メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.881【臨時号】2011.9.2 ◆
  _/NIC
===================================
---------- PR --------------------------------------------------------
■ オンデマンドクイック専有サーバサービス、『WiRESERV.』
WiRESERV.はF/W、Web、Mail、DB全てセキュリティ設定済みの専用サーバ。
コストパフォーマンスに優れたオールインワンサーバパックをお試し下さい。
●株式会社ディーネット
●詳細はこちら ⇒http://www.denet.co.jp/products/dedicated/wireserv/
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.881 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.879、vol880に続いて、第81回IETFのレポート[第3弾]として、
セキュリティ関連WGの動向についてお届けします。

なお、全体会議やIPv6関連WGなど、他の報告については以下のURLからバック
ナンバーをご覧ください。

□第81回IETF報告 特集
  ○[第1弾] 全体会議報告 (vol.879)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2011/vol879.html
  ○[第2弾] IPv6関連WG報告 (vol.880)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2011/vol880.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第81回IETF報告 [第3弾]  セキュリティ関連WG報告
   ~KRB-WG、SAAG、暗号アルゴリズムの危殆化対応の動向について~
                                        NTTソフトウェア株式会社 菅野哲
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

第81回IETFは、カナダのケベックシティにて、2011年7月24日から7月29日の
期間に開催されました。IETFでは、インターネットに関するさまざまな議論
が行われ、情報セキュリティに関する議論もその中に含まれます。IETFには、
セキュリティに関係するWGとして、13のWGが存在しています。今回のIETF会
合では、13WGのうち11WGのミーティングが開催され、さらにBoF(Birds of a 
Feather)として、CICM(Common Interface to Cryptographic Modules)とWOES
(Web Object Encryption and Signing)が開催されたため、計13のセキュリ
ティに関するセッションが開催されました。

このように、セキュリティ関連のWGが扱う領域は多岐にわたります。今回の
報告でも、毎回お伝えしている認証や、セキュア通信に特化した内容を議論
するWGである、KRB-WG(Kerberos WG)の動向を報告します。また、それら二つ
のWGの報告に加え、セキュリティ全般に関して横断的にディスカッションを
行うSAAG(Security Area Advisory Group)において、現在アメリカ国立標準
技術研究所(NIST; National Institute of Standards and Technology)が選
定を行っている、SHA-3(*1)に関する発表がありましたので報告します。その
上で、今後重要な問題であると考えられている、暗号アルゴリズムの危殆(き
たい)化対応(*2)(暗号アルゴリズムの世代交代)に関するメールが、会期中に
CFRGのメーリングリスト(ML)に投稿されましたので、それについても報告し
ます。

(*1) Hash Competition
     http://csrc.nist.gov/groups/ST/hash/sha-3/index.html

(*2) 暗号アルゴリズムの危殆(きたい)化
     簡単に言えば、暗号アルゴリズムの安全性のレベルが低下した状況、ま
     たは、その影響により暗号アルゴリズムが組み込まれているシステムな
     どの安全性が脅かされる状況を指します。詳しくは下記のURLをご覧く
     ださい。

     JPNIC Newsletter No.44 インターネット10分講座
     「暗号アルゴリズムの危殆化」
     http://www.nic.ad.jp/ja/newsletter/No44/0800.html


◆KRB-WG (Kerberos WG)

KRB-WGは、マサチューセッツ工科大学(MIT)が考案した認証方式の一つであ
る、Kerberosプロトコルに関する新規仕様や機能拡張について、検討を行う
WGです。このミーティングは、2011年7月28日の午前9時から2時間半程度開催
され、参加者は30人程度でした。

ミーティングの構成として、以下のような議題で進行されました。なお、こ
のWGがKerberosに関するものであるためか、MIT Kerberos Consortium
(http://www.kerberos.org/)のメンバーたちが主導的に議論を行っていまし
た。

1) ドキュメントステータスおよび確認
2) 技術的な議論
3) 可能性のある新規項目

この三つの議題について、議論のポイントを報告します。

1) ドキュメントステータスおよび確認

前回の会合から今回の会合までの期間にRFCとして発行されたドキュメント
は、4本あったことが報告されました。そのドキュメントのカテゴリーの内訳
は、Standards Trackが3本、Informationalが1本でした。

