この他のI-Dは、WG Last Callに至っておらず議論が進められています。
◆RPKI testbed
第79回IETFミーティングの期間中、主にRPKIの実装の一つであるISC
(Internet Systems Consortium)の「RPKI tool」を用いた技術実験である
「RPKI testbed」の集まりがありました。各々がRPKIの実装を実験的に動作
させ、RIRとNIRのリソースCAを相互に接続するなどのテストが行われました。
・日時:2010年11月6日(土) 10時~第79回IETF会期中
・場所:ターミナルルーム
・参加:APNIC、ISC、BBN Technologies、RIPE NCC、JPNIC、IIJ他
・実施内容:
- 実験用のRIRのリソースCA稼動
- リポジトリからのリソース証明書等の収集/検証
- JPNICのリソースCA稼動/国内LIRのCA稼動
筆者も参加し、APNICの実験用リソースCAや指定事業者の実験用リソースCAと
接続でき、JPNICの登録情報に基づくリソース証明書を発行できることが確認
できました。しかしRPKIの実装は開発段階にあり、改良が常に加えられてい
ます。RPKI toolを稼動させたり詳細の動作を調べたりするのには、ドキュメ
ントのみならずソースコードを読んだり、開発者に相談したりする必要があ
りました。「RPKI tool」は、以下から入手できます。
□ Resource PKI Software
http://www.rpki.net/
RPKI testbedの集まりがあったターミナルルームでは、RPKI toolの開発者で
あるRob Austin氏やGUIのソフトウェアを開発したMichael Elkins氏を目の前
にして実験を行うことができました。ちょっとしたことを気軽に聞いたり議
論をしたりできるため、筆者が「これほどありがたい環境はない」と述べた
ところ、Austin氏が、昔のIETFではこういったことは日常茶飯事で、こんな
感じで朝まで議論したりしていたよ、と教えてくれました。今回は多くのWG
セッションに参加せず、RPKI testbedの方に参加していましたが、思わぬと
ころでIETFの文化に触れた気がしました。
◇ ◇ ◇
次回の第80回IETFは、2011年3月27日~4月1日、チェコのプラハで行われる予
定です。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
http://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.811 【臨時号】
@ 発行 社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/
■■◆ @ Japan Network Information Center
■■◆ @ http://www.nic.ad.jp/
■■
Copyright(C), 2011 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
- JPNIC会員
