===================================
__
/P▲ ◆ JPNIC News & Views vol.1362【臨時号】2015.12.9 ◆
_/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1362 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2015年11月上旬に神奈川県のパシフィコ横浜にて開催された、第94回IETFミー
ティングの様子を、連載にてお届けしています。本号ではセキュリティ関連
WGを取り上げます。
以降、IPv6関連、DNS関連などをお届けする予定です。今までに発行した号は
下記のURLからバックナンバーをご覧ください。
□第94回IETF報告
○[第1弾] 全体会議報告 (vol.1360)
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2015/vol1360.html
○[第2弾] IETF会合に初めて参加して (vol.1361)
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2015/vol1361.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆第94回IETF報告 [第3弾] セキュリティ関連報告
JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本稿では、セキュリティエリアの全体的な議論が行われるSecurity Area
Advisory Group (SAAG)と、最近、サーバ証明書の検証技術として話題に上っ
ているCT (Certificate Transparency)を検討しているTRANS WG、経路ハイ
ジャックの対策技術であるBGPSECの仕様検討を行うSIDR WGを取り上げて報告
いたします。
■ セキュリティエリア全体会合 - Security Area Advisory Group (SAAG)
SAAGは、IETFのセキュリティエリアWGの状況報告と、セキュリティに関わる
ディスカッションが行われるオープンフォーラム(参加資格などがない会合)
です。毎回IETF期間中に行われる会合では、セキュリティエリアWGの活動報
告と招待講演などが行われています。今回は130名ほどが参加していました。
以下、SAAG会合における招待講演とその講演資料を紹介します。
・RESTCONFやNETCONFのための暗号鍵を格納するYANG (Yet Another Next
Generation) データモデル, Kent Watsen氏
- RESTCONFのためのHTTPSと、NETCONFのためのSSHやTLSで使われる暗号
鍵を格納するYANGデータモデルに関する解説
- 発表スライド
https://www.ietf.org/proceedings/94/slides/slides-94-saag-4.pdf
・ルーティングプロトコルで使われる暗号設定のためのYANGデータモデル,
Russ Housley氏
- ルーティングプロトコルのOSPF (Open Shortest Path First)やRSVP
(Resource Reservation Protocol)で使われる、暗号通信や認証のた
めのYANGデータモデルの解説
- 発表スライド
https://www.ietf.org/proceedings/94/slides/slides-94-saag-5.pdf
・ITU-TとISO/IEC JTC1(国際標準化機構と国際電気標準会議の第一合同技
術委員会)で検討されているIoTデバイスのための暗号利用方式,
吉田博隆氏(日立製作所)
- IoTデバイスのような計算性能の低いデバイスでの利用を想定した、暗
号利用方式の紹介
- 発表スライド
https://www.ietf.org/proceedings/94/slides/slides-94-saag-2.pdf
・IPv6への移行技術におけるセキュリティ脅威分析,
Marius Georgescu氏(奈良先端大/WIDEプロジェクト)
- 移行技術における脅威の分類と、CE(カスタマーエッジ)とPE(プロバイ
ダーエッジ)という構成を取るMAP-Tについてのケーススタディ
- 発表スライド
https://www.ietf.org/proceedings/94/slides/slides-94-saag-3.pdf
・MaRNEWワークショップの報告, Natasha Rooney氏
- モバイル通信などの無線通信における暗号通信を踏まえた最適化に関
するワークショップの報告。MaRNEWはManaging Radio Networks in
an Encrypted World(暗号化される世界における無線ネットワークの管
理)の略
- 発表スライド
https://www.ietf.org/proceedings/94/slides/slides-94-saag-1.pdf
自由討論(オープンマイク)の時間には、会場の参加者から、W3CではWebにお
ける認証や暗号APIに関する標準化活動が行われていて、セキュリティやプラ
イバシー保護についての検討やレビューでIETFとも連携したいといった意見
が挙げられていました。またJabberによるリモートの参加者からは、IETFで
もIoTのセキュリティに着目した活動を行うべき、といった意見が出されてい
ました。
■ TRANS (Public Notary Transparency) WGで行われている議論
TRANS WGは、Webブラウザなどで不正に発行された疑いのあるサーバ証明書を
検知するための仕組みである、CT (Certificate Transparency)を検討してい
るWGです。このWGは2014年3月頃に設立され、CTの仕様を定めたRFC6962の修
正や拡張を行う形で検討が進められています。
・Certificate Transparency (RFC6962)
https://tools.ietf.org/html/rfc6962
CTは、さまざまな認証局から発行される証明書のハッシュ値を、ログサーバ
と呼ばれるサーバで集中的に記録する仕組みです。TLS (Transport Layer
Security)で通信するWebブラウザなどが、サーバ証明書を検証する際にログ
サーバに問い合わせを行い、類似した証明書が存在するかどうかを確認する
ことができます。サーバのFQDNが同一であり、不正に発行された可能性があ
るサーバ証明書が見つかった場合に、ユーザーに警告するといった用途が考
えられています。Google Chromeなどで実装されており、複数のログサーバが
立ち上がっています。
・Certificate Transparency
http://www.certificate-transparency.org/
・Known Logs - Certificate Transparency
http://www.certificate-transparency.org/known-logs
CTのログは、全体の整合性を保ったまま一部を改変することが難しく、さら
にログから特定の証明書を検索しやすいマークルハッシュ木(Merkle Hash
Tree)と呼ばれるデータ構造が使われています。また証明書は署名付き証明書
タイムスタンプ(SCT:Signed Certificate Timestamp)と呼ばれるタイムスタ
