メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.45/2010年7月発行

第77回IETF報告 セキュリティ関連WG報告

セキュリティ領域においては、数多くのWGが開催されているため、それらすべてのセッションの内容を把握することが困難な状況です。そこで本稿では、会期中に議論されたセキュリティに関連したセッションの中から、認証や通信に特化した内容を議論するWGでの話題を中心に紹介することとして、IPSECME WG(IP Security Maintenance and Extensions WG)およびKRBWG(Kerberos WG)の動向について報告します。

IP SECME WG(IP Security Maintenance and Extensions WG)

IPSEC WGの後継として、2005年に同WGがクローズした後、必要になった拡張や既存ドキュメントの明確化などの議論を行うためのWGです。今回このミーティングは、2010年3月22日の午前9時から1時間半程度開催されました。参加者は、50人程度でした。

IPSECME WGにおいて、今回のIETFまでにRFCとして発行されたドキュメントや、RFCとして発行される直前のドキュメントを示します。

<RFCとして発行されたドキュメント>

RFC 5658:Redirect Mechanism for the Internet Key Exchange Protocol Version 2(IKEv2)
ノードからIPsecでの接続を他ノードへリダイレクトするための、IKEv2における拡張仕様を規定するドキュメントです。
RFC 5723:Internet Key Exchange Protocol Version 2(IKEv2)Session Resumption
現状のIKEv2では、VPN接続をサスペンドした後に、その接続を再開する際、IKEv2ネゴシエーションを再度実行する必要があり、ノードやVPNゲートウェイの負荷を増加させてしまう問題がありました。この問題を解決するために、最初のIKEv2認証完了時にチケットを発行することで再接続を簡略化するための拡張仕様を規定するドキュメントです。
RFC 5739:IPv6 Configuration in Internet Key Exchange Protocol Version 2(IKEv2)
RFC 4306では、IPv4のためのConfiguration payloadは規定されていますが、IPv6での機能を利用するまでには至りませんでした。このドキュメントでは、IPv6のために新規でConfiguration attributeを規定しています。

<RFCとして発行される直前のドキュメント>

  • Wrapped ESP for Traffic Visibility(draft-ietf-ipsecme-traffic-visibility-12)
    Wrapped Encapsulating Security Payload(WESP)プロトコルを定義したドキュメントです。なお、Internet-Draft(I-D)のステータスは、RFC Editor queueです。
  • Heuristics for Detecting ESP-NULL packets(draft-ietf-ipsecme-esp-null-heuristics-07)
    暗号化されたESPパケットからESP-NULLパケットを識別するための、ヒューリスティックについて記述したドキュメントです。I-Dのステータスは、IESG reviewです。

また、今回議論された検討項目は、以下の通りです。

  • IPsec High Availability and Load Sharing Problem
    Statement(略称:IPsec HA)
  • An Extension for EAP-Only Authentication in IKEv2
    (略称:EAP-only authentication)
  • Secure Failure Detection
  • Password-Based Authentication in IKEv2: Selection
    Criteria and Comparison(略称:PAKE authentication)

今回のミーティングにおいて、現在WGとして扱っている検討項目がRFC化され、完了フェーズに入りました。そのため、新規の項目として今回議論された中から、IPsec HA、EAP-only authentication、PAKE authenticationの3項目がWGとしての検討項目に選定され、IPSECME WGのマイルストーンへ反映されました。

なお、詳細な情報やI-Dなどについてご興味がありましたら、以下のURLをご参照ください。

□IPSECME WG
http://www.ietf.org/dyn/wg/charter/ipsecme-charter.html
□第77回IETF IPSECME WGのアジェンダ
http://www.ietf.org/proceedings/10mar/agenda/ipsecme.txt

KRB WG(Kerberos WG)

KRB WGは、マサチューセッツ工科大学(MIT)が考案した、認証方式の一つであるKerberosプロトコルに関する新規仕様や機能拡張について、検討を行うWGです。このミーティングは、2010年3月24日の午後1時から2時間程度開催されました。なお、参加者は、30人程度でした。

