メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.811【臨時号】2011.1.4 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.811 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

あけましておめでとうございます。本年も、JPNIC News & Viewsをよろしく
お願いします。

さて2011年の1号目となる本号では、vol.800、vol.801、vol.804、vol.805に
続き、2010年11月に中国の北京で開催された第79回IETFのレポート[第5弾]と
して「セキュリティ関連WG報告 PKIX WG、SIDR WGとリソースPKIの動向~」
をお届けします。

なお、その他の話題につきましては、以下のバックナンバーをご覧ください。

□第79回IETF報告 特集
  ○[第1弾] 全体会議報告 (vol.800)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol800.html
  ○[第2弾] IPv6関連WG報告 (vol.801)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol801.html
  ○[第3弾] DNS関連関連WG報告 (vol.804)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol804.html
  ○[第4弾] セキュリティ関連WG報告 ~IPSECME WG、KRB WGについて~
    (vol.805)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol805.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第79回IETF報告 [第5弾]  セキュリティ関連WG報告
   ~PKIX WG、SIDR WGとリソースPKIの動向~
                                                 JPNIC 技術部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、セキュリティ関連WG (Working Group)の中でも、特にPKIX WG
(Public-Key Infrastructure (X.509) WG)とSIDR WG (Secure Inter-Domain
Routing WG)、およびリソースPKIの動向について報告します。

◆PKIX WG (Public-Key Infrastructure (X.509) WG)

PKIX WGは、インターネットのためのPKI技術に関する策定に取り組んでいる
WGです。ミーティングは、4日目の2010年11月10日(水)午前9時から1時間程行
われました。参加者は50名程でした。

前回の第78回IETF以降、新たに三つのドキュメントがRFCになりました。

   - Trust Anchor Management Protocol (TAMP) (RFC5934)

       Trust Anchorとなる証明書を格納する形式について述べたドキュメン
       トです。2008年の中頃から議論されてきました。

   - Trust Anchor Management Requirements (RFC6024)

       Trust Anchorの管理上の課題点やTrust Anchorを管理する仕組みにつ
       いて述べたドキュメントです。TAMPとともに議論が進められてきまし
       た。

   - ASN.1 Translation (RFC6025)

       ASN.1記法のうち、2002年7月に公開されたX.681等に合わせて変更が
       必要な点についてまとめたドキュメントです。

WGで議論されたドキュメントは以下の五つです。

   - Certificate Management over CMS (CMC) Updates

       CMSを用いた証明書管理のプロトコルに関するRFC5272とRFC5274の更
       新です。

   - Clarifications to the Internet X.509 Public Key Infrastructure
     Certificate and Certificate Revocation List (CRL) Profile
     (draft-ietf-pkix-rfc5280-clarifications-01)

       RFC5280を更新するドキュメントで、RFC5280で使用しないとされてい
       たVisibleStringエンコードを利用できるようになっています。

   - X.509 Internet Public Key Infrastructure Online Certificate
     Status Protocol - OCSP
     (draft-ietf-pkix-rfc2560bis-02)

       「1. Introduction」で述べられている更新を行うための議論が行わ
       れています。同じDN(Distinguished Name)の異なる鍵を判別するため
       の課題が残っています。

   - Internet X.509 Public Key Infrastructure -- Transport Protocols
     for CMP
     (draft-ietf-pkix-cmp-transport-protocols-10)

       CMP (Certificate Management Protocol)とトランスポートプロトコ
       ルの関係を述べたドキュメントです。HTTPとMailベースのプロトコル
       について述べられています。

   - OCSP Algorithm Agility
     (draft-ietf-pkix-ocspagility-02)

       オンラインの証明書検証プロトコルであるOCSP (Online
       Certificate Status Protocol)で、暗号アルゴリズムを変更できるよ
       うにするための提案です。Extension(拡張)のSignature
       Algorithm(署名アルゴリズムの種類)について議論が行われています。


◆SIDR WG (Secure Inter-Domain Routing WG)

