認証技術の国際動向 -第42回IETF活動報告-

Slides:



Advertisements
Similar presentations
OWL-Sを用いたWebアプリケーションの検査と生成
Advertisements

資料4-4 平成26年度 第3回技術委員会資料 次年度アクションアイテム案
2006年9月27日 植田龍男 Webサービス II (第1回) 年9月27日 植田龍男.
情報基礎A 情報科学研究科 徳山 豪.
The Perl Conference Japan ’98 朝日奈アンテナによる コンテンツ情報の取得と利用
Webサービスに関する基本用語 Masatoshi Ohishi / NAOJ & Sokendai
鈴木伸介 / (株)日立製作所 IPv6標準化と実装 鈴木伸介 / (株)日立製作所
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
Webアプリケーションの 通信メカニズム WEBアプリ研究プロジェクト 第2回.
富士ソフト株式会社 IT事業本部 テクニカルC&C部 小川直人
~ 第6回 XMLコンソーシアムWeek ~ セキュリティ部会活動報告 セキュリティ部会 活動のご紹介
~ 第8回 XMLコンソーシアムDay ~ セキュリティ部会活動中間報告 セキュリティ部会のご紹介
認証実用化実験協議会 平成10年度第1回定例研究会 ICAT 認証実用化実験協議会(ICAT) の広域認証実験
オープンデータ流通推進コンソーシアム 情報流通連携基盤外部仕様書の 改訂案
Microsoft Office Project 2007
CGI Programming and Web Security
「コンピュータと情報システム」 07章 インターネットとセキュリティ
第4回 個人の動画配信補足のためのWeb構築
OpenID 勉強会 (OpenID Authentication1.1)
2005年11月17日 Webサービス II (第6回) 年11月17日.
情報処理1 1.インターネット利用の基礎.
Z39.50プロトコルを用いた 検索クライアントの開発
ID連携を実現するSAML 2.0 と ID管理の最新動向
セッション管理 J2EE I 第9回 /
富士通 SS研究会 2000/11/15 KEK 高エネルギー加速器研究機構 計算科学センター 八代茂夫
HTTPプロトコルとJSP (1) データベース論 第3回.
暗号技術研究タスクフォースの研究開発動向
WIDE プロジェクトにおける認証実験の実施状況
鈴木伸介 / KAME Project IPv6技術標準化の最新動向 鈴木伸介 / KAME Project
認証実用化実験協議会の 活動成果について 認証実用化実験協議会 事務局 Copyright(C)ICAT
HTTPプロトコル J2EE I 第7回 /
ID一元管理を実現する - OpenIDの紹介 (OpenID Authentication1.1)
Telnet, rlogin などの仮想端末 ftp などのファイル転送 rpc, nfs
ID連携を実現するSAML 2.0 と ID管理の最新動向
Javaによる Webアプリケーション入門 第9回
JPNICデータベースへの認証 機能導入について
マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター
第8章 Web技術とセキュリティ   岡本 好未.
大阪大学 大学院情報科学研究科 博士前期課程2年 宮原研究室 土居 聡
JNSA IPSec機器相互接続試験のご案内
パーソナル・ファイアウォール ネットワーク内部の特定の通信を保護するための簡単な手段
第7回ネットワークプログラミング 中村 修.
SAML 2.0解説 その2 sstc-saml-tech-overview-2.0-draft-09を元に
Active Directory & SAP ユーザー管理統合ソリューション
理学部 情報科学科 指導教官 千葉 滋 助教授 学籍番号 03_03686 内河 綾
PGP インターネットで 広く使われている暗号技術
インターネットにおける真に プライベートなネットワークの構築
Internet広域分散協調サーチロボット の研究開発
PKI 情報工学専攻 1年 赤木里騎 P91~102.
インターネットの標準化の特徴 情報ネットワーク 講義資料
認証実用化実験協議会 平成10年度 第1回 定例研究会
~ 第5回 認証のためのプロキシー Web Application Proxy
JPNIC db-wg(データベース検討部会) ca-tf(認証技術タスクフォース) 戸田 洋三
ネットワークプログラミング (3回目) 05A1302 円田 優輝.
インターネットの標準化 の特徴 情報ネットワーク 講義資料
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
Servlet J2EE I (データベース論) 第12回 /
OSの再インストールや、バックアップからのリストア
ASP.NET 2.0による Webサービスの構築 2008年10月18日 こくぶんまさひろ.
大学図書館における研究開発 「ライブラリシステム研究会」について 三田図書館・情報学会月例会 2002年9月21日
資料3-2 平成26年度 第3回技術委員会資料 次年度テーマの検討
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
ASP.NET 2.0による Webサービスの構築 2008年10月18日 こくぶんまさひろ.
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
アプリケーションゲートウェイ実験 2001.10.5 鬼塚 優.
資料2 2 政府標準利用規約(1.0版)の見直し.
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
プロトコル番号 長野 英彦.
DHCPv6 on zebraの設計 miyu(SING) B2 親:yasu.
HTTPプロトコルの詳細 M1 峯 肇史.
Presentation transcript:

