IETF 活動報告 櫻井三子 広域認証技術研究タスクフォース [email protected] IETFとは Internet Engineering Task Force よりよいインタネットアーキテクチャ、ス ムーズなオペレーションを目指すコミュニ ティ – ボランティアベースの活動 – インタネット標準(RFC)化活動が中心 技術分野ごとのエリア、エリア内のワーキ ンググループ単位で活動 – 普段の活動の場はML – 年3回オフラインミーティングを開催 IETF内のエリア Apprication Area General Area Internet Area Operations and Management Area Routing Area Security Area Transport Area User Service Area セキュリティエリア An Open Specification for Pretty Good Privacy (openpgp) Authenticated Firewall Traversal (aft) Common Authentication Technology (cat) Domain Name System Security (dnssec) IP Security Protocol (ipsec) One Time Password Authentication (otp) Public-Key Infrastructure (X.509) (pkix) S/MIME Mail Security (smime) Secure Shell (secsh) Simple Public Key Infrastructure (spki) Transport Layer Security (tls) Web Transaction Security (wts) 41th IETFミーティング 米国ロサンゼルスにて開催 期間:3/30(月) ~ 4/3(水) – 参加者は事前登録者だけで1,000人程度 – 日本からは100人程度 ワーキンググループ毎のセッション – 1時間~2時間半/セッション – Internet-Drafts を叩き台にした議論が中心 – セキュリティエリアのセッションは、9ワーキン ググループ 41th IETFにおける セキュリティエリアのセッション セキュリティ応用系 openpgp smime tls ipsec cat spki セキュリティインフラ系 pkix otp cidf セキュリティエリア全体の動向 楕円曲線暗号の利用 PKIX, TLS, IPsec パテント問題の回避 S/MIME, TLS ---- RSA, DSA/DH CAを前提とする PKI技術検討がホット PKIを提供する側と利用する側との意見交換 PKIX & IPsec , PKIX & S/MIME PKIXセッション概要 WG発足して2年半、未だRFC化に至らず – 各方面から早く RFCにして欲しいとの要望 – Patent 問題を回避し、I-D を細分化 CAのインフラに関連したプロトコルのレ ビュー – Certificate Management Message Format – Certificate Request Message Format – LDAP v2 ,v3 と PKIX PKIXセッション概要(Cont.) CA関連プロトコルのレビュー – OCSP Online Certificate Status protocol – Time Stamp Protocol IPsec PKI Requirements 証明書の有効性を確認するプロセスに関 してはまだ意見がまとまっていない状況 特に CA が正しいかどうかを判定するプロセス CAインフラ(PKIX) CA End Entity Operational transactions /Management transactions Management transactions Management transactions RA CA Cert publish Cert, CRL Publish Cert / CRL Repository IETF活動とICAT I-D として提案 draft-kikuchi-web-cert-repository-00.txt (1997.4, Memphis) ICATの検討内容を PKIX WG chairに持ち より意見を交換 proposal-icat-short-key-cert-00.txt (1997.8, Munich) ICATの成果を CA CAの機能構成(ICAT版) 本人確認のための データ 証明書 CRL Cert Request RA IA PA VA Cert / CRL Retrieval End Entity 証明書 CRL CRL Cert Verification Request CAの機能構成(ICAT版) Registration Authority 証明書を発行してよいかどうかを判断する機能 Issuing Authority 証明書に署名をする機能 Publishing Authority 証明書を配布する機能 Validation Authority 個々の証明書の有効性を判定する機能 draft-kikuchi-web-cert-repository HTTPベースのCA Management Protocolを 提案 PA間についてはCA階層を利用した2つの 通信方式を提案 ICAP 2.x では改良を加え実装し、実験中 1 PA 2 3 4 PA 1 PA target PA PA 4 3 2 target PA proposal-icat-short-key-cert 現在のX.509 形式証明書の典型的な署名 方式は楕円曲線暗号のように鍵長が短い 場合には適用できない問題を指摘 ICAT 独自の署名方式を提案 ICAP/PEPOP では提案方式を実装 X.509証明書の典型的署名方式 バージョン番号 シリアル番号 md2WithRSAEncryption の場合300bit程度 発行者名 有効期間 ユーザID ユーザIDの公開鍵、 および関連する情報 ハッシュ 関数 B E + R ハッシュ関数 符 号 識別子 署名に関する情報 拡張フィールド 署名 楕円曲線暗号の 鍵長は160bit 署名 関数 ICATによる提案方式 バージョン番号 シリアル番号 発行者名 有効期間 ユーザID ユーザIDの公開鍵、 および関連する情報 署名に関する情報 拡張フィールド 署名 ハッシュ 関数 B E + R ハッシュ関数 符 号 識別子 ハッシュ 関数 署名 関数 まとめ IETF 動向と ICAT 活動との関連 – 楕円曲線暗号の利用に関してはやや先行!? – 今後も ICAT の成果を IETF に展開する予定 その他の暗号・認証関連動向にも着目 – Mozilla 5.0 のソースコード公開 → ICAT 暗号の組み込み!?
© Copyright 2024 ExpyDoc
