＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
    __
    /Ｐ▲        ◆ JPNIC News & Views vol.1085【臨時号】2013.4.16 ◆
  _/ＮＩＣ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1085 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

米国オーランドにて3月中旬に開催された第86回IETFの報告を、vol.1078より
連載にてお届けしていますが、連載の最後となる本号ではセキュリティ関連
WGの動向についてご紹介します。

なお、明後日4月18日(木)13:00より、IETF報告会をISOC-JPとJPNICの共催で
行います。好評につき、会場での聴講受付は満席のため終了しておりますが、
報告会の模様はストリーミングでもご覧いただけますので、ぜひご利用くだ
さい。
    IETF報告会(86thオーランド)開催のご案内
    https://www.nic.ad.jp/ja/topics/2013/20130328-02.html
    IETF報告会ストリーミング
    http://www.ustream.tv/channel/ietf-mtg

第86回IETFの全体報告、DNS関連WG、IPv6関連の各WGのレポートについては、
下記のURLよりバックナンバーをご覧ください。

□第86回IETF報告 特集
  ○[第1弾] 全体会議報告 (vol.1078)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1078.html
  ○[第2弾] DNS関連WG報告 (vol.1079)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1079.html
  ○[第3弾] IPv6関連WG報告 ～6man WGについて～ (vol.1080)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1080.html
  ○[第4弾] IPv6関連WG報告 ～v6ops WGについて～ (vol.1081)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1081.html
  ○[第5弾] IPv6関連WG報告 ～v6ops WGについて～
    ～softwire WG、sunset4 WG、homenet WGについて～ (vol.1082)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1082.html


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第86回IETF報告 [第6弾]  セキュリティ関連WG報告
   ～ルーティングセキュリティとPKI関連の動向～
                           JPNIC 技術部／インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、セキュリティ関連関連の話題の中で、インターネットのルーティ
ングセキュリティに関するSIDR WG (Secure Inter-Domain Routing WG)とPKI
(Public-KeyInfrastructure)の動向について報告します。

◆SIDR WG

SIDR WGは、インターネットにおける経路制御のための、PKI技術を使ったセ
キュリティの仕組みを検討しているWGです。

第86回IETFでは、WGの会合が二つのタイムスロットで行われました。議題か
らも検討内容が多いことがうかがわれます。50名から60名が参加しており、
2年前にも見かけた常連の参加者によって議論が進められている様子でした。

○ Origin Validationに関わるRFC化が進む

SIDR WGでは、大きく分けて2段階の仕組みが検討されています。一つはOrigin
Validationと呼ばれ、インターネットのルーティングにおいて他のネットワー
クのIPアドレスが使われた場合に、不正な経路情報を検知する技術です。

筆者が参加した、2年前の第79回IETFミーティングのときにはまだドラフト段
階であった、Origin ValidationのドキュメントのほとんどがRFCになってい
ました。主なRFCを挙げます。

   - An Infrastructure to Support Secure Internet Routing (RFC6480)
     http://tools.ietf.org/html/rfc6480
     PKIを使ったセキュアなルーティングの全体像を記述したRFC

   - A Profile for X.509 PKIX Resource Certificates
     http://tools.ietf.org/html/rfc6487
     セキュアなルーティングのための証明書の書式を規定するRFC

   - Validation of Route Origination Using the Resource Certificate
     Public Key Infrastructure (PKI) and Route Origin Authorizations
     (ROAs)
     http://tools.ietf.org/html/rfc6483
     経路情報を確認するための署名検証の考え方を記述したRFC

またSIDR WGでは、ここ2年ほど、もう一つの仕組みのPath Validationに関す
る検討が行われています。Path Validationとはインターネットの経路を意図
的に変えてしまうような、不正なASパス情報を検知する技術で、Origin
Validationの使用を前提としています。両方を合わせた仕組みはBGPSECと呼
ばれています(*1)。

(*1) 7. インターネット経路制御のセキュリティに関する動向 - BGPSEC
     http://www.ipa.go.jp/security/fy23/reports/tech1-tg/b_07.html

今回のミーティングでは、このBGPSECの中核となるプロトコルと、その実現
に必要な鍵管理の仕組みの文書がアジェンダとして取り上げられましたが、
会場での議論はほとんどなく、引き続きメーリングリストで議論されること
になりました。

○ IPアドレス移転への対応で議論を呼んだAPNICのRPKI

前述のOrigin Validationには、IPアドレスが記載されたリソース証明書が使
われます。IPアドレスが移転される場合、リソース証明書は、移転元で失効
され、移転先で新たに発行されるという手続きが必要になってきます。

APNICでは、RIR間でIPアドレスが移転されるときの、リース証明書の失効と
発行の実験を行っていますが、他のRIRにはない特殊な仕組みが導入されまし
た。他のRIRから移転されたIPアドレスのリソース証明書をAPNICにおいて扱
いやすくするため、移転元がRIPE NCCである場合の認証局や移転元がARINで
ある場合の認証局が立ち上げられているのです。つまり、APNICにおいて五つ
のRIRの認証局が立ち上がることになります。

この仕組みに関して、SIDR WGでは多くの意見と質問が挙げられ、ミーティン
グの半分くらいの時間が割かれることになりました。例えば、筆者は国際移
転が複雑になり過ぎてしまう点を指摘しました。NIRへの移転を視野に入れる
とAPNICにおける五つのRIRの認証局とNIRの認証局がどのようなつながりを持
つのかを整理しなければなりません。

