メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.47/2011年3月発行

セキュリティ関連WG報告

IETFにはセキュリティ関連WGが14存在しており、今回は11WGによる13のセッションに加えて、BoFが二つ(KIDNS(Keys in the DNS)とSCAP(Security Content Automation Protocol))で、合計15のセッションが開催されました。

セキュリティ関連のWGに関するこれらのミーティングは、領域および範囲が広いため、すべてのミーティング内容を把握することが困難な状況です。そこで本稿では、会期中に議論されたセキュリティ関連セッションの中から、認証やセキュア通信に特化した内容を議論する二つのWGの動向について報告します。

IPSECME WG(IP Security Maintenance and Extensions WG)

IPSEC WGの後継として、2005年に同WGがクローズした後、必要になった拡張や既存ドキュメントの明確化などの議論を行うためのWGです。今回このミーティングは、2010年11月10日の午後1時から2時間程度開催されました。参加者は、40名程度でした。

IPSECME WGにおいて、前回のマーストリヒトでのIETFから今回までにRFCとして発行されたドキュメントや、RFCとして発行される直前のドキュメントを示します。

<RFCとして発行されたドキュメント>

  • RFC5996 Internet Key Exchange Protocol Version 2(IKEv2)

IKEv2について記述するドキュメントです。このI-D(Internet-Draft)がRFC化されたことで、以前発行されたRFC4306(Internet Key Exchange(IKEv2)Protocol)とRFC4718(IKEv2 Clarifications and Implementation Guidelines)を廃止(Obsoletes)しました。なお、このRFCは、インターネット標準化過程(Standards Track)として発行されました。

URL: http://tools.ietf.org/html/rfc5996

  • RFC5998 An Extension for EAP-Only Authentication in IKEv2

IKEv2において、拡張可能な応答者認証を提供するための相互認証(mutual authentication)や鍵合意(key agreement)を提供するEAP(Extensible Authentication Protocol)を仕様化するドキュメントです。なお、このRFCは、Standards Trackのドキュメントとして発行され、RFC5996を更新(Updates)しています。

URL: http://tools.ietf.org/html/rfc5998

  • RFC6027 IPsec Cluster Problem Statement

クラスタ上でのIKEやIPsecを実装するための要求条件や問題の提示、および専門用語について定義しているドキュメントです。また、異なるクラスタ間の相互運用を可能にするピアを許可するための、仕様と実装のギャップも記述しています。なお、このRFCは、情報(Informational)に分類されるドキュメントとして発行されました。

URL: http://tools.ietf.org/html/rfc6027

<RFCとして発行される直前のドキュメント>

  • IP Security(IPsec)and Internet Key Exchange(IKE)Document Roadmap(draft-ietf-ipsecme-roadmap-10)

IPsecやIKEに関係するRFCが多く発行され、それぞれの関係などが複雑化しており、そのドキュメントの背景や要約を記述することでそれらの関係を整理することを目的としたドキュメントです。なお、I-Dのステータスは、RFC Editorの編集待ちリストに掲載されている状態(RFC Ed Queue)です。本I-Dは、Informationalのドキュメントとして発行される予定です。

このI-DがRFC化されると、以前発行されたRFC2411(IP Security Document Roadmap)は廃止されます。

また、今回議論された検討項目は、以下の通りです。

  • A Quick Crash Detection Method for IKE draft-ietf-ipsecme-failure-detection-02
  • Protocol Support for High Availability of IKEv2/IPsec draft-ietf-ipsecme-ipsecha-protocol-02

このミーティングでは、主に“A Quick Crash Detection Method for IKE”と“Protocol Support for High Availabilityof IKEv2/IPsec”に関する議論に時間を費やしました。

上記以外のトピックとして、以下の三つの話題が会議で取り上げられ議論されました。この中から二つに注目して、議論内容のポイントを報告します。

  • IKEv2 Re-authentication

IKEv2bisとして議論され、RFC5996として発行された仕様において、Re-authenticationにいくつかの問題が存在しているという指摘がありました。それらの問題に対して、いくつかの解決策はあるが、現在思いつくような解決策ではなく、異なる方法による解決が必要であるという議論になりました。今後のIPSECMEでの議論に注目する必要があると考えます。

