メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    __
    /P▲        ◆ JPNIC News & Views vol.1557【臨時号】2017.12.21 ◆
  _/NIC
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1557 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2017年11月中旬にシンガポールで開催されたIETFミーティングのレポートを、
vol.1555より連載にてお届けしています。

連載の第3弾となる本号では、CT(Certificate Transparency)(*1)の動向
と、その改善に関する議論を取り上げます。CTは、認証局から発行された不
正な証明書を検出することができる技術です。IoTのような、数多くのノード
が存在する場面で不正な証明書を見つけようとすると、その数の多さのため
に、従来のCTでは扱いきれないと考えられています。本稿で紹介する「Name
Reduction」は、それを改善するための仕組みです。

(*1) https://www.nic.ad.jp/ja/basics/terms/ct.html

次号からは2号続けて、IoT関連の話題をお届けする予定です。これまでに発
行した、全体会議およびIPv6関連の報告については、それぞれ下記のURLから
バックナンバーをご覧ください。

  □第100回IETF報告

    ○[第1弾] 全体会議報告 (vol.1555)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2017/vol1555.html

    ○[第2弾] IPv6関連WG報告 ~6man、v6ops WG等~ (vol.1556)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2017/vol1556.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第100回IETF報告 [第3弾]  セキュリティエリア関連報告
   ~TRANS WGにおけるName Redactionの検討について~
                                      セコム株式会社 IS研究所 伊藤忠彦
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

筆者は、今回の第100回IETF (IETF 100)のTRANS WGにおいて、IoTデバイスな
どで電子証明書を活用する際に必要となる、Name Redaction技術に関する発
表を行いました。本稿では、このName Redactionについて、その前提となる
CT (Certificate Transparency)技術とともに、これらの技術が生まれる背景
とこれまでの経緯についても、一通りご紹介します。


■ TRANS WGとは

IETF TRANS (Public Notary Transparency) WGは、2014年に設立された、CT
に関する検討を行うWGです。CTとは、認証局が行う証明書発行の事実を、公
開のログサーバに登録することで、証明書発行の透明性を確保する仕組みで
す。


■ CT技術誕生の背景

CT技術登場の背景としては、認証局から不正に証明書が発行されるインシデ
ントが相次いだことが挙げられます。2011年頃から、認証局に対する不正ア
クセスや運用上のミスによって、本来発行してはならない証明書が不正に発
行されるという事件が相次ぎました。そして、その中にはGoogleやYouTubeな
ど、メジャーサイトに対する証明書も含まれていたことが発覚しました。Web
ブラウザやサイト利用者は、証明書を使ってWebサーバの運営者を確認しま
す。そのため、証明書の不正発行は、フィッシングなどの悪用につながりや
すくなります。このような事件を受けて、認証局が発行した証明書はWebブラ
ウザが無条件に信頼することから、認証局の証明書発行という行為は、高い
リスクと影響力があるという認識が生まれました。

これらのインシデントに対応するべく、2013年にGoogle社がCT (Certificate
Transparency)という概念を提唱しました。Transparencyという言葉にあるよ
うに、CTは証明書発行の透明性を確保する仕組みです。CTは2013年に、
RFC6962(*2)として仕様が定められました。

(*2) https://tools.ietf.org/html/rfc6962


■ CTの仕組み

CTでは認証局が証明書発行を行う際に、公開されているログサーバ(CTログ
サーバ)に対して、証明書発行の事実を登録します。ドメイン名の登録者はCT
ログサーバを監視することで、自身の持つドメイン名に対する証明書が、不
正に発行されていないかを確認することができます。また、一部のWebブラウ
ザでは、証明書検証の際にCTログが存在するかを検証し、存在しない場合は
警告を行います。

CTを利用し証明書発行プロセスを透明化することにより、認証局が適切に運
用されていることを確認することができます。しかし、認証局が発行するす
べての証明書がCTログサーバに登録されるため、公開することを前提とせず
に利用されていたサーバ証明書も公開されてしまいます。


■ Name Redactionの誕生

2014年より、Certificate Transparency Version 2 (CT v2)の検討が進めら
れています。CT v2の検討においては、いくつかの新たな取り組みが盛り込ま
れていますが、その一つに「Name Redaction」という仕組みがあります。Name
Redactionを利用することで、証明書の情報をすべてログサーバに登録するの
ではなく、

