第42回IETF活動報告
Download
Report
Transcript 第42回IETF活動報告
認証技術の国際動向
-第42回IETF活動報告-
櫻井三子(NEC)
[email protected]
98/11/19
ICAT活動成果発表会
一般動向編
セキュリティエリアのPKIX WG
を中心に
98/11/19
ICAT活動成果発表会
IETFとは
Internet Engineering Task Force
よりよいインタネットアーキテクチャ、ス
ムーズなオペレーションを目指すコミュニ
ティ
ボランティアベースの活動
インタネット標準(RFC)化活動が中心
技術分野ごとのエリア、エリア内のワーキ
ンググループ単位で活動
98/11/19
普段の活動の場はML
ICAT活動成果発表会
年3回オフラインミーティングを開催
IETFにおける標準化活動の
典型的なステップ
individual InternetDraft (draft-個人名-..)
Proposed Standard
RFC
↓
WG Internet-Draft
(draft-ietf-WG名)
↓
WG Last Call
↓
IESG Last Call
↓
98/11/19
↓
Draft Standard RFC
↓
Standard RFC
ICAT活動成果発表会
IETF内のエリア
Application Area
General Area
Internet Area
Operations and Management Area
Routing Area
Security Area
Transport Area
User Service Area
98/11/19
ICAT活動成果発表会
42nd IETFミーティング
米国シカゴにて開催
期間:8/24(月) ~ 8/28(金)
参加者は2,000人程度
日本からは100人程度?
ワーキンググループ毎のセッション
1時間~2時間半/セッション
Internet-Drafts を叩き台にした議論が中心
セキュリティエリアは、8WG+2BOF
98/11/19
ICAT活動成果発表会
42nd IETFにおける
セキュリティエリアのセッション
cat (Common Authentication Technology)
aft (Authenticated Firewall Traversal)
stp (Secure Transport Proxy) BOF
pkix (Public-Key Infrastructure (X.509))
ipsec (IP Security Protocol )
tls (Transport Layer Security)
openpgp (An Open Specification for Pretty Good Privacy)
smime (S/MIME Mail Security)
secsh (Secure Shell)
trustmgt (Trust Management) BOF
42nd IETFにおける
セキュリティエリアのセッション
trustmgt
セキュリティ応用系
openpgp
aft, stp
smime
tls
ipsec
cat
(spki)
pkix
セキュリティインフラ系
98/11/19
ICAT活動成果発表会
secsh
セキュリティエリア全体の動向
CA前提のPKIとその応用は収束段階へ
PKIXはやっとRFC目前に
IPsecはRFCとしてまとまり、IPsecondへ
特許、ライセンス問題は少し前進
保有企業が特別な利用目的に限りフリーで使用許
可する傾向が出てきた
Authentication から Authorizationへ
GEN エリアで AAA(Authentication, Authorization, Accounting) BOF
が開催された
98/11/19
ICAT活動成果発表会
PKIX WG
Public Key Infrastructure (X.509) WG
X.509の定義に基づいた公開鍵暗号のイン
フラをインタネットで利用していくための規格
化を行う WG
最低限必要なプロトコルを早く標準化するべ
く活動が活発化
今回は2時間のセッションが2回あった
98/11/19
ICAT活動成果発表会
PKIX WG Agenda
既存トピック
PKIX Cert and CRL Profile
LDAP v2 Schema and Profile
OCSP (Online Certificate Status Protocol)
CMP and CRMF
CMMF and CMC
IBM PKIX Software
98/11/19
ICAT活動成果発表会
PKIX WG Agenda(2)
新しいトピック
Time Stamp Protocol, Notary Protocol
Webベースの統合的CAサービスプロトコル提案(櫻井)
CRLのサイズを抑えるための拡張フィールドの追加提案
PKIX全体の概観と実装のアドバイスを含めたロードマッ
