ICAT http://www.icat.or.jp/ 認証実用化実験協議会の 活動成果について 認証実用化実験協議会 事務局 info@icat.or.jp Copyright(C)ICAT 認証実用化実験協議会の活動成果について
ICAT活動経緯 1995 調査 調査報告書 1996 開発 PemCAT, ICAPv1 1997 実証実験 ICAPv2, PEPOP 1998 普及 各成果物公開 1999 実用 ?????? Copyright(C)ICAT
認証実用化実験協議会(ICAT)最終成果発表会 事業目的と達成度 ○ 暗号技術を応用した認証技術の確立(1996) 大規模な認証局運用実験(1997) ○公的認証局機構の実現 ○階層型認証局モデル △ 暗号・認証技術の有効活用の促進(1998) × 実サービスへの応用(1999~) Copyright(C)ICAT 認証実用化実験協議会の活動成果について
その他の活動(1995~1998) 技術情報提供 報告書、ICAT Newsletter 研究会 www.icat.or.jp 開発技術提案 IETF, Crypto97 成果物普及 PemCAT, ICAPv1(~1997) 暗号ライブラリ,PEPOP, ICAPv2(1998~) Copyright(C)ICAT
認証実用化実験協議会(ICAT)最終成果発表会 成果物利用状況 1996.6~1998.9 CA証明書発行件数 31件 ICAP ver.1ダウンロード件数 296件 PemCATダウンロード件数 1327件 Pilot CAユーザ用証明書発行件数 666件 1998年9月30日現在 Copyright(C)ICAT 認証実用化実験協議会の活動成果について
成果物利用規程(要約) 商用でもフリーユース可 登録申請書で申し込み 著作権の保持 無保証 無許可の海外持ち出し禁止 但し、成果物自体に料金を取ることは不可 登録申請書で申し込み 著作権の保持 無保証 無許可の海外持ち出し禁止 Copyright(C)ICAT
成果物利用にあたって Web経由の場合 登録申請書記入 利用規程承認 ダウンロード Copyright(C)ICAT
必要なもの マシン 1台ないし2台 httpサーバ(for ICAP) ICAP 2.3x PEPOP 1.3x 暗号ライブラリ マシン 1台ないし2台 httpサーバ(for ICAP) ICAP 2.3x PEPOP 1.3x 暗号ライブラリ 楕円曲線暗号、RSA(FJPEM, SSLeay) メールサーバ SMTP, POP Copyright(C)ICAT
動作確認環境 ICAP, PEPOP, 暗号ライブラリ SunOS4.1.4 Solaris2.5 FreeBSD2.2.5 Copyright(C)ICAT
システム例 ※ICAP と PEPOP は兼用可 ※SMTP, POP のポート番号を 変えればメールサーバと兼用可 ICAP クライアント PEPOP SMTP メールサーバ Copyright(C)ICAT
インストール手順概略 httpd(or httpsd)インストール ICAPインストール PEPOPインストール クライアントメールソフトの設定変更 OTPの起動 メール送受信 Copyright(C)ICAT
ICAPインストール手順概略 (ソースパッケージの展開&make) バイナリ-パッケージの展開 共通パッケージの展開 icap2.x(pub)-platform-portion.tar.gz 共通パッケージの展開 icap-2.x(pub)-common.tar.gz sh $ICAP/install の実行 Webブラウザでの設定 Copyright(C)ICAT
sh $ICAP/install 各ツールの場所 perl, sendmail, ed, tail, Mail, chmod, chown, netscape htdocsのdirectory httpdのポート, 実行ID ICAP の URL 管理者ID とパスワード Copyright(C)ICAT
ICAP設定画面 Copyright(C)ICAT
ICAP設定項目 暗号アルゴリズム(楕円 or RSA) X.509 v1 or V3 CA の秘密鍵生成 CA名設定(ex. C=JP, O=ICAT,OU=Secretariat) CAの公開鍵の登録 その他 Copyright(C)ICAT
日々の作業 ユーザ管理 expireのチェック(毎日) CRL の発行(月1程度:推奨値) issue_crl [-s] {-n days | -d mdays -m months} CRL の発行(月1程度:推奨値) icap-check_expired Copyright(C)ICAT
ちょっと高度な設定 管理モードアクセスコントロール 証明書の有効期間(アプリケーション毎) CA の階層化 $ICAP/etc/icap_access.conf 証明書の有効期間(アプリケーション毎) $ICAP/etc/ icap_app.profile CA の階層化 $ICAP/etc/ icap_resolv.conf Copyright(C)ICAT
PEPOPとは? ICAP POP POP SMTP SMTP PEPOP 受信時はPOP自動復号、自動署名検証 送信時は自動暗号化と、 OTPによる認証後、自動署名 ICAP POP POP SMTP SMTP PEPOP クライアント 証明書 秘密鍵 メールサーバ Copyright(C)ICAT
PEPOPインストール手順概略 (暗号ライブラリの展開&make) (ソースパッケージの展開&make) バイナリソースパッケージの展開 pepop-1.3x.tar.gz バイナリソースパッケージの展開 pepop-1.3x-bin-platform.tar.gz pepop.conf, userid.conf の設定 Copyright(C)ICAT
$PEPOP/conf/pepop.cnf SMTPサーバ名、ポート番号 POPサーバ名、ポート番号 CA名、ポート番号 CAアクセス有無 署名チェック有無 CRLチェック有無 OTP設定(間隔) 管理者メールアドレス Copyright(C)ICAT
$PEPOP/crtreq/userid.req 暗号アルゴリズム, 鍵長,ハッシュ関数 DN(Distinguished Name) ICAP用 ID/パスワード ICAPアプリケーションID PEPOP, PEPOPrsa Copyright(C)ICAT
OTPクライアント(windows版) Copyright(C)ICAT
使用例送信 Copyright(C)ICAT
認証実用化実験協議会(ICAT)最終成果発表会 PEPOPレポート S/MIME Message Type = Signed Data 0 Signer Information [Message] Signature = Valid [Certificate] Subject CountryName = JP OrganizationName = JIPDEC CommonName = KITANO Hiroyuki Validity notBefore = 980723001843Z notAfter = 980921001843Z SubjectDirectoryAttributesWithRestrictedPeriod Title = Researcher EmailAddress = kit@icat.or.jp Validity notBefore = 980723001843Z notafter = 980822001843Z [Authenticated Attributes] contentType = data messageDigest = 73 88 a9 eb 88 29 6a 10 85 be cf e5 90 b6 e7 d8 f8 22 4f 7d signingTime = 980723023057Z AuthenticationLevel = OTPAuthenticationMethod SMIMECapabilities (0) capabilityID = sha-1withRSAEncryption parameters = null Copyright(C)ICAT 認証実用化実験協議会の活動成果について
その他ICAPで... Netscape でのユーザ証明書によるアクセスコントロール FJPEM/PemCAT用証明書発行 Apache+SSLサーバ用証明書発行 Netscapeサーバ用証明書発行 and more... Copyright(C)ICAT
今後のICAT 事務局(最小機能)を奈良先端大へ移設 www.icat.or.jp 技術情報提供 成果物公開 デモンストレーション 他組織への提案・協力 WIDE, JAMI, ISIT, JPNIC,…. Copyright(C)ICAT
最後に 会員の皆様3年半お付き合いありがとうございました。 各種問い合わせ、質問、要望、バグ情報、フィードバックなどは今までどおり info@icat.or.jp までお願いします。 いつかまたお会いできる日を願って Copyright(C)ICAT