メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.918【臨時号】2011.12.20 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.918 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.913、vol.915、vol.917に続き、第82回IETFのレポート[第4弾]
として、セキュリティ関連WGの動向についてお届けします。本号をもって、今
回の第82回IETFのレポートは最後となります。

なお、全体会議やIPv6関連WG報告、DNS関連WG報告については、それぞれ以下
のURLからバックナンバーをご覧ください。

□第82回IETF報告 特集
  ○[第1弾] 全体会議報告 (vol.913)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2011/vol913.html
  ○[第2弾] IPv6関連WG報告 (vol.915)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2011/vol915.html
  ○[第3弾] DNS関連WG報告 (vol.917)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2011/vol917.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第82回IETF報告 [第4弾]  セキュリティ関連WG報告
                                        NTTソフトウェア株式会社 菅野哲
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

第82回IETFは、台湾の台北にて、2011年11月13日から11月18日の期間に開催
されました。IETFでは、インターネットに関するさまざまな議論が行われ、
情報セキュリティに関する議論もその中に含まれます。今回のIETFでは、セ
キュリティエリアに属するWGの中から、12のWGが開催され、計13のセキュリ
ティに関するセッションが開催されました。なお、今回のIETF会合では、セ
キュリティエリアのBoF (Birds of a Feather)や、定番的なWGであるPKIX、
IPSECMEが開催されませんでした。

今回の報告は、毎回お伝えしている認証や、セキュア通信に特化した内容を
議論するWGである、KRB-WG (Kerberos WG)とTLS (Transport Layer Security)
WGの動向をお伝えします。

また、二つのWGの報告に加え、セキュリティ全般に関して横断的にディスカッ
ションを行うSAAG (Security Area Advisory Group)において、会期中にメー
リングリスト(ML)で、暗号アルゴリズムの取り扱いに関する議論が行われま
した。今後、IETFで標準化されるプロトコルで利用される、暗号アルゴリズ
ムに関するきっかけになることが考えられますので、ML上で行われた議論の
概要についても、併せて報告します。


◆TLS WG (Transport Layer Security Working Group)

TLS WGは、インターネット上で情報を暗号化して送受信するためのプロトコ
ルであるTLSについて、仕様の拡張や新規Cipher suite(*1)の検討を行うWGで
す。今回のこのミーティングは、2011年11月17日の午後5時40分から2時間程
度開催されました。参加者は、60人程度でした。

(*1) Cipher suite
     SSL/TLSプロトコルで使用される、認証、暗号化、メッセージ認証符号
     それぞれのアルゴリズムの組み合わせを指します。

ミーティングは、以下のような議題で進行されました。

1) ドキュメントステータスおよび確認
2) 技術的な議論

この二つの議題について、議論のポイントを報告します。

1) ドキュメントステータスおよび確認

・Transport Layer Security (TLS) and Datagram Transport Layer Security
  (DTLS) Heartbeat Extension
  (draft-ietf-tls-dtls-heartbeat-04)
・Datagram Transport Layer Security version 1.2
  (draft-ietf-tls-rfc4347-bis-06)
・AES-CCM ciphers
   - AES-CCM Cipher Suites for TLS
     (draft-mcgrew-tls-aes-ccm-02)
   - AES-CCM ECC Cipher Suites for TLS
     (draft-mcgrew-tls-aes-ccm-ecc-02)

上記のドキュメントについて、大きな議論は行われませんでしたが、AES-CCM 
cipherについては、AES-CCMに関する二つのドキュメントが公開している、IPR
(Intellectual Property Right; 知的財産権)ドキュメントを明確化すべきで
あるというコメントがありました。

今後、このコメントが解決されることで、WG itemになることが予想されま
す。

2) 技術的な議論

技術的な議論として、以下の四つの項目について議論を行いました。

・TLS Origin-Bound Certificates
   - Transport Layer Security (TLS) Encrypted Client Certificates
     (draft-agl-tls-encryptedclientcerts-00)
   - TLS Origin-Bound Certificates
     (draft-balfanz-tls-obc-01)
・Next Protocol Negotiation
   - Transport Layer Security (TLS) Next Protocol Negotiation 
     Extension
     (draft-agl-tls-nextprotoneg-02)
   - Transport Layer Security (TLS) Next Protocol Extension
     (draft-agl-tls-nextproto-00)
・TLS out-of-band public key validation
  (draft-wouters-tls-oob-pubkey-02)
・Secure Password Ciphersuites for Transport Layer Security (TLS)
  (draft-harkins-tls-pwd-01)

