プレゼンテーションのダウンロード
Download
Report
Transcript プレゼンテーションのダウンロード
IETF 活動報告
櫻井三子
広域認証技術研究タスクフォース
[email protected]
IETFとは
Internet
Engineering Task Force
よりよいインタネットアーキテクチャ、ス
ムーズなオペレーションを目指すコミュニ
ティ
– ボランティアベースの活動
– インタネット標準(RFC)化活動が中心
技術分野ごとのエリア、エリア内のワーキ
ンググループ単位で活動
– 普段の活動の場はML
– 年3回オフラインミーティングを開催
IETF内のエリア
Apprication Area
General Area
Internet Area
Operations and Management Area
Routing Area
Security Area
Transport Area
User Service Area
セキュリティエリア
An Open Specification for Pretty Good Privacy (openpgp)
Authenticated Firewall Traversal (aft)
Common Authentication Technology (cat)
Domain Name System Security (dnssec)
IP Security Protocol (ipsec)
One Time Password Authentication (otp)
Public-Key Infrastructure (X.509) (pkix)
S/MIME Mail Security (smime)
Secure Shell (secsh)
Simple Public Key Infrastructure (spki)
Transport Layer Security (tls)
Web Transaction Security (wts)
41th IETFミーティング
米国ロサンゼルスにて開催
期間:3/30(月)
~ 4/3(水)
– 参加者は事前登録者だけで1,000人程度
– 日本からは100人程度
ワーキンググループ毎のセッション
– 1時間~2時間半/セッション
– Internet-Drafts を叩き台にした議論が中心
– セキュリティエリアのセッションは、9ワーキン
ググループ
41th IETFにおける
セキュリティエリアのセッション
セキュリティ応用系
openpgp
smime
tls
ipsec
cat
spki
セキュリティインフラ系
pkix
otp
cidf
セキュリティエリア全体の動向
楕円曲線暗号の利用
PKIX, TLS, IPsec
パテント問題の回避
S/MIME, TLS ---- RSA, DSA/DH
CAを前提とする PKI技術検討がホット
PKIを提供する側と利用する側との意見交換
PKIX & IPsec , PKIX & S/MIME
PKIXセッション概要
WG発足して2年半、未だRFC化に至らず
– 各方面から早く RFCにして欲しいとの要望
– Patent 問題を回避し、I-D を細分化
CAのインフラに関連したプロトコルのレ
ビュー
– Certificate Management Message Format
– Certificate Request Message Format
– LDAP v2 ,v3 と PKIX
PKIXセッション概要(Cont.)
CA関連プロトコルのレビュー
– OCSP
Online Certificate Status protocol
– Time Stamp Protocol
IPsec
PKI Requirements
証明書の有効性を確認するプロセスに関
してはまだ意見がまとまっていない状況
特に CA が正しいかどうかを判定するプロセス
CAインフラ(PKIX)
CA
End Entity
Operational
transactions
/Management
transactions
Management
transactions
Management
transactions
RA
CA
Cert
publish
Cert, CRL
Publish
Cert / CRL Repository
IETF活動とICAT
I-D として提案
draft-kikuchi-web-cert-repository-00.txt
(1997.4, Memphis)
ICATの検討内容を PKIX WG chairに持ち
より意見を交換
proposal-icat-short-key-cert-00.txt
(1997.8, Munich)
ICATの成果を
CA
CAの機能構成(ICAT版)
本人確認のための
データ
証明書 CRL
Cert Request
RA
IA
PA
VA
Cert / CRL
Retrieval
End Entity
証明書
CRL
CRL
Cert Verification
Request
CAの機能構成(ICAT版)
Registration
Authority
証明書を発行してよいかどうかを判断する機能
Issuing
Authority
証明書に署名をする機能
Publishing
Authority
証明書を配布する機能
Validation
Authority
個々の証明書の有効性を判定する機能
draft-kikuchi-web-cert-repository
HTTPベースのCA Management
Protocolを
提案
PA間についてはCA階層を利用した2つの
通信方式を提案
ICAP 2.x では改良を加え実装し、実験中
1
PA
2
3
4
PA
1
PA
target
PA
PA
4
3
2
target
PA
proposal-icat-short-key-cert
現在のX.509
形式証明書の典型的な署名
方式は楕円曲線暗号のように鍵長が短い
場合には適用できない問題を指摘
ICAT 独自の署名方式を提案
ICAP/PEPOP では提案方式を実装
X.509証明書の典型的署名方式
バージョン番号
シリアル番号
md2WithRSAEncryption
の場合300bit程度
発行者名
有効期間
ユーザID
ユーザIDの公開鍵、
および関連する情報
ハッシュ
関数
B
E
+ R
ハッシュ関数 符
号
識別子
署名に関する情報
拡張フィールド
署名
楕円曲線暗号の
鍵長は160bit
署名
関数
ICATによる提案方式
バージョン番号
シリアル番号
発行者名
有効期間
ユーザID
ユーザIDの公開鍵、
および関連する情報
署名に関する情報
拡張フィールド
署名
ハッシュ
関数
B
E
+ R
ハッシュ関数 符
号
識別子
ハッシュ
関数
署名
関数
まとめ
IETF
動向と ICAT 活動との関連
– 楕円曲線暗号の利用に関してはやや先行!?
– 今後も ICAT の成果を IETF に展開する予定
その他の暗号・認証関連動向にも着目
– Mozilla 5.0 のソースコード公開
→ ICAT 暗号の組み込み!?