  • IKEv2--(IKEv2“minus minus”)

「デバイスによる高い制約を受ける状況などでIKEv2を実装する人などに向けて、最小構成のIKEv2を規定する必要はあるのではないか?」という議論が行われました。IKEv2という仕様は複雑であり比較的大きなものなので、IKEv2を利用するIPSECME WG以外の人に対して、最小構成仕様の必要性は高いと考えられます。この議論の結果としては、最小実装として満たさなければならない仕様は、RFC5996で規定されている仕様となりました。

  • IKEv2 with CGA(CGA: Cryptographically Generated Addresses [RFC3972])

なお、IPSECME WGの詳細情報および今回のアジェンダについては、次のURLをご参照ください。

□IPSECME WG
http://www.ietf.org/dyn/wg/charter/ipsecme-charter.html
□第79回IETF IPSECME WGのアジェンダ
http://www.ietf.org/proceedings/79/agenda/ipsecme.txt
写真:IETF参加者
今回のIETFには中国国内から多くの技術者が参加しました

KRB WG(Kerberos WG)

KRB WGは、マサチューセッツ工科大学(MIT)が考案した、認証方式の一つであるKerberosプロトコルに関する新規仕様や機能拡張について、検討を行うWGです。このミーティングは、最終日である2010年11月12日の午後1時から2時間半程度開催されました。なお、参加者は、20名程度でした。

ミーティングの構成として、以下のような議題で進行されました。

  • ドキュメントステータスおよび議論
  • 技術的な議論
    • KerberosにおけるCamelliaに関する議論
    • IANAに関する議論
    • PAC(Privilege Attribute Certificate)に関する議論
  • Mesh wireless network through Kerberosに関する提案
    (draft-moustafa-krb-wg-mesh-nw)

このミーティングについて、ドキュメントステータス、技術的な議論および今回の3提案の中から、いくつかのトピックスに関して報告します。

<ドキュメントステータスおよび議論>

  • Deprecate DES support for Kerberos
    (draft-lha-des-die-die-die)

危殆(きたい)化した暗号アルゴリズムであるDESに関してKerberosでのサポート停止をアナウンスするためのDraftです。このドキュメントのステータスとしては、WG Last Callは完了しており、著者によるIESGへの対応待ちの状況です。この仕様は、暗号の危殆化(暗号の世代交代)の観点から重要なものであると考えられています。

  • Kerberos Options for DHCPv6
    (draft-sakane-dhc-dhcpv6-kdc-option)

Dynamic Host Configuration Protocol for IPv6(DHCPv6)において、Kerberosプロトコルに関係する設定情報を利用するために、四つのオプションを定義する仕様です。このドキュメントのステータスは、修正版の投稿待ちでしたが、ミーティング中に、著者から更新版が投稿されました。

<技術的な議論>

  • KerberosにおけるCamelliaに関する議論

現在、KRB WGのスコープに暗号アルゴリズムの追加は含まれていないため、WGとして議論するトピックとしてコンセンサスを取るための議題でした。議論の概要としては、技術的な議論が主な目的だったため、Camellia-CCMを利用した際のKerberosに対する影響などについて活発な議論が行われました。

議論を行う際に、KRB WGのチェアから送られたメールを参照しました。そのメールの詳細については、以下のURLをご覧ください。

https://lists.anl.gov/pipermail/ietf-krb-wg/2010-November/008770.html

なお、KRB WGの詳細情報および今回のアジェンダについては、以下のURLをご参照ください。

□KRB WG
http://www.ietf.org/dyn/wg/charter/krb-wg-charter.html
□第79回IETF KRB WGのアジェンダ
http://www.ietf.org/proceedings/79/agenda/krb-wg.txt

(NTTソフトウェア株式会社 菅野哲)

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2021 Japan Network Information Center. All Rights Reserved.