プドキュメントの提案
国際間でも合法的にディジタル署名を扱えるような枠組
みの提案(Qualified Certificates)
98/11/19
ICAT活動成果発表会
おもな話題
主要なI-Dsの状況確認
証明書とCRLのプロファイルが漸くRFC目前に
なった
→Proposed Standard RFCへ
LDAPv2 スキーマ、CMPは IESG預かり
OCSP, CMMF, CMC, OPP(LDAPv2)はWG Last
Call
98/11/19
ICAT活動成果発表会
おもな話題(2)
LDAP V2 の中で CA の証明書を格納すると
きの属性の使い方について議論
cACertificate と crossCertificatePair
forward
自己署名証明書
他のCAに発行された
CA証明書(自己署名を除く)
reverse
他のCAに発行した
証明書
IBMが PKIX のフリーウェアを出すとのアナ
ウンスがあった
http://www.imc.org/imc-pfl
98/11/19
ICAT活動成果発表会
PKIXの現状
鍵作成、証明書
発行、更新、廃
棄のためのやり
とり
エンドエンティティ
(a)
証明書、CRL入手
のためのやりとり
/管理情報のやりとり
OPP
(c)
(LDAPv2)
CA
相互認証の
ためのやりとり
CMP
RA
(b)
証明書
登録
CA
(b)
OPP
(LDAPv2)
証明書, CRL
登録
証明書 / CRL リポジトリ
98/11/19
ICAT活動成果発表会
証明書は
X.509v3
CRLは
X.509v2
CMP (Certificate
Management Protocol)
証明書の発行、廃棄、鍵作成、鍵回復などを行うためのプロトコル
PKI
PKI ヘッダ
メ
ッ
セ
ー
ジ
PKI ボディ
要求や応答の種類
を指定する
要求や応答に応じた
フォーマットを利用する
CMMF
S/MIMEとの
擦りあわせ案
CMC
98/11/19
CRMF
ICAT活動成果発表会
Internet-Draft発表報告編
Web-based Integrated CA
services Protocol, ICAP
(draft-sakurai-pkix-icap-00.txt)
98/11/19
ICAT活動成果発表会
I-D作成の背景
ICAT 広域認証技術タスクフォースの活動成
果をまとめる
CA パッケージ ICAPと暗号メールパッケージ
PEPOPとの連携プロトコルをI-Dにまとめる
IETF PKIX WG の活動内容との関連性が
大きい
PKIX WG に向けて情報発信
実は提案は2度目、今回は改良
98/11/19
ICAT活動成果発表会
ICAP とは
典型的なCA関連サービスを、Webベースで
統合的に提供するプロトコル
証明書発行
証明書入手、CA証明書入手、CRL入手
証明書の有効性確認
etc.
独自 のCAモデルに基づいて定義
CA間連携プロトコルを含めて定義
98/11/19
ICAT活動成果発表会
ICAPにおける
CAの構成要素
CA を4つの機能からなると定義
Registration Authority (RA)
証明書を発行してよいかどうか判断する機能
パスワード認証のためのデータベースを管理
Issuing Authority (IA)
証明書やCRLに署名を行う機能
CAの鍵を管理
アプリケーション別証明書プロファイルを管理
98/11/19
ICAT活動成果発表会
ICAPにおける
CAの構成要素(続き)
Publishing Authority (PA)
証明書やCRLを配布する機能
証明書や CRLを管理
他のPAと連携
Validation Authority (VA)
個々の証明書の有効性を判定する機能
応答時に署名するための鍵を管理
他のVAと連携
98/11/19
ICAT活動成果発表会
ICAPにおける CAモデル
他組織のCA
CA
E
n
d
E
n
t
i
t
y
RA
IA
firewall
VA
PA
RA
ICAT活動成果発表会
内
外
firewall
PA
End Entity outside of firewall
98/11/19
IA
VA
ICAPが提供するCA関連サービス
certreq
revokereq
updatereq
verifyreq
RA
VA
IA
PA
VA
98/11/19
lookupreq
calookupreq
crlreq
PA
ICAT活動成果発表会
ICAP要求/応答フォーマット
シンプルかつアプリケーションフレンドリ
要求
HTTPのPOSTメソッドを利用
CGIを想定し、パラメータをCGI変数として渡す
応答
text/plain フォーマットを利用
3桁の数字を使ったステータス情報を返す
ステータス情報の後に応答データが続く
98/11/19
ICAT活動成果発表会
Example
% telnet cahost1 80
Trying 123.16.5.41 …
Connected to cahost1.