・RFC 6111 Additional Kerberos Naming Constraints
  - この規約は、よく知られているKerberosに関するprincipal nameとrealm 
    nameについてのname constraintsを定義しています。

・RFC 6112 Anonymity Support for Kerberos
  - この規約は、identityやKerberos realm以上の情報を暴くことなく、
    Kerberosアプリケーションサービスで安全に通信するための拡張を定義
    しています。

・RFC 6113 A Generalized Framework for Kerberos Pre-Authentication
  - この規約は、Kerberos事前認証に関して、より形式的なモデルを記述し
    たものです。

・RFC 6251 Using Kerberos Version 5 over the Transport Layer Security
  (TLS) Protocol
  - この規約は、TLS通信を用いたKerberosクライアントとKey Distribution
    Centers (KDCs)との間での、通信について記述しています。

また、WG itemとして扱われている9本のドキュメントについて、ステータス
の報告がありました。その中で個人的に興味を持ったドキュメントは、
Deprecate DES support for Kerberos (draft-lha-des-die-die-die-05)で
す。このドキュメントは、危殆化した暗号アルゴリズムであるDESの利用を廃
止することを目的にしています。この危殆化アルゴリズムであるDESは、
Kerberos V5で利用可能な暗号アルゴリズムの一つとして定義されているの
で、仕様として利用できる状況になっています。ドキュメントの状況として
は、Expireしてしまっている状況でありますが、暗号アルゴリズムの危殆化
対策の観点からも、危殆化した暗号アルゴリズムを、標準化活動において無
効化するための対応としての、ケーススタディとして重要なものと位置づけ
られると考えられるため、更新版の投稿が望まれていると思われます。

2) 技術的な議論

技術的な議論の対象として扱われたのは、以下の二つのドキュメントについ
てです。

・A Generalized PAC for Kerberos V5 (draft-sorce-krbwg-general-pac-02)
  - このドキュメントは、Keberos V5における汎用的な認証の仕組みを記述
    することを目的としています。

・Kerberos number registry to IANA
  (draft-lha-krb-wg-some-numbers-to-iana-00)
  - このドキュメントは、Kerberosプロトコルを定義する多くの数値につい
    て整理し、それらの管理をIANAに移管することを目的としています。

ここでは、A Generalized PAC for Kerberos V5について、議論の要点および
今後の方針を報告します。この議題は、krb-wgのMLに投稿されたコメント(*3)
をベースに議論が行われました。コメントは、一般的なものから仕様に踏み
込んだものまで多岐にわたっており、それぞれのコメントについて議論を行っ
た結果を、次版のドキュメントに反映することで、WG itemとして採択されま
した。今後の課題として、さまざまなサービス間での相互運用性を実現する
ために、fieldの記述を詳細化することが求められています。

(*3) https://lists.anl.gov/pipermail/ietf-krb-wg/2011-July/009342.html


3) 可能性のある新規項目

KRB-WGとしてWG itemにするかどうか検討するために、Camellia Encryption
for Kerberos 5(draft-hudson-krbwg-camellia-cts-02)に関する議論が行わ
れました。このドキュメントは、Kerberos V5における利用可能な暗号アルゴ
リズムとしてCamelliaの追加およびチェックサムとしてCipher-based MAC
(CMAC)を追加することを目的としています。これまでKerberosで仕様化され
ていないアルゴリズムのため、WGの将来的な議題として取り上げられていま
す。

議論の流れとしては、AES以外の共通鍵暗号として追加される暗号アルゴリズ
ムの安全性に関する議論(例えば、暗号に関する研究成果など)や、新たに暗
号アルゴリズムを追加した際に、さらに暗号アルゴリズムの追加要望が出る
のではないか?などについても議論されました。

なお、enc-typeの追加に関しては、新たにCamelliaをKerberos V5に追加する
かどうかを、2010年3月から議論を行っていますが、ミーティング参加者にお
ける賛同者は増加しています。WG itemとしてCamelliaに関するDraftの採択
に関しては、KRB-WG Chairが検討することになり、次回以降のミーティング
で決定されるものと考えられます。