1) エンドエンティティ証明書ではなく中間CA証明書のみを登録する
2) 一部情報を仮名化して登録する

ことが可能となります。

Name Redactionの仕組みは、RFC6962-bis22まではCT v2の枠組みで議論され
ていましたが、2016年12月以降は独立したwork itemとして議論されることに
なりました。しかしながら、「このような例外規定を設けると、セキュリティ
ホールの温床となる」、「Name Redactionの恩恵を受けるのが、企業情報を
守りたい一部の企業のみでないか」、「Name Redactionの実装は複雑であり、
工数を要求される」等の指摘があり、Name Redactionに関する議論は活発に
は行われていませんでした。

一方、IoTデバイスを、証明書を利用して管理したいという要望があります。
また、デバイス間でのTLS接続を行うためには、サーバ証明書が必要です。
IoTデバイスの数は、今後指数的に増加することが見込まれており、IoTデバ
イスの証明書をすべてログサーバに登録すると、ログサーバに大きな負荷が
掛かることが予想されていました。

そのような問題に対応する有望な仕組みとして、前述の「エンドエンティティ
証明書ではなく、中間CA証明書のみを登録する」方式が有望であると私は考
えていました。しかしながら、前述の理由により、当該仕様が標準となる見
通しが低く、IoTデバイスで証明書を利用する際の大きな足かせとなっていま
した。

■ IETFでの発表の準備

私は、2017年10月上旬、認証局およびブラウザベンダの業界団体である
CA/Browser Forum (CA/B Forum)(*3)に参加し、Name Redactionを取り巻く状
況を詳しく把握しました。そして、その状況に危機感を持っていた数社の認
証局と共に、CA/B Forumにて問題提起を行いました。そのような活動と並行
し、IETF 100での発表のために、Internet-Draftの執筆も行いました。執筆
は、他の認証局の意見を聞きつつ行い、文章は何度も書き直す必要がありま
した。

なお、他の認証局は、広く公開することを前提としない証明書に対しName
Redactionを利用したいという立場ですが、私はIoTデバイスで証明書を利用
する上で足かせにならない仕組みとしたいという立場でした。その差異を明
確に記述することが時間的に難しかったこともあり、Internet-Draftでの議
論は、IoT向けに絞り単著で投稿することになりました。

執筆後も、認証局やブラウザベンダと情報交換をしつつ、IETF 100での発表
の準備を行いました。

(*3) https://www.nic.ad.jp/ja/basics/terms/ca_browser_forum.html


■ IETF 100での発表と会場での反応

今までName Redactionは、証明書領域に記載されている情報のうち、公開し
たくない情報を隠すための技術として議論されていました。しかしながら、
今回行った私の発表では、以下の観点を追加して議論することを提案しまし
た。

1) 大量の証明書発行が行われた場合にもCTログサーバの機能を逼迫しないよ
   う、スケーラビリティに配慮した仕組みであるべき
2) 現状のCTは、WebサイトやWebサーバのために設計された仕組みであり、そ
   れらに利用するには適した仕組みだと思われる。しかしながら、それ以外
   の用途(例えばIoTデバイス等)には必ずしも適していない。その点を考慮
   する必要がある。

発表の結果、Name Redactionの技術をIETFで議論していくことは、1人の反対
者もなしに受け入れられました。


■ IETF以外における動向

Name Redactionを巡るポリシーについては、MozillaWiki(*4)においても議論
が開始されています。Name Redactionの動向を追う際には、こちらも注視が
必要となりそうです。

(*4) https://wiki.mozilla.org/CA/CT_Redaction


■ 今後の見通し

現在、Name Redactionの議論は、IETFとCA/B Forum双方で行われています。
私見ですが、IETFでは技術に関する議論が主なスコープとなっており、
CA/B Forumではポリシーや運用に関する議論が主なスコープとなっている
ようです。

今後も、双方の議論に参加しつつ、IoT向けのName Redactionの策定に積極的
に係わっていきたいと考えております。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
             まわりの方にもぜひNews & Viewsをオススメを!
      転送にあたっての注意や新規登録については文末をご覧ください。
                  ◇              ◇              ◇
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃  http://feedback.nic.ad.jp/1557/f36c03a5fc67ee6ed57f9baedc09106d ┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃  http://feedback.nic.ad.jp/1557/7df7e64d3e489e4b6c55097ceebb7722 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JPNIC News & Views vol.1557 【臨時号】

 @ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 @ 問い合わせ先  jpnic-news@nic.ad.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■     News & ViewsはRSS経由でも配信しています!    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

■■◆                          @ Japan Network Information Center
■■◆                                     @  https://www.nic.ad.jp/
■■

Copyright(C), 2017 Japan Network Information Center
            

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2022 Japan Network Information Center. All Rights Reserved.