個人的に興味を持った議題は、「Secure Password Ciphersuites for 
Transport Layer Security (TLS)」です。理由としては、このドキュメント
がTLSプロトコルにおいて証明書を用いない認証を行いつつも、既存の事前共
有鍵方式(Pre-Shared Key)に比べて、より安全性を高めているためです。

そして、この方式の安全性を示すために、"Standard Model"や"Random Oracle
Model"といった、暗号理論で一般的に用いられる安全性評価モデルにより評
価しようとしている点です。

会場では、この議題に関して興味があるかどうか確認が行われました。その
結果としては、興味ありと言った人となしと言った人は、だいたい同数でし
た。

□TLS WG
  http://datatracker.ietf.org/wg/tls/charter/

□第82回IETF TLS WGのアジェンダ
  http://www.ietf.org/proceedings/82/agenda/tls.txt


◆KRB-WG (Kerberos Working Group)

KRB-WGは、マサチューセッツ工科大学(MIT)が考案した認証方式の一つであ
る、Kerberosプロトコルに関する新規仕様や機能拡張について、検討を行う
WGです。このミーティングは、2011年11月18日の午前9時から1時間半程度開
催され、参加者は20人程度でした。

ミーティングは、以下のような議題で進行されました。

1) ドキュメントステータスおよび確認
2) 技術的な議論

この二つの議題について、議論のポイントを報告します。

1) ドキュメントステータスおよび確認

前回の会合から今回の会合までの期間にRFCとして発行されたドキュメント
は、1本のStandards Trackであることが報告されました。

・RFC 6448 The Unencrypted Form of Kerberos 5 KRB-CRED Message
  - この規約は、Kerberosを利用するアプリケーション間で転送されるクレ
    デンシャルとして、Kerberos 5 KRB-CRED Messageが利用されます。

    安全な転送を行う時に暗号化されていないKRB-CRED Messageが望まれる
    場合があるので、その際に必要とされるKRB-CRED Messageのフォーマッ
    トを示しています。

また、WG itemとして扱われている6本のドキュメントについて、ステータス
の報告がありました。その中で個人的に興味を持ったドキュメントは、

Camellia Encryption for Kerberos 5
(draft-ietf-krb-wg-camellia-cts-00)

です。

このドキュメントは、Kerberos 5における利用可能な暗号アルゴリズムとし
てCamellia(*2)の追加およびチェックサムとしてCipher-based MAC (CMAC)を
追加することを目的としたInternet-Draft (I-D)です。WG Last Callを開始
したので、コメントを募集する周知が行われました。

このドキュメントは、第78回会合から技術的な議論やWG itemとして採用する
かどうかについて、継続的に議論され続けた結果となっています。

(*2) Camellia cipher algorithm (日本語)
     http://info.isl.ntt.co.jp/crypt/camellia/index.html


前回会合でそのステータスが話題になったDeprecate DES support for 
Kerberos (draft-lha-des-die-die-die-05)ですが、これは、危殆化(*3)した
暗号アルゴリズムである、DESの利用を廃止することを目的にしています。こ
の危殆化アルゴリズムであるDESは、Kerberos 5で利用可能な暗号アルゴリズ
ムの一つとして定義されているため、仕様として利用できる状況になってい
ます。しかしながら、ドキュメントの状況としては、Expireしている状況の
ままです。暗号アルゴリズムの危殆化対策や、安全な暗号アルゴリズムへの
移行の観点からも、危殆化した暗号アルゴリズムを、標準化活動において無
効化するための対応としても、重要なものと位置づけられると考えられるた
め、更新版の投稿に注目しています。

(*3) 暗号アルゴリズムの危殆(きたい)化
     簡単に言えば、暗号アルゴリズムの安全性のレベルが低下した状況、ま
     たは、その影響により暗号アルゴリズムが組み込まれているシステムな
     どの安全性が脅かされる状況を指します。詳しくは下記のURLをご覧く
     ださい。