<検討項目に関するドキュメントの状況>

KRB WGでの検討項目に関するドキュメントの状況は、次の通りです。

  • Problem statement on the cross-realm operation of Kerberos
    IESGによって承認され、Editor's queueのステータスになりました。
  • A Generalized Framework for Kerberos Pre-Authentication
    2010年4月8日に、IESG Telechatを実施することになりました。
  • Using Kerberos V5 over the Transport Layer Security(TLS)protocol
    IESG reviewというステータスです。
  • Initial and Pass Through Authentication Using Kerberos V5 and the GSS-API(IAKERB)
    数ヶ月前にWGとしてのLast Callが完了しました。

<失効ステータスI-D>

  • Additional Kerberos Naming Constraints
  • Anonymity Support for Kerberos

上記のI-Dについては、どちらもKRB WGでの検討項目ですが、失効しているステータスです。これらのような失効しているI-Dも、新たに更新版をアップロードすることで、ドキュメントのステータスをアクティブな状態に変更することができ、これにより他の議題と同様に議論を行うことができます。

Additional Kerberos Naming Constraintsについては、ドキュメントに存在している問題は解決されているため、最新版の投稿が行われるのを待つという状態であり、また、Anonymity Support for Kerberosは、いくつかの修正が残っている状況です。

<Last Call中の検討項目>

KRB WGでLast Callを行っている検討項目として、次の項目がありました。

  • An information model for Kerberos version 5
    複数のrealm(realmとは、ここではKerberosを使用したネットワークのこと)において、Kerberosを使用して認証できるユーザーやサービス固有の名前であるprincipalが、複数の名前を持ってしまうかもしれないことについて議論されていました。

<新規の検討項目>

KRB WGにおける新規の検討項目として、以下の議題について議論を行いました。

  • Kerberos ticket extensions
  • Deprecate DES support for Kerberos
  • Kerberos Option for DHCPv6

この検討項目の中で、個人的に注目しているのは、Deprecate DES support for Kerberosです。その理由としては、暗号アルゴリズムの危殆化対策(暗号技術の世代交代)の対象アルゴリズムである、DES暗号の利用停止を行うために、WGとして検討が行われていることが挙げられます。暗号アルゴリズムを利用するプロトコルの危殆化対策を推進していくことは、プロトコルが利用している暗号アルゴリズムの安全性について強く意識することであり、利用者や実装者への注意喚起を促すのに良い機会にもなります。そのため、このような検討は多くのセキュリティ関連のプロトコルでも、積極的に行われてほしいと考えています。

<今後の検討項>

今後のKRB WGとしての検討項目について議論しました。議題は、以下の通りです。

  • Kerberos number registry to IANA
  • KDC Schema
  • Camellia Encryption for Kerberos 5

ここでは、上記の中から議論が盛り上がった話題について報告します。それは、NTT社とMIT Kerberos Consortiumの共同により提案が行われた「Kerberos 5プロトコルにおいて、日本で開発されたCamellia暗号をCTS(Cipher Text Stealing)モードで利用するための仕様提案」についてです。現状のKRB WGにおいて、新規暗号アルゴリズムを追加することが、検討項目になっていないため、本提案をどのように扱うべきか議論が行われました。

結果的には、KRB WGにおける検討項目にはなりませんでしたが、Individual draftとして有識者のレビューを行うことになりました。この議論に関係した話題として、Kerberos 5プロトコルで利用する暗号モードとして、GCMモード(Galois Counter Mode)やCCM(Counter with CBC-MAC)モードに関する話題も検討される流れになっていました。

□KRB WG
http://www.ietf.org/dyn/wg/charter/krb-wg-charter.html
□第77回 IETF KRB WGのアジェンダ
http://www.ietf.org/proceedings/10mar/agenda/krb-wg.txt

(NTTソフトウェア株式会社 菅野哲)

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.