メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲        ◆ JPNIC News & Views vol.1265【臨時号】2014.12.22 ◆
  _/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1265 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2014年11月9日(日)から14日(金)までハワイのホノルルで開催された、第91回
IETFミーティングのレポートを、連載にてお届けしています。第3弾となる本
号では、セキュリティ関連の動向をお伝えします。

  □第91回IETF報告 [第1弾] 全体会議報告 (vol.1262)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1262.html

  □第91回IETF報告 [第2弾] IPv6関連WG報告 (vol.1263)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1263.html

また、ISOC Japan ChapterとJPNICとの共催で、第91回IETFミーティングに関
する報告会が12月19日(金)に行われました。関連情報は、ISOC Japan Chapter
のWebサイトでご確認いただけます。

  □ISOC Japan Chapter facebook
    https://www.facebook.com/isocjp

  □ISOC Japan Chapter Wiki IETF91 Update Meeting
    http://www.isoc.jp/wiki.cgi?page=IETF91Update

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第91回IETF報告 [第3弾] セキュリティ関連報告
                           JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

近年、IETFにおけるセキュリティ関連のWGは、分野が多岐にわたっています。
本稿では、セキュリティエリアのWGと、セキュリティエリアの総括が行われ
る会合であるSAAG (Security Area Advisory Group)ミーティングから、いく
つかの話題をピックアップして報告したいと思います。

  取り上げる話題

  1. Transport Layer Security (TLS) v1.3の議論
     --- 脆弱性の解消と新たなハンドシェイクの候補

  2. I2NSF (Interface to Network Security Functions) BoF
     --- ネットワーク機能の仮想化環境(NFV)におけるセキュリティ機能
         インタフェースの提案

  3. BGPSECの要素技術の位置づけと運用に関する議論
     --- Origin ValidationとPath Validationの分離


■ 1. Transport Layer Security (TLS) v1.3の議論

TLS WGでは、SSL/TLSの次のバージョンである1.3の策定に向けて、検討が活
発に行われています。前回の第90回IETFミーティングに続いて、今回もミー
ティング期間以外に開催されるInterim(中間)ミーティングが開かれていまし
た。

TLS 1.3に関しては、TLSの通信を始める前の、暗号アルゴリズムを選択した
り暗号化に使う鍵を決めたりする重要なやり取りである「ハンドシェイク」
に議論が集まっています。v1.3のハンドシェイクの案に対して、ハンドシェ
イク中にやり取りされるメッセージそのものを暗号化したり、メッセージの
改ざんを検知するのに役立つ電子署名を加えたりする案が挙げられています。
WGミーティングでは、ハンドシェイクが通信の安全性を大きく左右するため、
拙速にコンセンサスを取るのではなく、慎重に議論を進めることになりまし
た。

またハンドシェイクを簡素化し、オーバーヘッドを少なくする0-RTTと呼ばれ
る方式も提案されています。議論されているハンドシェイクの候補は、以下
の資料で見ることができます。

  TLS 1.3のハンドシェイク候補の議論に使われたスライド
  http://www.ietf.org/proceedings/91/slides/slides-91-tls-2.pdf

なおSSL/TLSの圧縮機能は、BEAST (Browser Exploit Against SSL/TLS)や
CRIME (Compression Ratio Info-Leak Made Easy/Compression Ratio
Info-Leak Mass Exploitation)といった攻撃手法が生まれたことを背景とし
て、TLS 1.3では盛り込まれないことになっています。


■ 2. I2NSF (Interface to Network Security Functions) BoF

I2NSFは、ファイアウォールやユーザー認証サーバといったネットワークセ
キュリティ機能を、ネットワークの仮想化機能VNF (Virtualized Network
Functions)の環境内や、ホスティングの環境において、設置したり設定した
りすることができるプロトコル、そしてデータモデルを検討するグループで
す。第91回ミーティングで1回目のBoFが開かれました。

本グループの設立に向けた意図をまとめたInternet-Draftによると、近年に
おけるネットワーク仮想化技術の発展に伴って、以下のようなニーズが高まっ
ているとしています。

  - 複数の拠点に分かれた企業のネットワークのために必要最小限のネット
    ワークセキュリティ機能を運用する
  - クラウド型のデータセンターで稼動させながら、クライアントにネット
    ワークセキュリティ機能を提供する
  - 多数のサイトやユーザー、もしくは低電力のセンサーネットワークに対
    して一貫したセキュリティポリシーを適用する

これらに対して、本グループでは、仮想化環境で稼動するセキュリティ機能
を"仮想ネットワークセキュリティ機能" - Virtual Security Functionと呼
んで、クラウド型のデータセンターでの提供や従来の機器との共存がしやす
いように標準化することを目標としています。

  Interface to Network Security Functions Problem Statement
  https://tools.ietf.org/html/draft-dunbar-i2nsf-problem-statement-01