認証技術の国際動向 -第42回IETF活動報告- 櫻井三子(NEC) m-sakura@ccs.mt.nec.co.jp 98/11/19 ICAT活動成果発表会

セキュリティエリアのPKIX WG を中心に 一般動向編 セキュリティエリアのPKIX WG を中心に 98/11/19 ICAT活動成果発表会

IETFとは Internet Engineering Task Force よりよいインタネットアーキテクチャ、スムーズなオペレーションを目指すコミュニティ ボランティアベースの活動 インタネット標準(RFC)化活動が中心 技術分野ごとのエリア、エリア内のワーキンググループ単位で活動 普段の活動の場はML 年3回オフラインミーティングを開催 98/11/19 ICAT活動成果発表会

IETFにおける標準化活動の 典型的なステップ individual Internet-Draft (draft-個人名-..) ↓ WG Internet-Draft (draft-ietf-WG名) WG Last Call ↓ IESG Last Call Proposed Standard RFC ↓ Draft Standard RFC Standard RFC 98/11/19 ICAT活動成果発表会

IETF内のエリア Application Area General Area Internet Area Operations and Management Area Routing Area Security Area Transport Area User Service Area 98/11/19 ICAT活動成果発表会

42nd IETFミーティング 米国シカゴにて開催 期間:8/24(月) ~ 8/28(金) ワーキンググループ毎のセッション 参加者は2,000人程度 日本からは100人程度? ワーキンググループ毎のセッション 1時間~2時間半/セッション Internet-Drafts を叩き台にした議論が中心 セキュリティエリアは、8WG+2BOF 98/11/19 ICAT活動成果発表会

42nd IETFにおける セキュリティエリアのセッション cat (Common Authentication Technology) aft (Authenticated Firewall Traversal) stp (Secure Transport Proxy) BOF pkix (Public-Key Infrastructure (X.509)) ipsec (IP Security Protocol ) tls (Transport Layer Security) openpgp (An Open Specification for Pretty Good Privacy) smime (S/MIME Mail Security) secsh (Secure Shell) trustmgt (Trust Management) BOF

42nd IETFにおける セキュリティエリアのセッション trustmgt セキュリティ応用系 secsh openpgp smime aft, stp tls ipsec cat (spki) pkix セキュリティインフラ系 98/11/19 ICAT活動成果発表会

セキュリティエリア全体の動向 CA前提のPKIとその応用は収束段階へ 特許、ライセンス問題は少し前進 PKIXはやっとRFC目前に IPsecはRFCとしてまとまり、IPsecondへ 特許、ライセンス問題は少し前進 保有企業が特別な利用目的に限りフリーで使用許可する傾向が出てきた Authentication から Authorizationへ GEN エリアで AAA(Authentication, Authorization, Accounting) BOF が開催された 98/11/19 ICAT活動成果発表会

PKIX WG Public Key Infrastructure (X.509) WG 最低限必要なプロトコルを早く標準化するべく活動が活発化 今回は2時間のセッションが2回あった 98/11/19 ICAT活動成果発表会