SIDR WGは、インターネットにおける経路制御のセキュリティ・アーキテク
チャに関する検討を行っているWGです。第79回IETFでは、SIDR WGのミーティ
ングが5日目(11月11日)の午前9時から3時間半程行われました。参加者は60名
程でした。このWGのI-D (Internet-Draft)にはRFCになったものがなく、多く
のドキュメントもI-Dのまま議論が進められています。

WGのLast CallがかかっているI-Dは以下の三つです。

   - An Infrastructure to Support Secure Internet Routing
     (draft-ietf-sidr-arch-11.txt)

      RPKIの全体構造や概念を述べたドキュメントです。しばらく大きな変
      更が行われていません。

   - Signed Object Template for the Resource Public Key Infrastructure
     (draft-ietf-sidr-signed-object-01)

      RPKIを使った電子署名の、汎用的に形式をまとめたドキュメントです。
      形式はCMS (Cryptographic Message Syntax - RFC3852)に則っていま
      す。

   - Resource Certificate PKI (RPKI) Trust Anchor Locator
     (draft-ietf-sidr-ta-06)

      Trust Anchorとなるリソース証明書の位置と内容を示す書式を述べた
      ドキュメントです。

以下のI-Dは、Last Callが終了しました。

   - Validation of Route Origination using the Resource Certificate
     PKI and ROAs
     (draft-ietf-sidr-roa-validation-09)

      リソース証明書とROA(Route Origin Authorization)の電子署名などの
      検証方法について述べたドキュメントです。しばらく大きな変更が行
      われていません。

   - Certificate Policy (CP) for the Resource PKI (RPKI)
     (draft-ietf-sidr-cp-15)

      リソース証明書の発行条件を定義したドキュメントです。

この他のI-Dは、WG Last Callに至っておらず議論が進められています。


◆RPKI testbed

第79回IETFミーティングの期間中、主にRPKIの実装の一つであるISC
(Internet Systems Consortium)の「RPKI tool」を用いた技術実験である
「RPKI testbed」の集まりがありました。各々がRPKIの実装を実験的に動作
させ、RIRとNIRのリソースCAを相互に接続するなどのテストが行われました。

   ・日時:2010年11月6日(土) 10時~第79回IETF会期中
   ・場所:ターミナルルーム
   ・参加:APNIC、ISC、BBN Technologies、RIPE NCC、JPNIC、IIJ他
   ・実施内容:
     - 実験用のRIRのリソースCA稼動
     - リポジトリからのリソース証明書等の収集/検証
     - JPNICのリソースCA稼動/国内LIRのCA稼動

筆者も参加し、APNICの実験用リソースCAや指定事業者の実験用リソースCAと
接続でき、JPNICの登録情報に基づくリソース証明書を発行できることが確認
できました。しかしRPKIの実装は開発段階にあり、改良が常に加えられてい
ます。RPKI toolを稼動させたり詳細の動作を調べたりするのには、ドキュメ
ントのみならずソースコードを読んだり、開発者に相談したりする必要があ
りました。「RPKI tool」は、以下から入手できます。

   □ Resource PKI Software
      http://www.rpki.net/


RPKI testbedの集まりがあったターミナルルームでは、RPKI toolの開発者で
あるRob Austin氏やGUIのソフトウェアを開発したMichael Elkins氏を目の前
にして実験を行うことができました。ちょっとしたことを気軽に聞いたり議
論をしたりできるため、筆者が「これほどありがたい環境はない」と述べた
ところ、Austin氏が、昔のIETFではこういったことは日常茶飯事で、こんな
感じで朝まで議論したりしていたよ、と教えてくれました。今回は多くのWG
セッションに参加せず、RPKI testbedの方に参加していましたが、思わぬと
ころでIETFの文化に触れた気がしました。

                ◇                ◇                ◇

次回の第80回IETFは、2011年3月27日~4月1日、チェコのプラハで行われる予
定です。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.811 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2011 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2022 Japan Network Information Center. All Rights Reserved.