□KRB-WG
  http://datatracker.ietf.org/wg/krb-wg/charter/

□第81回IETF KRB WGのアジェンダ
  http://www.ietf.org/proceedings/81/agenda/krb-wg.html


◆SAAG (Security Area Advisory Group)

SAAGでは、IETFにおけるSecurity Areaの総括やセキュリティ全般に関した横
断的な議論が行われ、Security Areaの各WGやBoF、セキュリティが関係する
WG等の確認が行われます。また、招待講演で勉強会も開催されるため、
Security Areaの横断的な状況や、注目のトピックスについて情報を得たい場
合に有意義な場です。このミーティングは、2011年7月28日の午前1時から2時
間程度開催され、多くのセキュリティ関係者が参加していました。

今回のトピックスは以下の通りです。ここでは、SHA-3に関する報告を行いま
す。

・IETFにおけるプロトコルや実装でのSHA-3のサポート
・安全保護のためのIdentifier Comparison
・IEEE 802.15における鍵管理プロトコル

今回のミーティングでSHA-3に関する報告された点は以下の通りです。

・IETFで標準化されたプロトコルに対するインパクト
  - プロトコルとしてハッシュ関数が代替可能であるならば、SHA-2からSHA-3
    への乗り換えが容易に行える
  - しかしながら、SHA-2に対応していない場合、SHA-3への移行については
    バッファサイズなどの検討が必要かもしれない

・NISTとしては、SHA-3決定後にSHA-2を取りやめたり、SHA-3を推すことはな
  く、SHA-2とSHA-3を共存させる

・今後のSHA-3に関するスケジュール
  - 2012年03月22日 Final SHA-3 Candidate Conference
  - 2012年夏 最終選考結果をアナウンス
      IETFとしては、最終選考結果を受けて標準化を実施可能

なお、このSHA-3に関する詳しい情報を確認したい場合は、以下の発表資料を
ご覧ください。

http://www.ietf.org/proceedings/81/slides/saag-3.pdf


また、Security AreaのWGの動向については、WGとしての役割を終えて、DKIM
(Domain Keys Identified Mail)、MSEC(Multicast Security)、ISMS
(Integrated Security Model for SNMP)がクローズされる予定です。WGとし
て扱う新規検討項目が発生しなかった場合、IPSECME(IP Security 
Maintenance and Extensions)は、2012年2月にクローズされると報告されて
いました。

□第81回IETF SAAGのアジェンダ
  http://www.ietf.org/proceedings/81/slides/saag-0.pdf


◆暗号アルゴリズムの危殆化対応(暗号アルゴリズムの世代交代)に関する最
  新動向

会期中、CFRG(Crypto Forum Research Group) のMLに、IETFに存在する
Internet-Draftに関して、危殆化した暗号アルゴリズムであるMD5を利用して
いるものを抽出したリストが共有されました(*4)。このメールは、更新され
たMD5に関するSecurity ConsiderationsのRFC(*5)を参照することを勧めるこ
とで、ハッシュ関数の正しい利用を推進することを目的としています。
Security Areaが中心となって、IETFにおける暗号アルゴリズムの危殆化対策
を行っていることを、垣間見ことができる一例だと思います。

(*4) meeting at IETF 81 to discuss review of MD5 uses,
     http://www.ietf.org/mail-archive/web/cfrg/current/msg03012.html

(*5) Updated Security Considerations for the MD5 Message-Digest and 
     the HMAC-MD5 Algorithms,
     http://tools.ietf.org/rfc/rfc6151.txt


◆最後に

インターネットの標準化活動に触れる機会としては、台湾(台北)で開催が予
定されている、次回の会合が大きなチャンスだと考えられます。今後のIETF
においては、これ以降アジア地域での開催がしばらく予定されていません。
なお、会合の開催日程は2011年11月13日から11月18日です。インターネット
の標準化活動に興味がある方は、ぜひ参加を考えてみてはどうでしょうか?


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/881/2e3aec6469e77f9fcdf54bd94965acc6 ┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/881/3e5586badc57abe0802def10218e7669 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.881 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     http://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: http://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml  :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2011 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.