PKIX WG Agenda 既存トピック PKIX Cert and CRL Profile LDAP v2 Schema and Profile OCSP (Online Certificate Status Protocol) CMP and CRMF CMMF and CMC IBM PKIX Software 98/11/19 ICAT活動成果発表会

PKIX WG Agenda(2) 新しいトピック CRLのサイズを抑えるための拡張フィールドの追加提案 Time Stamp Protocol, Notary Protocol Webベースの統合的CAサービスプロトコル提案(櫻井) CRLのサイズを抑えるための拡張フィールドの追加提案 PKIX全体の概観と実装のアドバイスを含めたロードマップドキュメントの提案 国際間でも合法的にディジタル署名を扱えるような枠組みの提案(Qualified Certificates) 98/11/19 ICAT活動成果発表会

おもな話題 主要なI-Dsの状況確認 証明書とCRLのプロファイルが漸くRFC目前になった →Proposed Standard RFCへ LDAPv2 スキーマ、CMPは IESG預かり OCSP, CMMF, CMC, OPP(LDAPv2)はWG Last Call 98/11/19 ICAT活動成果発表会

おもな話題(2) LDAP V2 の中で CA の証明書を格納するときの属性の使い方について議論 cACertificate と crossCertificatePair IBMが PKIX のフリーウェアを出すとのアナウンスがあった http://www.imc.org/imc-pfl forward reverse 自己署名証明書 他のCAに発行された CA証明書(自己署名を除く) 他のCAに発行した 証明書 98/11/19 ICAT活動成果発表会

PKIXの現状 CA RA CA 証明書 / CRL リポジトリ エンドエンティティ (a) CMP OPP (LDAPv2) (c) 鍵作成、証明書発行、更新、廃棄のためのやりとり CA エンドエンティティ 相互認証の ためのやりとり (a) CMP 証明書、CRL入手 のためのやりとり /管理情報のやりとり RA 証明書は X.509v3 CRLは X.509v2 CA OPP (LDAPv2) (c) (b) 証明書 登録 OPP (LDAPv2) (b) 証明書, CRL 登録 証明書 / CRL リポジトリ 98/11/19 ICAT活動成果発表会

CMP (Certificate Management Protocol) 証明書の発行、廃棄、鍵作成、鍵回復などを行うためのプロトコル 要求や応答の種類 を指定する PKI ヘッダ PKI メッセージ PKI ボディ 要求や応答に応じた フォーマットを利用する CMMF S/MIMEとの 擦りあわせ案 CMC CRMF 98/11/19 ICAT活動成果発表会

Internet-Draft発表報告編 Web-based Integrated CA services Protocol, ICAP (draft-sakurai-pkix-icap-00.txt) 98/11/19 ICAT活動成果発表会

I-D作成の背景 ICAT 広域認証技術タスクフォースの活動成果をまとめる IETF PKIX WG の活動内容との関連性が大きい CA パッケージ ICAPと暗号メールパッケージ PEPOPとの連携プロトコルをI-Dにまとめる IETF PKIX WG の活動内容との関連性が大きい PKIX WG に向けて情報発信 実は提案は2度目、今回は改良 98/11/19 ICAT活動成果発表会

ICAP とは 典型的なCA関連サービスを、Webベースで統合的に提供するプロトコル 独自 のCAモデルに基づいて定義 証明書発行 証明書入手、CA証明書入手、CRL入手 証明書の有効性確認 etc. 独自 のCAモデルに基づいて定義 CA間連携プロトコルを含めて定義 98/11/19 ICAT活動成果発表会

ICAPにおける CAの構成要素 CA を4つの機能からなると定義 Registration Authority (RA) 証明書を発行してよいかどうか判断する機能 パスワード認証のためのデータベースを管理 Issuing Authority (IA) 証明書やCRLに署名を行う機能 CAの鍵を管理 アプリケーション別証明書プロファイルを管理 98/11/19 ICAT活動成果発表会

