WIDE プロジェクトにおける認証実験の実施状況

Slides:



Advertisements
Similar presentations
ユーザ認証を考慮した 情報コンセントの活用 明治大学 情報システム管理課 服部裕之 ( ) ’ 99私情協 学内 LAN 運用管理講習会.
Advertisements

私情協 授業情報技術講習会 個人情報の取扱い 慶應義塾大学理工学部 山本 喜一 授業情報技術講習会 2 個人情報の定義 JIS Q : 1999 個人情報とは、個人に関する情報であって、 当該情報に含まれる氏名、生年月日その他の 記述、または個人別に付けられた番号、記号.
情報セキュリティ 第12回 公開鍵暗号基盤. 脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをす る) 否認 (後から私じゃないと言 う) 共通鍵暗号 公開鍵暗号.
Web アプリケーション開発 ~図書館管理システム~ 北海道情報大学 情報メディア学 部 情報メディア学科 新井山ゼミ 高橋 隼.
1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
目次 このドキュメントについて・・・前提条件……………………………………… 2
「図書管理」のための Webアプリケーション開発 -Apache/Tomcat/MySQL/Java on Windows XP-
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
情報基礎A 情報科学研究科 徳山 豪.
最新ファイルの提供を保証する代理FTPサーバの開発
認証実用化実験協議会 平成10年度第1回定例研究会 ICAT 認証実用化実験協議会(ICAT) の広域認証実験
Web-EDI方式 シナリオ1 [実験番号] : 実験タイトル 1 :標準類の評価
WebDAVでOpenOffice.org の文章を共有する
Knowledge Suite(ナレッジスイート) ファーストステップガイド (管理者向け)
Androidアプリを公開する方法.
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
EpWWWサーバ 北海道大学 理学院 宇宙理学専攻 M1 古田裕規.
事業計画 発表者名 | 会社名.
CGI Programming and Web Security
Maruzen eBook Libraryに
Phenixサーバ クラックまとめ.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
「まめだくん Ver.1.0」 特徴と利用方法.
既存システムを連携させることによるeラーニング ― MoodleとXoopsのアカウント情報を交換するモジュール ―
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
認証実用化実験協議会の 活動成果について 認証実用化実験協議会 事務局 Copyright(C)ICAT
Web上で管理・利用できる 面接予約データベースシステムの構築
ネストした仮想化を用いた VMの安全な帯域外リモート管理
リファクタリングのための 変更波及解析を利用した テスト支援ツールの提案
サーバ構成と運用 ここから私林がサーバ構成と運用について話します.
構成管理 構成管理とは、ソフトウェア開発に於ける成果物をある時点で凍結し、 以降の変更を管理する事をいう
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
サーバー立ち上げ記 2009/5/23
公開鍵認証方式の実習 TeraTermの場合
JPNICデータベースへの認証 機能導入について
第8章 Web技術とセキュリティ   岡本 好未.
第二章 インターネットで やり取りする情報を守る
インターネットにおける真に プライベートなネットワークの構築
すぐできるBOOK -基本設定編-.
gate-toroku-system のしくみ
G Suite導入ガイド Ver1.3.
Internet広域分散協調サーチロボット の研究開発
PKI 情報工学専攻 1年 赤木里騎 P91~102.
オープンソース開発支援のための ソースコード及びメールの履歴対応表示システム
認証実用化実験協議会 平成10年度 第1回 定例研究会
オープンソース開発支援のための リビジョン情報と電子メールの検索システム
ISO 改訂に向けた意見 (Guidance on project management)
公開鍵認証方式の実習 MacOS Xの場合.
JPNIC db-wg(データベース検討部会) ca-tf(認証技術タスクフォース) 戸田 洋三
日本郵便 「Web-EDI」利用ガイド (JP EDIシステム)
Webコミュニティ概念を用いた Webマイニングについての研究 A study on Web Mining Based on Web Communities 清水 洋志.
Intel SGXを用いた仮想マシンの 安全な監視機構
ビジネス プロジェクトの計画 発表者名 | 会社名.
Firebaseを用いた 位置情報共有システム
gate登録システム: 設計ポリシーから使い方まで
別紙② 訪問看護業務記録のIT化促進事業 提案書 (社名).
人を幸せにするアプリケーションの開発 2004年度春学期 大岩研究プロジェクト2 2004年4月8日(木) 発表:武田林太郎.
ISO23950による分散検索の課題と その解決案に関する検討
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
プログラム分散化のための アスペクト指向言語
強制パススルー機構を用いた VMの安全な帯域外リモート管理
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
gate-toroku-system のしくみ
オブジェクト指向言語における セキュリティ解析アルゴリズムの提案と実現
強制パススルー機構を用いた VMの安全な帯域外リモート管理
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

