WIDE プロジェクトにおける認証実験の実施状況 ICAT 最終成果発表会 1998/11/19 WIDE プロジェクトにおける認証実験の実施状況 moCA WG における認証実験 WIDE プロジェクト 木村 泰司 WIDE Project
WIDE プロジェクトについて WIDE (Widely Integrated Distributed Environments) 広域分散環境に関する研究を行っているプロジェクト 代表:村井 純 教授(慶応義塾大学) moCA (members oriented CA) CA の運用技術の研究を行っているワーキンググループ
実験の目的 運用実験に基づくケーススタディを得ること 証明書の発行手続きといった運用に関するノウハウを得ること。 ICAT 最終成果発表会 1998/11/19 実験の目的 運用実験に基づくケーススタディを得ること 証明書の発行手続きといった運用に関するノウハウを得ること。 機能確認やパフォーマンス測定ではない。 WIDE Project
実験の想定 メンバー専用 Web ページを設け、個人認証に基づいたアクセス制御を行う。 アクセス制御のために、CA を運用。
実験の内容 証明書発行手続きに着目した実験(1998.03) 個人証明書/CA証明書の更新実験(1998.06) 本人確認と証明書の発行 個人証明書/CA証明書の更新実験(1998.06) 有効期限の延長 CA系列移動実験(1998.09) ICAT CA から WIDE ROOT CA への移動 ルートCAの鍵変更実験(1998.10) CA 管理者間の連絡とアナウンス時間の計測
証明書発行手続きに関する実験(1997.03 - 1998.03) 以下を考慮した最適な手続きの提案と実証 アプリケーションが求めるセキュリティレベル 今回は、メンバ限定のWeb情報提供サービス WIDE Project という組織の構造 既存のツールを組み合わせた実験による機能限界と問題点の明確化 ICAP, Apache, SSLeay, Netscape ブラウザ
WIDE メンバー と WIDE合宿 ボード WIDE 合宿 Project 全体の運用にあたっており、メンバーの加入・脱退を承認する。 一年に二回行われる合宿形式の研究会。 メンバーが一同に会する。 合宿情報(メンバー限定情報)が提供される。
実験の形態 メンバーが一同に集まる合宿で実施 実験期間 230名程度の利用を想定 1997年度9月の合宿の前後三ヶ月 1998年度3,9月の合宿の前後三ヶ月 1998年度9月の実験では個人証明書に関する実験は行わず。
実験環境の構成図 ICAT IPRA moCA 証明書 ユーザ 証明書 サーバ 証明書 ブラウザ CA に ICAP使用 HTTPS WIDE moCA アクセス制御 クライアントホスト WWW サーバホスト
証明書発行に関する 各実験の詳細と結果 1. 本人確認手続き 2. 証明書発行手続き 3. ツールの評価 ICAT 最終成果発表会 1998/11/19 証明書発行に関する 各実験の詳細と結果 1. 本人確認手続き 2. 証明書発行手続き 3. ツールの評価 WIDE Project
本人確認手続き 事前に本人と会って確認 暗号メールを用いた確認 合宿当日に本人と会って確認 本人とボードと CA オペレータが面会 メンバーがボードに個人情報を渡す ボードは CA オペレータに PGP で送信 合宿当日に本人と会って確認 本人と CA オペレータが面会
本人確認手続きの内訳 確認手続きで取られた方法の割合 1997/9 全体410名
本人確認手続きの状況 ボードが立ち会うことができない場合が多かった。 暗号メールを用いた確認手続きが少なかった。 代理のボードを通じたメンバーの確認 暗号メールを用いた確認手続きが少なかった。 メンバーがボードに個人情報(パスワード)を渡す方法が明確でなかった。
本人確認手続きからわかった事 短期間での確認手続きが困難であった要因 メンバー同士で会う機会が少ない。 メンバーが物理的にも所属組織的にも分散している。 メンバー登録と同じ作業をもう一度行う必要がある。 メンバー証といったものがない。 メンバー登録手続きと連動することができれば確認手続きは比較的容易になると考えられる。
証明書発行に関する 各実験の詳細と結果 1. 本人確認手続き 2. 証明書発行手続き 3. ツールの評価