ICAPにおける CAの構成要素(続き) Publishing Authority (PA) 証明書やCRLを配布する機能 証明書や CRLを管理 他のPAと連携 Validation Authority (VA) 個々の証明書の有効性を判定する機能 応答時に署名するための鍵を管理 他のVAと連携 98/11/19 ICAT活動成果発表会

End Entity outside of firewall ICAPにおける CAモデル CA 他組織のCA E n d t i y RA IA RA IA 内 firewall firewall 外 VA PA PA VA End Entity outside of firewall 98/11/19 ICAT活動成果発表会

ICAPが提供するCA関連サービス certreq revokereq updatereq lookupreq calookupreq RA IA lookupreq calookupreq crlreq verifyreq VA PA VA PA 98/11/19 ICAT活動成果発表会

ICAP要求/応答フォーマット シンプルかつアプリケーションフレンドリ 要求 応答 HTTPのPOSTメソッドを利用 CGIを想定し、パラメータをCGI変数として渡す 応答 text/plain フォーマットを利用 3桁の数字を使ったステータス情報を返す ステータス情報の後に応答データが続く 98/11/19 ICAT活動成果発表会

Example 要求 応答 % telnet cahost1 80 Trying 123.16.5.41 … Connected to cahost1. Escape character is ‘^]’. POST /cgi-bin/lookupreq HTTP/1.0 Content-length: 41 EmailAddress=alpha@abc.nec.co.jp&Latest=1 HTTP/1.1 200 OK Date: Sat, 25 Oct 1997 09:34:17 GMT Content-Type: text/plain lookupreq 200 accept your request MIIDmTCCA….. 要求 応答 98/11/19 ICAT活動成果発表会

“lookupreq” における PA-PA プロトコル 仮想的な階層を利用 各管理ドメインを定義 Referral model RootPAがURLを返す Chaining model RootPAが応答を返す RootPA RootPA 1 1 2 2 4 3 ターゲット 3 ターゲット PA1 PA2 PA1 PA2 4 98/11/19 ICAT活動成果発表会

“crlreq” における PA-PA プロトコル 要求メッセージに含まれる証明書からターゲットPAのURLを取り出しアクセスする cRLDistributionPoints という証明書拡張フィールドを利用 “calookupreq” におけるPA-PA プロトコル, “verifyreq” におけるVA-VA プロトコルも同様 ターゲット 1 PA1 PA2 2 98/11/19 ICAT活動成果発表会

PKIX WG で検討中の 関連プロトコル certreq lookupreq calookupreq crlreq verifyreq ICAP Certificate Management Protocol certreq lookupreq calookupreq crlreq verifyreq revokereq updatereq CMP OPP(HTTP) Operational Protocols WebCAP WEB based CA Access Protocol OPP(LDAP) Online Certificate Status Protocol OCSP 98/11/19 ICAT活動成果発表会

ICAP vs WebCAP 98/11/19 ICAT活動成果発表会

標準化に向けての目標は? 現在の PKIX WG 関連ドラフトは既に 18 とかなり細分化が進んでいる →しかし、今のところ反応は少ない 98/11/19 ICAT活動成果発表会

今までに寄せられた反応 テキストフォーマットの利用に関するコメント 実装に関するコメント なぜ全てを ASN.1 で定義しないのか? → PKIX WG は ASN.1 賛成派!? cf. アンチX.509 の SPKI WG = アンチASN.1 text/plain ではなく、新しいMIMEタイプの定義をしてはどうか ? 実装に関するコメント 入手できるかどうか? 98/11/19 ICAT活動成果発表会

まとめ IETFへの提案は、戦略とタイミングが重要 ICATからのI-D発信によって、成果を次につなげる可能性は広がった PKIX の基本プロトコルが固まりつつある状況下でのICAPの提案は... ICATからのI-D発信によって、成果を次につなげる可能性は広がった 今後改良点を反映させて改訂する予定 仕様の大部分を実装したパッケージをソースコードを含めて国内に配布 98/11/19 ICAT活動成果発表会