===================================
__
/P▲ ◆ JPNIC News & Views vol.1334【臨時号】2015.8.20 ◆
_/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1334 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本号では、vol.1333に続き、2015年7月下旬にチェコ共和国のプラハで開催さ
れた第93回IETFミーティングのレポート[第2弾]として、セキュリティ関連の
議論の動向をご紹介します。
vol.1333で発行した全体会議報告については、下記のURLからバックナンバー
をご覧ください。また次号では、IPv6関連WGの報告をお届けします。
□第93回IETF報告
○[第1弾] 全体会議報告 (vol.1333)
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2015/vol1333.html
なお、この第93回IETFについては、オンサイトでの報告会も来週8月27日(木)
に開催します。8月26日の17時まで参加申し込みを受け付けておりますので、
ぜひご参加ください。
□IETF報告会(93rdプラハ)プログラムのご案内
https://www.nic.ad.jp/ja/topics/2015/20150818-02.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第93回IETF報告 [第2弾] セキュリティ関連報告
JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本稿では、IETF 93におけるセキュリティ関連の動向を、ACMEワーキンググ
ループ(以下、WG)、DANE WG、TLS WG、セキュリティエリア・アドバイサリー
グループ(SAAG)などからピックアップして報告します。
■ ACME (Automated Certificate Management Environment) WG
ACME WGは、Webサーバなどで使われる電子証明書の発行手続きを自動化する
仕組みについて検討しているWGです。本WGで扱われているACME「証明書管理
の自動化環境に関する仕様」は、SSL/TLSのサーバ証明書を無料で発行する
「Let's Encrypt」という活動で使われることになっており、2015年に予定
されているサービス開始に向け、前提となるプロトコル策定が急がれていま
す。
・Let's Encrypt
https://letsencrypt.org/
ACME WGは、IETF 93の5日目の7月23日(木)に約2時間、WGの会合が行われまし
た。本WGはまだ設立されたばかりで、WGとして会合が開かれるのは今回が初
めてです。今回の会合では、これまで個人のドラフト(individual draft)の
位置づけであった「証明書管理の自動化環境に関する仕様」
(draft-barnes-acme-04)について議論され、WGのドキュメントとして採用さ
れることになりました。WGのドキュメントになることでRFCに向けて前進しや
すい状況になりました。
「Let's Encrypt」のアナウンスによると、2015年第4四半期に証明書の提供
開始を予定しているとのことなので、それまでにRFCにするにはタイトなスケ
ジュールであると言えるかもしれません。
・Automated Certificate Management Environment (acme) WGの趣意書
https://datatracker.ietf.org/wg/acme/charter/
・draft-barnes-acme-04 のプレゼンテーション資料
https://www.ietf.org/proceedings/93/slides/slides-93-acme-1.pdf
会合では、発行の申請に使われるファイルの形式やEV SSL証明書への応用可
能性についても議論されていました。本WGの趣意書によると、今後はWebサー
バ認証以外の用途での電子証明書についても検討されることになっています。
Webブラウザやスマートフォンにインストールされるクライアント側の証明書
についても、手続きを簡略化できるようになるかもしれません。
■ DANE (DNS-based Authentication of Named Entities) WG
DANE WGは、電子証明書などを検索したり有効性を確認したりするために、DNS
を用いる仕組みを検討しているWGです。この仕組みは、HTTPSの他に、メール
の転送プロトコルであるSMTPや、メールにおける電子署名や暗号化のプロト
コルであるS/MIMEやOpenPGP、IPsecなどでの利用も想定されています。
IETF 93では2日目の7月20日(月)に約2時間、WGの会合が開かれました。今回
はまずWebブラウザなどのSSL/TLSのクライアント側が、キャッシュサーバに
対してDNSSECの署名検証のための問い合わせを行わなくてもよくなる、新た
な提案がなされました。
・A DANE Record and DNSSEC Authentication Chain Extension for TLS
https://tools.ietf.org/html/draft-shore-tls-dnssec-chain-extension-01
この提案は、DNSSECの署名検証に必要な"認証チェイン"の情報をTLSの通信を
通じてクライアント側に伝えるもので、クライアント側がその認証チェイン
のみをDNSを使って問い合わせるだけで、認証の処理ができるようにするもの
です。
本来、DNSSECの署名検証はキャッシュサーバが各ゾーンのDSレコードなどを
次々に問い合わせる形で行われますが、提案された仕組みでは、そのキャッ
シュサーバによる問い合わせ処理を必要とせずに、クライアント自身でDANE
の認証処理ができるようになります。この仕組みはTLSプロトコルの仕様に影
響するため、後日、TLS WGの会合でも議論されました。なお、この提案は
TLS WGでも好評で、WGのドキュメントとして採用する意見が多数を占めてい
ました。
DANE WGの会合では、この他に、クライアント証明書をDNSに登録して利用す
る仕組みや、OpenPGPの鍵を登録して利用する仕組みについても議論されてい
ます。
■ TLS (Transport Layer Security) WG
TLS WGは、SSL/TLSプロトコルの高速化や次のバージョンであるTLS v1.3につ
いて検討を行っているWGです。IETF 93の3日目の7月21日(火)と4日目の7月22
日(水)の2回、会合が開かれました。
TLS WGでは、TLS v1.3の議論が活発で、今回の会合でも主にTLSプロトコルの
最初に行われる「ハンドシェイク」について議論されました。話題は時刻の
扱いやIoTを見据えて処理を簡素にするためのオプションなどさまざまで、1
回目会合の約2時間の多くを使ってしまい、まだ時間が足りていない様子でし
た。TLS v1.3の策定はまだまだ先になりそうです。
2回目の会合の話題は、ITS(高度道路交通システム)などで使われる形式の電