証明書発行手続き 証明書発行手続き I. 本人確認 II. 証明書発行用アカウントの取得 III. 証明書発行用アカウントを用いた証明書発行 Web ブラウザで鍵を作成する必要がある。 しかし、本人確認の場ではブラウザが利用できないことが多い。 → 証明書発行用アカウントを利用(のちにパスワードのみに)
証明書発行状況 アカウント保持者の証明書発行の割合 1997/9 全体180名
証明書発行手続きからわかったこと パスワードが複数あったため混乱した。 証明書のブラウザへの組み込み時の混乱 ブラウザでの秘密鍵保護の為のパスワード 証明書発行用アカウントのパスワード → インターフェースもしくは発行用アカウントの見直しが必要。 証明書のブラウザへの組み込み時の混乱 証明書の仕組みが理解されていない。 正常に組み込まれたかどうかわかりにくい。 → わかりやすいガイドが必要であるとの指摘。
証明書利用状況 メンバーひとりに複数の証明書を発行 IPRA の証明書の更新 ブラウザやOSのバージョンアップ。 利用する証明書の選択が必要。 IPRA の証明書の更新 実験期間中(9/15)に有効期限が切れた。 CA は異なる組織で運用しているため、連絡を密にとる必要がある。
証明書発行に関する 各実験の詳細と結果 1. 本人確認手続き 2. 証明書発行手続き 3. ツールの評価
ツールの評価 ~ ICAP ~ ユーザインターフェースの変更が必要 秘密鍵の管理方法の改善が必要
ツールの評価 ~ WWW サーバ ~ Subject(DN)を多数記述するのが困難 Subject の識別だけでは危険 Issuer との組によるアクセス制御が望ましい。 CRL チェックの動作を確認した。
ツールの評価 ~ ブラウザ ~ 複数の証明書を選択する機能に不具合 現在のバージョンではこの不具合は修正されている。 クライアントは認証の違いに応じて、異なる CA によって発行された証明書を提示する必要がある。 しかし、この機能を利用すると強制終了することがあった。 現在のバージョンではこの不具合は修正されている。
個人証明書/CA証明書の更新実験(1998.06) CA証明書の有効期限の延長 CA証明書の更新作業 個人の秘密鍵を変えずに証明書の有効期限のみを変更。 Netscape ブラウザの証明書DB更新機能を試用。 CA証明書の更新作業 06/02 Certification Request 発行・CA証明書再署名・ユーザ向けガイド作成 06/08 ユーザへアナウンス、ユーザ証明書再証明開始
CA 系列移動実験(1998.09) 上位 CA の変更 moCA の上位 CA を IPRA 系列(ICAT系列)から WIDE 系列に変更。 新たに WIDE ROOT CA を立ち上げる。 実験前 実験後 IPRA WIDE ROOT CA ICAT moCA moCA
ルート CA 鍵変更実験(1998.10) ルート CA の鍵を変更する場合を想定 鍵変更発生からユーザにアナウンスが行われるまでの時間の計測が目的 WIDE ROOT CA moCA
まとめ WIDE プロジェクトにおける認証実験 実験の目標・仕組みの説明 実験から得られたノウハウ → ICAP2.0 に反映された。 → CA 運用のための知識としてまとめてゆく。 WIDE moCA ホームページ http://moca.wide.ad.jp/
証明書発行画面
今後のスケジュール(WIDE moCA WG 概要ページより) 1998/4~6 SOIのシステムにCAを導入するための詳細検討 と実験実験の履歴 1998/7~8 WIDE内研究プロジェクト向けCA運用ガイド作成 1998/9~ SOIのシステムをCAベースにするための設計検討 1998/4~1998/3 WIDE外のプロジェクトを含めた CA間実験、CAアプリケーション調査(S/MIME等)
実験環境の構成技術 SSL と X.509 ICAP https 盗聴・改竄+認証 X.509 v1,3 証明書 RSA・MyEllty 対応 Web インターフェース ユーザ自身による発行 etc... 証明書に含まれるデータ バージョン番号 シリアル番号 発行者名 証明書の有効期限 証明書の所有者 公開鍵・パラメータ 署名関連情報 署名本体
証明書の組み込み手順 証明書発行用アカウントを用いた方法 SSL 対応ブラウザを利用して CA サーバにアクセス 証明書発行メニューを実行し必要事項の記入。 ブラウザが暗号鍵を作成 証明書発行用アカウントとパスワードを用いて証明書を発行、ブラウザに組み込む