Escape character is ‘^]’.
POST /cgi-bin/lookupreq HTTP/1.0
Content-length: 41
要求
[email protected]&Latest=1
HTTP/1.1 200 OK
Date: Sat, 25 Oct 1997 09:34:17 GMT
Content-Type: text/plain
lookupreq
200 accept your request
MIIDmTCCA…..
98/11/19
ICAT活動成果発表会
応答
“lookupreq” における
PA-PA プロトコル
仮想的な階層を利用
各管理ドメインを定義
Referral model
RootPAがURLを返す
Chaining model
RootPAが応答を返す
RootPA
RootPA
1
2
3
PA1
4
ターゲット
PA2
PA1
4
98/11/19
2
1
ICAT活動成果発表会
3
ターゲット
PA2
“crlreq” における
PA-PA プロトコル
要求メッセージに含まれる証明書からター
ゲットPAのURLを取り出しアクセスする
cRLDistributionPoints という証明書拡張
フィールドを利用
1
PA1
ターゲット
PA2
2
“calookupreq” におけるPA-PA プロトコル,
“verifyreq” におけるVA-VA プロトコルも同様
98/11/19
ICAT活動成果発表会
PKIX WG で検討中の
関連プロトコル
ICAP
certreq
lookupreq
calookupreq
crlreq
verifyreq
revokereq
updatereq
98/11/19
CMP
Certificate
Management
Protocol
OPP(HTTP)
Operational
Protocols
WebCAP
WEB based
CA Access
Protocol
OPP(LDAP)
OCSP
ICAT活動成果発表会
Online
Certificate
Status
Protocol
ICAP vs WebCAP
ICAP
WebCAP
要求時の HTTP メ POST
ソッド
独自メソッドを含
む複数から選択
要求/応答フォーマ text/plain
1 回の送信に要
ット
求は 1 つ
PA のホスト名と 独立
PA が扱う証明書 PA の管理範囲
の名前空間との関 を複数のドメイ
係
ンで構成可能
text/xml
1 回の送信に要求
は複数可
制限あり
us.oracle.com
な ら
C=US,
O=ORACLE のみ
98/11/19
ICAT活動成果発表会
標準化に向けての目標は?
現在の PKIX WG 関連ドラフトは既に 18 と
かなり細分化が進んでいる
本ドラフトは、PKIX WG の複数のドラフトに
関連しているため、このまま標準化へ持って
いくのは難しそう
→まずは、PKIX WGドラフトとしてみとめられる
ことを目標に発表!
→しかし、今のところ反応は少ない
98/11/19
ICAT活動成果発表会
今までに寄せられた反応
テキストフォーマットの利用に関するコメント
なぜ全てを ASN.1 で定義しないのか?
→ PKIX WG は ASN.1 賛成派!?
cf. アンチX.509 の SPKI WG = アンチASN.1
text/plain ではなく、新しいMIMEタイプの定義を
してはどうか ?
実装に関するコメント
入手できるかどうか?
98/11/19
ICAT活動成果発表会
まとめ
IETFへの提案は、戦略とタイミングが重要
PKIX の基本プロトコルが固まりつつある状況下で
のICAPの提案は...
ICATからのI-D発信によって、成果を次につ
なげる可能性は広がった
今後改良点を反映させて改訂する予定
仕様の大部分を実装したパッケージをソース
コードを含めて国内に配布
98/11/19
ICAT活動成果発表会