子証明書をTLSで使えるようにする提案や、耐量子計算機暗号(post-Quantum
Cryptography)などの暗号アルゴリズムをTLSで使えるようにする提案などが
議論されました。これらは課題として挙げられた段階で、中期的に検討され
ていく位置づけのようです。
■ セキュリティエリア・オープンミーティング
セキュリティエリア・オープンミーティングは、セキュリティエリアの各WG
の状況報告と共に、セキュリティに関わるホットトピックのプレゼンテー
ションが行われる会合です。5日目の7月23日(木)に2時間ほど行われました。
2点、ピックアップして紹介します。
(1)鍵の保管や暗号処理を行う機器HSM(ハードウェア・セキュリティ・モ
ジュール)をオープンソースで作る活動 CrypTech
ソースコードや設計をオープンにしつつHSMを作るプロジェクトの進捗
報告です。2013年末頃から活動されてきており、IETF 93の直前の7月
18日(土)に行われた「cryptech hackday」では、ソースコードやFPGA
とARMを使ったハードウェアが公開されました。
・CrypTech (発表資料)
https://www.ietf.org/proceedings/93/slides/slides-93-saag-0.pdf
・CrypTech
https://cryptech.is/
(2)インターネットにおけるTLSの利用状況の調査
メールサーバやWebサーバ、WebクライアントにおけるTLSの利用状況を
実際にアクセスするなどして調査した結果が発表されていました。TLS
を使ったSMTPサーバでは自己署名証明書が使われていることが多かっ
たり、Webサーバでは鍵交換の暗号アルゴリズムにRSAに代わってECDH
が徐々に使われるようになってきている様子がうかがわれます。
・State of Transport Security in the E-Mail Ecosystem at Large
https://www.ietf.org/proceedings/93/slides/slides-93-saag-2.pdf
・Some observations of TLS in the web (browsers)
https://www.ietf.org/proceedings/93/slides/slides-93-saag-3.pdf
・Some observations of TLS in the web (Server)
https://www.ietf.org/proceedings/93/slides/slides-93-saag-4.pdf
◇ ◇ ◇
IETF 93の初日の7/19(日)、IETFの全体会合で議論されてきた通信の暗号化や
匿名性に関連のある、エドワード・スノーデン氏の活動を描いた映画
「CitizenFour」の上映会が開かれ、その上演の後に、スノーデン氏本人がビ
デオ会議システムでIETF会場に接続して、参加者と話すというサプライズの
イベントがありました。
IETF 93の直前に参加者のメーリングリストに流れたアナウンスによるとその
会合のことは単に「screening(上映)」とだけ書かれており、スノーデン氏
の登場は密かに準備されていたことがうかがわれます。
その質疑応答の様子は、イベントに参加していた人によって録画され、オン
ラインで見られるようになっていましたので、部分的にではありますが、筆
者も見てみました。その映像は約1時間に及びます。
質疑応答の様子から分かることは、スノーデン氏がTCP/IPに関する知識を持っ
ているだけでなくIETFやIABの活動についても把握していて、今後のインター
ネットのアーキテクチャ、例えばDNSの今後やいわゆる"ミドルボックス"の位
置づけについて、はっきりとした意見を持っているということです。スノー
デン氏の考えの根底には、IETFで行われているプロトコルや通信の仕組みの
検討はインターネットにおける通信のあり方に大きく影響するものであり、
特に匿名性を保つことについてさらに留意していくべき、というものがある
ことが分かります。
話し方が早めで、慣れないうちは多少聞き取りづらいですが、なによりも本
人の声を聞くことができ、具体的にどのような技術や通信が匿名性に関わる
のかについて語られていて、興味深い映像だと思います。
・Edward Snowden at IETF 93
https://www.youtube.com/watch?v=0NvsUXBCeVA
◇ ◇ ◇
このIETF 93の様子は、2015年8月27日(木)に慶應義塾大学三田キャンパスで
開催される「IETF報告会」でも報告されます。
・IETF報告会 (93rd プラハ)
http://www.isoc.jp/wiki.cgi?page=IETF93Update
・8/27(木) IETF報告会 in 慶應義塾大学三田キャンパス(JPNICブログ)
https://blog.nic.ad.jp/blog/ietf93update/
次回のIETF 94は、2015年11月1日~6日に横浜で開催されます。あらかじめ
IETFミーティング全体の様子を聞くことができるという意味でもIETF報告会
はおすすめですので、この報告会に参加してみてはいかがでしょうか。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
https://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃→ http://feedback.nic.ad.jp/1334/791f94945f5bf40aae3d2d96900f76a6┃
┃ ┃
┃悪かった ┃
┃→ http://feedback.nic.ad.jp/1334/f62da6d530f4fe11a9a9102680bfaaf4┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
╋■╋■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
https://blog.nic.ad.jp/
┏━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┓
┃J ┃P ┃N ┃I ┃C ┃の┃B ┃L ┃O ┃G ┃は┃じ┃め┃ま┃し┃た┃!!┃
┗━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┛
インターネットとJPNICを取り巻く状況についてカジュアルにお知らせします
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■╋■╋
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.1334 【臨時号】
@ 発行 一般社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ https://www.nic.ad.jp/
■■
Copyright(C), 2015 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
- JPNIC会員