ンプが付与される形で記録されます。TRANS WGでは、ログサーバへの問い合
わせ仕様の他、CTを使ったサーバ証明書監視の方式などについてI-Dが作成さ
れ、検討が進められています。
WG会合では、実装状況の報告の他、CTログサーバの挙動やあり方に関する意
見募集、DNSを使ったCTといった新しい方式の検討などが行われました。
・Gossiping in CT, Linus Nordberg氏
- CTログサーバの不正な挙動やプライバシーに関する課題を整理したド
キュメント案。CTログの信頼性のモデルについても言及されている
- 発表スライド
https://www.ietf.org/proceedings/94/slides/slides-94-trans-3.pdf
- ドキュメント案
https://tools.ietf.org/html/draft-ietf-trans-gossip-01
・脅威分析(Threat analysis), Steve Kent氏
- CTログに起こりうる不具合や攻撃モデルを列挙しているドキュメント案
- 発表スライド
https://www.ietf.org/proceedings/94/slides/slides-94-trans-0.pdf
- ドキュメント案
https://tools.ietf.org/html/draft-ietf-trans-threat-analysis-03
・DNSSECを使ったCTログ(DNSSEC logging)
- DSレコードやゾーンの階層を記録する案。AレコードやAAAAレコードそ
のものではなく、DNSの階層に変化が起きていないかどうかを監視でき
るという案
- ドキュメント案
https://tools.ietf.org/id/draft-zhang-trans-ct-dnssec-03.txt
下記のWebページでは、この他の検討内容を見ることができます。
・Trans Status Pages
https://tools.ietf.org/wg/trans/
■ BGPSECに関わる標準化の動向
SIDR (Secure Inter-Domain Routing) WGは、BGPのためのセキュリティ技術で
あるBGPSECの検討を行っているWGです。五つのRIRやJPNICで提供されている、
RPKIのリソース証明書とROA (Route Origination Authorization)を使って、
BGP経路情報が正しいかどうかを確認できるOrigin Validationと、ASの電子
証明書を使ってASパスの情報に電子署名を行い、ASパスが正しいものである
ことを確認できるPath Validationが検討されています。この二つを合わせて
BGPSECと呼ばれています。
今回は議題が多く、11月3日(火)と11月5日(木)の2回、会合が行われました。
いくつか目立った動きのあるものをご紹介します。
・RRDP実装報告 (RRDP Implementation Experience),
Tim Bruijnzeels氏(RIPE NCC)
- RPKIで使われているRsyncに代わる、差分転送プロトコルのRPKI
Repository Delta Protocolのパイロット実装の報告です。httpsを使っ
てXML形式のメッセージをやり取りします。RPKI署名検証サーバ(RPKI
キャッシュサーバとも呼ばれる)におけるキャッシュの機能はオプショ
ン(付加機能)として位置づけられています
- 発表資料
https://www.ietf.org/proceedings/94/slides/slides-94-sidr-3.pdf
- ドキュメント案
https://tools.ietf.org/html/draft-ietf-sidr-delta-protocol-01
・RPKI検証サーバにおける観測など(A Few Years In The Life Of An RPKI
Validator), Rob Austein氏(Dragon Research)
- 五つのRIRを含むさまざまなRPKIリポジトリから発行されたデータを収
集し統計を取った結果の報告。特にRIPE地域のオブジェクトが単純増
加傾向にある。Rsyncの異常終了などにより、接続が切れてしまうこと
もしばしば起きている
- 発表資料
https://www.ietf.org/proceedings/94/slides/slides-94-sidr-1.pdf
・RPKIの認証局における運用ミスや故意で起きる問題について
(Misoperation or malicious operation of CA), Yu Fu氏(CNNIC)
- RPKIの上位認証局でリソース証明書に誤ったIPアドレスが記載される
ことにより、リソース証明書が無効になってしまう問題の指摘です。
RPKI Toolsを使って検証が行われたという報告もされました。アドレ
ス移転の際に起きうる問題として挙げられていますが、会場では認証
局が不整合が起きないようにデータベースに基づいて発行すれば問題
は起きないはず、といった意見が挙げられていました
- 発表資料
https://www.ietf.org/proceedings/94/slides/slides-94-sidr-7.pdf
この他の話題についてはSIDR WGのステータスページをご覧いただければと
思います。
・Sidr Status Pages
https://tools.ietf.org/wg/sidr/
◇ ◇ ◇
IETF 94横浜ミーティングは、国内で2回行われたIETF勉強会の後に開催され
たIETFミーティングでした。IETF勉強会のWebページには、参加方法I-Dの読
み方、WGや技術分野の最新動向など、役立つ資料が掲載されていますが、ご
覧になりましたでしょうか。今後、IETFの標準化について検討されたり活動
されたりする方にもお勧めしておきたいと思います。
・第1回IETF勉強会 ~IETFへの参加と横浜への道~
https://www.isoc.jp/wiki.cgi?page=PreIETF93
・第2回IETF勉強会
~IETF94横浜ミーティングへの参加をより有意義にするために~
https://www.isoc.jp/wiki.cgi?page=PreIETF94
次回のIETF 95は、2016年4月3日~8日、アルゼンチン・ブエノスアイレスで開
催されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
https://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃→ http://feedback.nic.ad.jp/1362/021c799ed5fa01ee17dfe2fdecf59054┃
┃ ┃
┃悪かった ┃
┃→ http://feedback.nic.ad.jp/1362/e163d1123520d8c86ee97fe647c84105┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.1362 【臨時号】
@ 発行 一般社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ https://www.nic.ad.jp/
■■
Copyright(C), 2015 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
- JPNIC会員
