認証技術の国際動向 -第42回IETF活動報告- 櫻井三子(NEC) m-sakura@ccs.mt.nec.co.jp 98/11/19 ICAT活動成果発表会
セキュリティエリアのPKIX WG を中心に 一般動向編 セキュリティエリアのPKIX WG を中心に 98/11/19 ICAT活動成果発表会
IETFとは Internet Engineering Task Force よりよいインタネットアーキテクチャ、スムーズなオペレーションを目指すコミュニティ ボランティアベースの活動 インタネット標準(RFC)化活動が中心 技術分野ごとのエリア、エリア内のワーキンググループ単位で活動 普段の活動の場はML 年3回オフラインミーティングを開催 98/11/19 ICAT活動成果発表会
IETFにおける標準化活動の 典型的なステップ individual Internet-Draft (draft-個人名-..) ↓ WG Internet-Draft (draft-ietf-WG名) WG Last Call ↓ IESG Last Call Proposed Standard RFC ↓ Draft Standard RFC Standard RFC 98/11/19 ICAT活動成果発表会
IETF内のエリア Application Area General Area Internet Area Operations and Management Area Routing Area Security Area Transport Area User Service Area 98/11/19 ICAT活動成果発表会
42nd IETFミーティング 米国シカゴにて開催 期間:8/24(月) ~ 8/28(金) ワーキンググループ毎のセッション 参加者は2,000人程度 日本からは100人程度? ワーキンググループ毎のセッション 1時間~2時間半/セッション Internet-Drafts を叩き台にした議論が中心 セキュリティエリアは、8WG+2BOF 98/11/19 ICAT活動成果発表会
42nd IETFにおける セキュリティエリアのセッション cat (Common Authentication Technology) aft (Authenticated Firewall Traversal) stp (Secure Transport Proxy) BOF pkix (Public-Key Infrastructure (X.509)) ipsec (IP Security Protocol ) tls (Transport Layer Security) openpgp (An Open Specification for Pretty Good Privacy) smime (S/MIME Mail Security) secsh (Secure Shell) trustmgt (Trust Management) BOF
42nd IETFにおける セキュリティエリアのセッション trustmgt セキュリティ応用系 secsh openpgp smime aft, stp tls ipsec cat (spki) pkix セキュリティインフラ系 98/11/19 ICAT活動成果発表会
セキュリティエリア全体の動向 CA前提のPKIとその応用は収束段階へ 特許、ライセンス問題は少し前進 PKIXはやっとRFC目前に IPsecはRFCとしてまとまり、IPsecondへ 特許、ライセンス問題は少し前進 保有企業が特別な利用目的に限りフリーで使用許可する傾向が出てきた Authentication から Authorizationへ GEN エリアで AAA(Authentication, Authorization, Accounting) BOF が開催された 98/11/19 ICAT活動成果発表会
PKIX WG Public Key Infrastructure (X.509) WG 最低限必要なプロトコルを早く標準化するべく活動が活発化 今回は2時間のセッションが2回あった 98/11/19 ICAT活動成果発表会
PKIX WG Agenda 既存トピック PKIX Cert and CRL Profile LDAP v2 Schema and Profile OCSP (Online Certificate Status Protocol) CMP and CRMF CMMF and CMC IBM PKIX Software 98/11/19 ICAT活動成果発表会
PKIX WG Agenda(2) 新しいトピック CRLのサイズを抑えるための拡張フィールドの追加提案 Time Stamp Protocol, Notary Protocol Webベースの統合的CAサービスプロトコル提案(櫻井) CRLのサイズを抑えるための拡張フィールドの追加提案 PKIX全体の概観と実装のアドバイスを含めたロードマップドキュメントの提案 国際間でも合法的にディジタル署名を扱えるような枠組みの提案(Qualified Certificates) 98/11/19 ICAT活動成果発表会
おもな話題 主要なI-Dsの状況確認 証明書とCRLのプロファイルが漸くRFC目前になった →Proposed Standard RFCへ LDAPv2 スキーマ、CMPは IESG預かり OCSP, CMMF, CMC, OPP(LDAPv2)はWG Last Call 98/11/19 ICAT活動成果発表会
おもな話題(2) LDAP V2 の中で CA の証明書を格納するときの属性の使い方について議論 cACertificate と crossCertificatePair IBMが PKIX のフリーウェアを出すとのアナウンスがあった http://www.imc.org/imc-pfl forward reverse 自己署名証明書 他のCAに発行された CA証明書(自己署名を除く) 他のCAに発行した 証明書 98/11/19 ICAT活動成果発表会
PKIXの現状 CA RA CA 証明書 / CRL リポジトリ エンドエンティティ (a) CMP OPP (LDAPv2) (c) 鍵作成、証明書発行、更新、廃棄のためのやりとり CA エンドエンティティ 相互認証の ためのやりとり (a) CMP 証明書、CRL入手 のためのやりとり /管理情報のやりとり RA 証明書は X.509v3 CRLは X.509v2 CA OPP (LDAPv2) (c) (b) 証明書 登録 OPP (LDAPv2) (b) 証明書, CRL 登録 証明書 / CRL リポジトリ 98/11/19 ICAT活動成果発表会