WIDE プロジェクトにおける認証実験の実施状況 ICAT 最終成果発表会 1998/11/19 WIDE プロジェクトにおける認証実験の実施状況 moCA WG における認証実験 WIDE プロジェクト 木村 泰司 WIDE Project

WIDE プロジェクトについて WIDE (Widely Integrated Distributed Environments) 広域分散環境に関する研究を行っているプロジェクト 代表:村井 純 教授(慶応義塾大学) moCA (members oriented CA) CA の運用技術の研究を行っているワーキンググループ

実験の目的 運用実験に基づくケーススタディを得ること 証明書の発行手続きといった運用に関するノウハウを得ること。 ICAT 最終成果発表会 1998/11/19 実験の目的 運用実験に基づくケーススタディを得ること 証明書の発行手続きといった運用に関するノウハウを得ること。 機能確認やパフォーマンス測定ではない。 WIDE Project

実験の想定 メンバー専用 Web ページを設け、個人認証に基づいたアクセス制御を行う。 アクセス制御のために、CA を運用。

実験の内容 証明書発行手続きに着目した実験(1998.03) 個人証明書/CA証明書の更新実験(1998.06) 本人確認と証明書の発行 個人証明書/CA証明書の更新実験(1998.06) 有効期限の延長 CA系列移動実験(1998.09) ICAT CA から WIDE ROOT CA への移動 ルートCAの鍵変更実験(1998.10) CA 管理者間の連絡とアナウンス時間の計測

証明書発行手続きに関する実験(1997.03 - 1998.03) 以下を考慮した最適な手続きの提案と実証 アプリケーションが求めるセキュリティレベル 今回は、メンバ限定のWeb情報提供サービス WIDE Project という組織の構造 既存のツールを組み合わせた実験による機能限界と問題点の明確化 ICAP, Apache, SSLeay, Netscape ブラウザ

WIDE メンバー と WIDE合宿 ボード WIDE 合宿 Project 全体の運用にあたっており、メンバーの加入・脱退を承認する。 一年に二回行われる合宿形式の研究会。 メンバーが一同に会する。 合宿情報(メンバー限定情報)が提供される。

実験の形態 メンバーが一同に集まる合宿で実施 実験期間 230名程度の利用を想定 1997年度9月の合宿の前後三ヶ月 1998年度3,9月の合宿の前後三ヶ月 1998年度9月の実験では個人証明書に関する実験は行わず。

実験環境の構成図 ICAT IPRA moCA 証明書 ユーザ 証明書 サーバ 証明書 ブラウザ CA に ICAP使用 HTTPS WIDE moCA アクセス制御 クライアントホスト WWW サーバホスト

証明書発行に関する 各実験の詳細と結果 1. 本人確認手続き 2. 証明書発行手続き 3. ツールの評価 ICAT 最終成果発表会 1998/11/19 証明書発行に関する 各実験の詳細と結果 1. 本人確認手続き 2. 証明書発行手続き 3. ツールの評価 WIDE Project

本人確認手続き 事前に本人と会って確認 暗号メールを用いた確認 合宿当日に本人と会って確認 本人とボードと CA オペレータが面会 メンバーがボードに個人情報を渡す ボードは CA オペレータに PGP で送信 合宿当日に本人と会って確認 本人と CA オペレータが面会

本人確認手続きの内訳 確認手続きで取られた方法の割合 1997/9 全体410名

本人確認手続きの状況 ボードが立ち会うことができない場合が多かった。 暗号メールを用いた確認手続きが少なかった。 代理のボードを通じたメンバーの確認 暗号メールを用いた確認手続きが少なかった。 メンバーがボードに個人情報(パスワード)を渡す方法が明確でなかった。

本人確認手続きからわかった事 短期間での確認手続きが困難であった要因 メンバー同士で会う機会が少ない。 メンバーが物理的にも所属組織的にも分散している。 メンバー登録と同じ作業をもう一度行う必要がある。 メンバー証といったものがない。 メンバー登録手続きと連動することができれば確認手続きは比較的容易になると考えられる。

