320 likes | 590 Vues
認証技術の国際動向 - 第42回 IETF 活動報告-. 櫻井三子 ( NEC) m-sakura@ccs.mt.nec.co.jp. 一般動向編. セキュリティエリアの PKIX WG を中心に. IETF とは. Internet Engineering Task Force よりよいインタネットアーキテクチャ、スムーズなオペレーションを目指すコミュニティ ボランティアベースの活動 インタネット標準( RFC) 化活動が中心 技術分野ごとのエリア、エリア内のワーキンググループ単位で活動 普段の活動の場は ML 年3回オフラインミーティングを開催.
E N D
認証技術の国際動向-第42回IETF活動報告- 櫻井三子(NEC) m-sakura@ccs.mt.nec.co.jp ICAT活動成果発表会
一般動向編 セキュリティエリアのPKIX WG を中心に ICAT活動成果発表会
IETFとは • Internet Engineering Task Force • よりよいインタネットアーキテクチャ、スムーズなオペレーションを目指すコミュニティ • ボランティアベースの活動 • インタネット標準(RFC)化活動が中心 • 技術分野ごとのエリア、エリア内のワーキンググループ単位で活動 • 普段の活動の場はML • 年3回オフラインミーティングを開催 ICAT活動成果発表会
individual Internet-Draft (draft-個人名-..) ↓ WG Internet-Draft (draft-ietf-WG名) ↓ WG Last Call ↓ IESG Last Call ↓ Proposed Standard RFC ↓ Draft Standard RFC ↓ Standard RFC IETFにおける標準化活動の典型的なステップ ICAT活動成果発表会
IETF内のエリア • Application Area • General Area • Internet Area • Operations and Management Area • Routing Area • Security Area • Transport Area • User Service Area ICAT活動成果発表会
42nd IETFミーティング • 米国シカゴにて開催 • 期間:8/24(月) ~ 8/28(金) • 参加者は2,000人程度 • 日本からは100人程度? • ワーキンググループ毎のセッション • 1時間~2時間半/セッション • Internet-Drafts を叩き台にした議論が中心 • セキュリティエリアは、8WG+2BOF ICAT活動成果発表会
42nd IETFにおけるセキュリティエリアのセッション • cat (Common Authentication Technology) • aft (Authenticated Firewall Traversal) • stp (Secure Transport Proxy) BOF • pkix (Public-Key Infrastructure (X.509)) • ipsec (IP Security Protocol ) • tls (Transport Layer Security) • openpgp (An Open Specification for Pretty Good Privacy) • smime (S/MIME Mail Security) • secsh (Secure Shell) • trustmgt (Trust Management) BOF
42nd IETFにおけるセキュリティエリアのセッション trustmgt セキュリティ応用系 secsh openpgp smime aft, stp tls ipsec cat (spki) pkix セキュリティインフラ系 ICAT活動成果発表会
セキュリティエリア全体の動向 • CA前提のPKIとその応用は収束段階へ • PKIXはやっとRFC目前に • IPsecはRFCとしてまとまり、IPsecondへ • 特許、ライセンス問題は少し前進 保有企業が特別な利用目的に限りフリーで使用許可する傾向が出てきた • Authentication から Authorizationへ GEN エリアで AAA(Authentication, Authorization, Accounting) BOF が開催された ICAT活動成果発表会
PKIX WG • Public Key Infrastructure (X.509) WG • X.509の定義に基づいた公開鍵暗号のインフラをインタネットで利用していくための規格化を行う WG • 最低限必要なプロトコルを早く標準化するべく活動が活発化 • 今回は2時間のセッションが2回あった ICAT活動成果発表会
PKIX WG Agenda • 既存トピック • PKIX Cert and CRL Profile • LDAP v2 Schema and Profile • OCSP (Online Certificate Status Protocol) • CMP and CRMF • CMMF and CMC • IBM PKIX Software ICAT活動成果発表会
PKIX WG Agenda(2) • 新しいトピック • Time Stamp Protocol, Notary Protocol • Webベースの統合的CAサービスプロトコル提案(櫻井) • CRLのサイズを抑えるための拡張フィールドの追加提案 • PKIX全体の概観と実装のアドバイスを含めたロードマップドキュメントの提案 • 国際間でも合法的にディジタル署名を扱えるような枠組みの提案(Qualified Certificates) ICAT活動成果発表会
おもな話題 • 主要なI-Dsの状況確認 • 証明書とCRLのプロファイルが漸くRFC目前になった →Proposed Standard RFCへ • LDAPv2 スキーマ、CMPは IESG預かり • OCSP, CMMF, CMC, OPP(LDAPv2)はWG Last Call ICAT活動成果発表会
おもな話題(2) • LDAP V2 の中で CA の証明書を格納するときの属性の使い方について議論 cACertificateと crossCertificatePair • IBMが PKIX のフリーウェアを出すとのアナウンスがあった http://www.imc.org/imc-pfl forward reverse 自己署名証明書 他のCAに発行された CA証明書(自己署名を除く) 他のCAに発行した 証明書 ICAT活動成果発表会
PKIXの現状 鍵作成、証明書発行、更新、廃棄のためのやりとり CA エンドエンティティ 相互認証の ためのやりとり (a) CMP 証明書、CRL入手 のためのやりとり /管理情報のやりとり RA 証明書は X.509v3 CRLは X.509v2 CA OPP (LDAPv2) (c) (b) (b) 証明書 登録 OPP (LDAPv2) 証明書, CRL 登録 証明書 / CRL リポジトリ ICAT活動成果発表会