CMP (Certificate Management Protocol) 証明書の発行、廃棄、鍵作成、鍵回復などを行うためのプロトコル 要求や応答の種類 を指定する PKI ヘッダ PKI メッセージ PKI ボディ 要求や応答に応じた フォーマットを利用する CMMF S/MIMEとの 擦りあわせ案 CMC CRMF 98/11/19 ICAT活動成果発表会
Internet-Draft発表報告編 Web-based Integrated CA services Protocol, ICAP (draft-sakurai-pkix-icap-00.txt) 98/11/19 ICAT活動成果発表会
I-D作成の背景 ICAT 広域認証技術タスクフォースの活動成果をまとめる IETF PKIX WG の活動内容との関連性が大きい CA パッケージ ICAPと暗号メールパッケージ PEPOPとの連携プロトコルをI-Dにまとめる IETF PKIX WG の活動内容との関連性が大きい PKIX WG に向けて情報発信 実は提案は2度目、今回は改良 98/11/19 ICAT活動成果発表会
ICAP とは 典型的なCA関連サービスを、Webベースで統合的に提供するプロトコル 独自 のCAモデルに基づいて定義 証明書発行 証明書入手、CA証明書入手、CRL入手 証明書の有効性確認 etc. 独自 のCAモデルに基づいて定義 CA間連携プロトコルを含めて定義 98/11/19 ICAT活動成果発表会
ICAPにおける CAの構成要素 CA を4つの機能からなると定義 Registration Authority (RA) 証明書を発行してよいかどうか判断する機能 パスワード認証のためのデータベースを管理 Issuing Authority (IA) 証明書やCRLに署名を行う機能 CAの鍵を管理 アプリケーション別証明書プロファイルを管理 98/11/19 ICAT活動成果発表会
ICAPにおける CAの構成要素(続き) Publishing Authority (PA) 証明書やCRLを配布する機能 証明書や CRLを管理 他のPAと連携 Validation Authority (VA) 個々の証明書の有効性を判定する機能 応答時に署名するための鍵を管理 他のVAと連携 98/11/19 ICAT活動成果発表会
End Entity outside of firewall ICAPにおける CAモデル CA 他組織のCA E n d t i y RA IA RA IA 内 firewall firewall 外 VA PA PA VA End Entity outside of firewall 98/11/19 ICAT活動成果発表会
ICAPが提供するCA関連サービス certreq revokereq updatereq lookupreq calookupreq RA IA lookupreq calookupreq crlreq verifyreq VA PA VA PA 98/11/19 ICAT活動成果発表会
ICAP要求/応答フォーマット シンプルかつアプリケーションフレンドリ 要求 応答 HTTPのPOSTメソッドを利用 CGIを想定し、パラメータをCGI変数として渡す 応答 text/plain フォーマットを利用 3桁の数字を使ったステータス情報を返す ステータス情報の後に応答データが続く 98/11/19 ICAT活動成果発表会
Example 要求 応答 % telnet cahost1 80 Trying 123.16.5.41 … Connected to cahost1. Escape character is ‘^]’. POST /cgi-bin/lookupreq HTTP/1.0 Content-length: 41 EmailAddress=alpha@abc.nec.co.jp&Latest=1 HTTP/1.1 200 OK Date: Sat, 25 Oct 1997 09:34:17 GMT Content-Type: text/plain lookupreq 200 accept your request MIIDmTCCA….. 要求 応答 98/11/19 ICAT活動成果発表会
“lookupreq” における PA-PA プロトコル 仮想的な階層を利用 各管理ドメインを定義 Referral model RootPAがURLを返す Chaining model RootPAが応答を返す RootPA RootPA 1 1 2 2 4 3 ターゲット 3 ターゲット PA1 PA2 PA1 PA2 4 98/11/19 ICAT活動成果発表会
“crlreq” における PA-PA プロトコル 要求メッセージに含まれる証明書からターゲットPAのURLを取り出しアクセスする cRLDistributionPoints という証明書拡張フィールドを利用 “calookupreq” におけるPA-PA プロトコル, “verifyreq” におけるVA-VA プロトコルも同様 ターゲット 1 PA1 PA2 2 98/11/19 ICAT活動成果発表会
PKIX WG で検討中の 関連プロトコル certreq lookupreq calookupreq crlreq verifyreq ICAP Certificate Management Protocol certreq lookupreq calookupreq crlreq verifyreq revokereq updatereq CMP OPP(HTTP) Operational Protocols WebCAP WEB based CA Access Protocol OPP(LDAP) Online Certificate Status Protocol OCSP 98/11/19 ICAT活動成果発表会
ICAP vs WebCAP 98/11/19 ICAT活動成果発表会
標準化に向けての目標は? 現在の PKIX WG 関連ドラフトは既に 18 とかなり細分化が進んでいる →しかし、今のところ反応は少ない 98/11/19 ICAT活動成果発表会
今までに寄せられた反応 テキストフォーマットの利用に関するコメント 実装に関するコメント なぜ全てを ASN.1 で定義しないのか? → PKIX WG は ASN.1 賛成派!? cf. アンチX.509 の SPKI WG = アンチASN.1 text/plain ではなく、新しいMIMEタイプの定義をしてはどうか ? 実装に関するコメント 入手できるかどうか? 98/11/19 ICAT活動成果発表会
まとめ IETFへの提案は、戦略とタイミングが重要 ICATからのI-D発信によって、成果を次につなげる可能性は広がった PKIX の基本プロトコルが固まりつつある状況下でのICAPの提案は... ICATからのI-D発信によって、成果を次につなげる可能性は広がった 今後改良点を反映させて改訂する予定 仕様の大部分を実装したパッケージをソースコードを含めて国内に配布 98/11/19 ICAT活動成果発表会