     JPNIC Newsletter No.44 インターネット10分講座
     「暗号アルゴリズムの危殆化」
     http://www.nic.ad.jp/ja/newsletter/No44/0800.html


2) 技術的な議論

技術的な議論の対象として扱われたのは、以下の二つのドキュメントについ
てです。

・A Generalized PAC for Kerberos 5
  (draft-ietf-krb-wg-general-pac-01)
  - このドキュメントは、Kerberos 5における汎用的な認証の仕組みを記述
    することを目的としています。

・Kerberos Principal Name Canonicalization and KDC-Generated
  Cross-Realm Referrals
  (draft-ietf-krb-wg-kerberos-referrals-13)
  - このドキュメントは、クライアントがユーザーやサービスのRealmに関す
    る詳細な構成情報がない時に、Kerberosチケットに関するクライアント
    要求に応じるための、Kerberos Key Distribution Center (KDC)のため
    の方法を示します。

ここでは、A Generalized PAC for Kerberos 5について、議論の要点および
今後の方針を報告します。

この議題は、前回会合にて議論が行われた際に、さまざまなサービス間での
相互運用性を実現するために、fieldの記述を詳細化することが求められてい
ました。今回の会合では、それを受けて作成された最新版のドキュメントで
ある01版をベースに、修正箇所の妥当性などについて確認が行われました。

□KRB-WG
  http://datatracker.ietf.org/wg/krb-wg/charter/

□第82回IETF KRB WGのアジェンダ
  http://www.ietf.org/proceedings/82/agenda/krb-wg.txt


◆IETFにおける暗号アルゴリズムに関する最新動向

会期中、セキュリティ全般に関して横断的にディスカッションを行うSAAG
(Security Area Advisory Group)のMLにおいて、「Proposal to Consolidate 
Algorithms Registries」(*4)というタイトルでメールが投稿されました。

このメールをトリガーに、IETFで標準化されているプロトコルで利用されて
いる暗号アルゴリズムに関する取り扱いについて、多くのセキュリティエリ
アの参加者による議論が活発に行われました。

この議論の背景として、IETFで標準化されているプロトコルにはさまざまな
暗号アルゴリズムが採用されていますが、アメリカ以外の国や企業から、そ
れらに対する暗号アルゴリズムの追加提案が増えてきたことが挙げられます。
また、暗号アルゴリズムの危殆化を考慮した、適切な暗号利用をスムーズに
進めたい、ということもあると考えています。

(*4) http://www.ietf.org/mail-archive/web/saag/current/msg03512.html


この一連の議論の中において、ポイントになる部分になるのではないかと考
えた部分について、以下に示します。セキュリティエリア以外のIETFで標準
化されているプロトコルでも、暗号技術が利用されるケースが増えてきてい
ます。この議論はセキュリティエリアだけではなく、IETFとしても重要な話
題であると考えられます。

・暗号の危殆化を考慮した、適切な暗号技術を利用するための情報提供の仕
  組み
・標準化されたプロトコルにおける、実装するべきアルゴリズム決定の仕組
  み
・一つの暗号アルゴリズムに依存せずに代替可能な選択肢を考慮し、急に暗
  号アルゴリズムが危殆化するような状況を考慮した、利用する選択肢がな
  くなることを回避するための仕様化
・IETFで標準化されているプロトコルへ新たに暗号アルゴリズムを追加する
  際に、その暗号アルゴリズムに関する評価を行うための仕組み
・IETFで利用される暗号アルゴリズムに関するIPRの在り方

セキュリティエリアの参加者として、今後のIETFで行われる暗号アルゴリズ
ムの議論に注目したいと考えています。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/918/92164c338804f8ea0194cb70048684fe ┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/918/667c526c62a2de8045edf6864b42d6b4 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.918 【臨時号】

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 @ 問い合わせ先   jpnic-news@nic.ad.jp
===================================
___________________________________
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     http://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: http://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml  :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  http://www.nic.ad.jp/
■■

Copyright(C), 2011 Japan Network Information Center
      

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2022 Japan Network Information Center. All Rights Reserved.