CMP (Certificate Management Protocol) 証明書の発行、廃棄、鍵作成、鍵回復などを行うためのプロトコル 要求や応答の種類 を指定する PKI ヘッダ PKI メッセージ PKI ボディ 要求や応答に応じた フォーマットを利用する CMMF S/MIMEとの 擦りあわせ案 CMC CRMF ICAT活動成果発表会
Internet-Draft発表報告編 Web-based Integrated CA services Protocol, ICAP (draft-sakurai-pkix-icap-00.txt) ICAT活動成果発表会
I-D作成の背景 • ICAT 広域認証技術タスクフォースの活動成果をまとめる CA パッケージ ICAPと暗号メールパッケージ PEPOPとの連携プロトコルをI-Dにまとめる • IETF PKIX WG の活動内容との関連性が大きい • PKIX WG に向けて情報発信 • 実は提案は2度目、今回は改良 ICAT活動成果発表会
ICAP とは • 典型的なCA関連サービスを、Webベースで統合的に提供するプロトコル • 証明書発行 • 証明書入手、CA証明書入手、CRL入手 • 証明書の有効性確認 etc. • 独自 のCAモデルに基づいて定義 • CA間連携プロトコルを含めて定義 ICAT活動成果発表会
ICAPにおけるCAの構成要素 • CA を4つの機能からなると定義 • Registration Authority (RA) • 証明書を発行してよいかどうか判断する機能 • パスワード認証のためのデータベースを管理 • Issuing Authority (IA) • 証明書やCRLに署名を行う機能 • CAの鍵を管理 • アプリケーション別証明書プロファイルを管理 ICAT活動成果発表会
ICAPにおけるCAの構成要素(続き) • Publishing Authority (PA) • 証明書やCRLを配布する機能 • 証明書や CRLを管理 • 他のPAと連携 • Validation Authority (VA) • 個々の証明書の有効性を判定する機能 • 応答時に署名するための鍵を管理 • 他のVAと連携 ICAT活動成果発表会
ICAPにおける CAモデル CA 他組織のCA E n d E n t i t y RA IA RA IA 内 外 firewall firewall VA PA PA VA End Entity outside of firewall ICAT活動成果発表会
ICAPが提供するCA関連サービス certreq revokereq updatereq RA IA lookupreq calookupreq crlreq verifyreq VA PA VA PA ICAT活動成果発表会
ICAP要求/応答フォーマット • シンプルかつアプリケーションフレンドリ • 要求 • HTTPのPOSTメソッドを利用 • CGIを想定し、パラメータをCGI変数として渡す • 応答 • text/plain フォーマットを利用 • 3桁の数字を使ったステータス情報を返す • ステータス情報の後に応答データが続く ICAT活動成果発表会
Example % telnet cahost1 80 Trying 123.16.5.41 … Connected to cahost1. Escape character is ‘^]’. POST /cgi-bin/lookupreq HTTP/1.0 Content-length: 41 EmailAddress=alpha@abc.nec.co.jp&Latest=1 HTTP/1.1 200 OK Date: Sat, 25 Oct 1997 09:34:17 GMT Content-Type: text/plain lookupreq 200 accept your request MIIDmTCCA….. 要求 応答 ICAT活動成果発表会
仮想的な階層を利用 各管理ドメインを定義 Referral model RootPAがURLを返す Chaining model RootPAが応答を返す “lookupreq” におけるPA-PA プロトコル RootPA RootPA 2 1 1 2 4 ターゲット 3 3 ターゲット PA1 PA2 PA1 PA2 4 ICAT活動成果発表会
“crlreq” におけるPA-PA プロトコル • 要求メッセージに含まれる証明書からターゲットPAのURLを取り出しアクセスする • cRLDistributionPoints という証明書拡張フィールドを利用 • “calookupreq” におけるPA-PA プロトコル, “verifyreq” におけるVA-VA プロトコルも同様 ターゲット 1 PA1 PA2 2 ICAT活動成果発表会
PKIX WG で検討中の関連プロトコル ICAP Certificate Management Protocol certreq lookupreq calookupreq crlreq verifyreq revokereq updatereq CMP OPP(HTTP) Operational Protocols WebCAP WEB based CA Access Protocol OPP(LDAP) Online Certificate Status Protocol OCSP ICAT活動成果発表会
ICAP vs WebCAP ICAT活動成果発表会
標準化に向けての目標は? • 現在の PKIX WG 関連ドラフトは既に 18 とかなり細分化が進んでいる • 本ドラフトは、PKIX WG の複数のドラフトに関連しているため、このまま標準化へ持っていくのは難しそう →まずは、PKIX WGドラフトとしてみとめられることを目標に発表! →しかし、今のところ反応は少ない ICAT活動成果発表会
今までに寄せられた反応 • テキストフォーマットの利用に関するコメント • なぜ全てを ASN.1 で定義しないのか? → PKIX WG は ASN.1 賛成派!? cf. アンチX.509 の SPKI WG = アンチASN.1 • text/plain ではなく、新しいMIMEタイプの定義をしてはどうか ? • 実装に関するコメント • 入手できるかどうか? ICAT活動成果発表会
まとめ • IETFへの提案は、戦略とタイミングが重要 PKIX の基本プロトコルが固まりつつある状況下でのICAPの提案は... • ICATからのI-D発信によって、成果を次につなげる可能性は広がった • 今後改良点を反映させて改訂する予定 • 仕様の大部分を実装したパッケージをソースコードを含めて国内に配布 ICAT活動成果発表会