I2NSF BoFには80名程が集まりました。IETFで行われる1回目のBoFとしては人
数は多くない方ですが、アジェンダやプレゼンテーションの内容は、ある程
度練られたもので、アイディア段階で開かれるBoFとは様子が違っていまし
た。このBoFでは、WG化に向けて趣意書を作成するためというよりは、取り組
む課題を明確化するために議論されていました。

本グループのInternet-Draftには、課題の明文化の他に、データセンターな
どを挙げて利用ケースを説明したものがあります。まだWGではありませんが、
以下のページが設けられ、まとめられています。

  Interface to Network Security Functions (i2nsf) - Documents
  https://datatracker.ietf.org/wg/i2nsf/documents/


■ 3. BGPSEC -- Origin ValidationとPath Validationの分離

SIDR WGは、PKI技術を使ったBGPルーティングのセキュリティの仕組みを検討
しているWGです。大きな動きとして二つ挙げられます。

一つはBGPSEC (Border Gateway Protocol Security Extension)において、
Origin Validation(経路情報のAS番号を確認する方式)とPath Validation(経
路情報のASパス情報を確認する方式)が独立した扱いになったことです。これ
まではPath Validationが行われる際には、必ずOrigin Validationが行われ
るという位置づけでした。今後、RPKIキャッシュやBGPルータの実装におい
て、おのおのが独立してvalid(有効である)やinvalid(無効である)という扱
いに変わってくると考えられます。

もう一つは、リソース証明書やROA (Route Origin Authorization)といった
データファイルの取得に使われていたrsyncに代わるプロトコルが、本格的に
検討されていることです。第91回IETFミーティング期間中に、複数のプロト
タイプの実装同士を突き合わせる作業も行われていた模様です。このプロト
コルは、RPKI Repository(またはRetrieval) Delta Protocol - RRDPと呼ば
れています。まだ個人ドラフトですが、rsyncは処理が重く、またRTT(往復遅
延時間)の大きい環境で伝送効率が下がることが分かっていることから、注目
されています。

  RPKI Repository Delta Protocol (Internet-Draft)
  https://tools.ietf.org/html/draft-tbruijnzeels-sidr-delta-protocol

SIDR WGでは、ルーティング技術者の観点でBGPSECに関する意見収集を行う目
的で、Inter-Domain Routing (IDR) WGとの合同でミーティングが開かれまし
た。第91回IETFミーティング期間中に行われた合同ミーティングでは、BGPSEC
の仕組みに関する質疑応答を通じて理解が深められた様子です。長いASパス
が不正に生成されることによってコンバージェンスの時間が長くなり、ルー
ティングに支障が出るような行為ができてしまうのではないかといった、運
用の観点ならではの意見交換も行われています。

この他に、RPKIの認証局によるROAの失効に気付けるような新たな署名付きオ
ブジェクトの提案や、不正な証明書を見つけやすくするためのCertificate
Transparencyに似たアイデアが提案されていました。これらを含めて、RPKI
について活発に研究が行われている、ボストン大学の研究グループによる論
文が以下で公開されています。

  Hardening the RPKI Against Faulty or Misbehaving Authorities,
  BUSEC: Boston University Security Group
  http://www.cs.bu.edu/~goldbe/papers/RPKImanip.html

              ◇                ◇                ◇

第88回IETFミーティング以降、大規模な通信傍受(pervasive monitoring)へ
の対策として、さまざまなWGで通信プロトコルに暗号化機能を持たせること
が検討されています。第90回IETFミーティングで初めてWGの会合が開かれた
TCPINC (TCP Increased Security) WGでは、インターネットのほとんどの通
信で使われているプロトコルであるTCP (Transport Control Protocol)に、
認証なしの暗号化機能を持たせることが検討されています。

  TCP Increased Security (tcpinc)
  https://datatracker.ietf.org/wg/tcpinc/charter/

2014年11月14日には、IAB (Internet Architecture Board)から「インター
ネットの機密性に関する声明」が出されました。通信相手の認証を行わなく
ても、通信を暗号化することは大規模な通信傍受に対して有効であり、プロ
トコルの検討の際には、基本的な考え方として暗号化の機能を盛り込むこと
が推奨される、としています。

  IAB Statement on Internet Confidentiality
  https://www.iab.org/2014/11/14/iab-statement-on-internet-confidentiality/

インターネットプロトコル(IP)が生まれて以降、インターネットにおけるプ
ロトコルには「シンプルさ」が求められてきたと言えますが、社会情勢に応
じて、変化が起きているように感じられます。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1265/5f562eb3c56941e55259d83b4c7bed26┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1265/b11f2f49d1b58b751f51357f6f6717b4┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.1265 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2014 Japan Network Information Center
            

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.