さらに会場からは、特定のサイズ(/16以上)のアドレスブロックがNIRに移転
されたときに、適切にリソース証明書を発行できない点などが指摘されまし
た。発表者のGeorge Michaelson氏はこの議論を進めるのではなく、この場で
はコメントを受けるに留めました。

この他にSIDR WGでは、ROA配布の性能や冗長性に関する議論が行われました。

   - IETF-86 sidr agenda
     http://tools.ietf.org/wg/sidr/agenda?item=agenda-86-sidr.html

◆PKIに関する話題

第86回IETFでは、PKIの仕様を策定してきたPKIX WGのミーティングが最終回
とされていたことに加え、現在のWebにおけるPKIのモデルを整理して見直す、
WPKOPS WG(Web PKI Operations WG)が始まったり、新しいPKIのモデルを検討
する非公式のBoFが開かれたりしました。

○ 最終回として開かれたPKIX WGミーティング

PKIX WGは、インターネットのためのPKI技術の仕様を検討しているWGです。
40名程が参加しており、40分程度の短いミーティングでした。はじめに、セ
キュリティエリアディレクターのSean Turner氏から、1995年に始まったPKIX
WGはいまクローズの方向にあり、今回のミーティングを最終回にしたいとい
う連絡がありました。WGでは以下が議題になりましたが、特に多くの議論は
行われませんでした。

   - Enrollment over Secure Transport
     http://tools.ietf.org/html/draft-pritikin-est-02/
     クライアント証明書などの証明書入手のためのプロトコル

   - Authentication Context Extension
     http://aaa-sec.com/_temp/draft-santesson-auth-context-extension-04.txt
     認証連携の際にユーザー証明書に付随する情報を伝えるための証明書拡張

今後、PKIに関する仕様の更新が必要になったときに議論のできるWGがあるのか
どうか、先の見えない状況です。

○ WebにおけるPKIモデルのドキュメント化活動 - WPKOPS WG

WPKOPS WG(Web PKI OPS)は、World Wide Webで使われているPKIの実装の多くが、
どのような動作をしているのかをモデル化するなどして整理するWGです。2013
年2月にWGが設置されてから初めての会合です。

WGでは、Webにおけるサーバ認証やクライアント認証の基本的なPKIの信頼モ
デルを図式化したり、証明書の失効が、SSL/TLSの接続を確立するかどうかの
判別に対してどのような意味を持っているのかという議論の下地作りとして、
CRL (Certificate Revocation List)やOCSP (Online Certificate Status
Protocol)の基本的な役割の確認が行われたりしていました。

WebブラウザやWebサーバが、明文化されていないモデルに基づいて実装され
ていることで、本来PKIでできることが実現していなかったり、実装によって
違いが出てきてしまったりしているのではないか、という観点が興味深いWG
です。

   - Wpkops Status Pages
     http://tools.ietf.org/wg/wpkops/charters

○ Alternative PKI model - 新たなPKIのモデルに関する非公式のBoF

最後に非公式に行われたBoFを紹介します。新たなPKIのモデルや仕組みを考え
るAlternative PKI modelと題されたBoFです。BoF自体は人気のBits-n-bitesの
時間と重なっていたり、議題や資料がなかったりしたため、参加者約20名が現
在のPKIのモデルについてさまざまな意見を交わすだけで終わりました。

以下はBoFの進行と今後の議論のために会場でまとめたものですが、このBoFで
PKIについて再検討の余地あり、という意見が出た点を紹介します。

   a. エンドユーザーから見た認証局の透明性
      エンドユーザーの視点では認証局の証明書が正しいものであることが
      分かりにくいため、不正な証明書の検知に役立ったCertificate
      Transparency (CT)のような新たな仕組みの必要性の指摘です。

         Certificate Transparency
         http://www.certificate-transparency.org/

   b. 認証局とその監査費用のコストモデル
      Webブラウザにインストールされている証明書の認証局は、毎年、監査
      を受けるとともに、その高額な費用を支払っています。一方で、エン
      ドユーザーにおけるセキュリティの恩恵に対して支払われる対価(証明
      書の費用)は、その認証局監査の負担とのバランスが取りにくい、と言
      われています。持続的なPKIのためには再検討が必要だ、という指摘で
      す。

   c. PKIにおけるインシデント対応
      不正な証明書が発行されたようなときに、認証局におけるインシデント
      対応の整備が不十分であるという指摘です。

2011年から2012年にかけて、認証局やPKIを構成する技術に関するさまざまな
攻撃とインシデントの報告がありました。Alternative PKI modelの参加者の
みならず、会場で話をした他のIETF参加者からも、現在のままのPKIではなく
何かを変えていく必要があるのではないか、という危機感に似たものを感じ
ました。

                ◇                ◇                ◇

次回の第86回IETFは、2013年7月28日～8月2日、ドイツのベルリンで行われる予
定です。


     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1085/a50bdc091b2bae2b738feeea25bb058d┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1085/0bec369303c480fa0958ba41a3ee6472┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
 JPNIC News & Views vol.1085 【臨時号】

 ＠ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 ＠ 問い合わせ先 jpnic-news@nic.ad.jp
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■     News & ViewsはRSS経由でも配信しています！    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

■■◆                          ＠ Japan Network Information Center
■■◆                                     ＠  https://www.nic.ad.jp/
■■

Copyright(C), 2013 Japan Network Information Center