証明書発行に関する 各実験の詳細と結果 1. 本人確認手続き 2. 証明書発行手続き 3. ツールの評価

証明書発行手続き 証明書発行手続き I. 本人確認 II. 証明書発行用アカウントの取得 III. 証明書発行用アカウントを用いた証明書発行 Web ブラウザで鍵を作成する必要がある。 しかし、本人確認の場ではブラウザが利用できないことが多い。 → 証明書発行用アカウントを利用(のちにパスワードのみに)

証明書発行状況 アカウント保持者の証明書発行の割合 1997/9 全体180名

証明書発行手続きからわかったこと パスワードが複数あったため混乱した。 証明書のブラウザへの組み込み時の混乱 ブラウザでの秘密鍵保護の為のパスワード 証明書発行用アカウントのパスワード → インターフェースもしくは発行用アカウントの見直しが必要。 証明書のブラウザへの組み込み時の混乱 証明書の仕組みが理解されていない。 正常に組み込まれたかどうかわかりにくい。 → わかりやすいガイドが必要であるとの指摘。

証明書利用状況 メンバーひとりに複数の証明書を発行 IPRA の証明書の更新 ブラウザやOSのバージョンアップ。 利用する証明書の選択が必要。 IPRA の証明書の更新 実験期間中(9/15)に有効期限が切れた。 CA は異なる組織で運用しているため、連絡を密にとる必要がある。

証明書発行に関する 各実験の詳細と結果 1. 本人確認手続き 2. 証明書発行手続き 3. ツールの評価

ツールの評価 ~ ICAP ~ ユーザインターフェースの変更が必要 秘密鍵の管理方法の改善が必要

ツールの評価 ~ WWW サーバ ~ Subject(DN)を多数記述するのが困難 Subject の識別だけでは危険 Issuer との組によるアクセス制御が望ましい。 CRL チェックの動作を確認した。

ツールの評価 ~ ブラウザ ~ 複数の証明書を選択する機能に不具合 現在のバージョンではこの不具合は修正されている。 クライアントは認証の違いに応じて、異なる CA によって発行された証明書を提示する必要がある。 しかし、この機能を利用すると強制終了することがあった。 現在のバージョンではこの不具合は修正されている。

個人証明書/CA証明書の更新実験(1998.06) CA証明書の有効期限の延長 CA証明書の更新作業 個人の秘密鍵を変えずに証明書の有効期限のみを変更。 Netscape ブラウザの証明書DB更新機能を試用。 CA証明書の更新作業 06/02 Certification Request 発行・CA証明書再署名・ユーザ向けガイド作成 06/08 ユーザへアナウンス、ユーザ証明書再証明開始

CA 系列移動実験(1998.09) 上位 CA の変更 moCA の上位 CA を IPRA 系列(ICAT系列)から WIDE 系列に変更。 新たに WIDE ROOT CA を立ち上げる。 実験前 実験後 IPRA WIDE ROOT CA ICAT moCA moCA

ルート CA 鍵変更実験(1998.10) ルート CA の鍵を変更する場合を想定 鍵変更発生からユーザにアナウンスが行われるまでの時間の計測が目的 WIDE ROOT CA moCA

まとめ WIDE プロジェクトにおける認証実験 実験の目標・仕組みの説明 実験から得られたノウハウ → ICAP2.0 に反映された。 → CA 運用のための知識としてまとめてゆく。 WIDE moCA ホームページ http://moca.wide.ad.jp/

証明書発行画面

今後のスケジュール(WIDE moCA WG 概要ページより) 1998/4~6 SOIのシステムにCAを導入するための詳細検討 と実験実験の履歴 1998/7~8 WIDE内研究プロジェクト向けCA運用ガイド作成 1998/9~ SOIのシステムをCAベースにするための設計検討 1998/4~1998/3 WIDE外のプロジェクトを含めた CA間実験、CAアプリケーション調査(S/MIME等)

実験環境の構成技術 SSL と X.509 ICAP https 盗聴・改竄+認証 X.509 v1,3 証明書 RSA・MyEllty 対応 Web インターフェース ユーザ自身による発行 etc... 証明書に含まれるデータ バージョン番号 シリアル番号 発行者名 証明書の有効期限 証明書の所有者 公開鍵・パラメータ 署名関連情報 署名本体

証明書の組み込み手順 証明書発行用アカウントを用いた方法 SSL 対応ブラウザを利用して CA サーバにアクセス 証明書発行メニューを実行し必要事項の記入。 ブラウザが暗号鍵を作成 証明書発行用アカウントとパスワードを用いて証明書を発行、ブラウザに組み込む