認証技術の国際動向 -第42回IETF活動報告- 櫻井三子(NEC) [email protected] 98/11/19 ICAT活動成果発表会 一般動向編 セキュリティエリアのPKIX WG を中心に 98/11/19 ICAT活動成果発表会 IETFとは Internet Engineering Task Force よりよいインタネットアーキテクチャ、ス ムーズなオペレーションを目指すコミュニ ティ ボランティアベースの活動 インタネット標準(RFC)化活動が中心 技術分野ごとのエリア、エリア内のワーキ ンググループ単位で活動 98/11/19 普段の活動の場はML ICAT活動成果発表会 年3回オフラインミーティングを開催 IETFにおける標準化活動の 典型的なステップ individual InternetDraft (draft-個人名-..) Proposed Standard RFC ↓ WG Internet-Draft (draft-ietf-WG名) ↓ WG Last Call ↓ IESG Last Call ↓ 98/11/19 ↓ Draft Standard RFC ↓ Standard RFC ICAT活動成果発表会 IETF内のエリア Application Area General Area Internet Area Operations and Management Area Routing Area Security Area Transport Area User Service Area 98/11/19 ICAT活動成果発表会 42nd IETFミーティング 米国シカゴにて開催 期間:8/24(月) ~ 8/28(金) 参加者は2,000人程度 日本からは100人程度? ワーキンググループ毎のセッション 1時間~2時間半/セッション Internet-Drafts を叩き台にした議論が中心 セキュリティエリアは、8WG+2BOF 98/11/19 ICAT活動成果発表会 42nd IETFにおける セキュリティエリアのセッション cat (Common Authentication Technology) aft (Authenticated Firewall Traversal) stp (Secure Transport Proxy) BOF pkix (Public-Key Infrastructure (X.509)) ipsec (IP Security Protocol ) tls (Transport Layer Security) openpgp (An Open Specification for Pretty Good Privacy) smime (S/MIME Mail Security) secsh (Secure Shell) trustmgt (Trust Management) BOF 42nd IETFにおける セキュリティエリアのセッション trustmgt セキュリティ応用系 openpgp aft, stp smime tls ipsec cat (spki) pkix セキュリティインフラ系 98/11/19 ICAT活動成果発表会 secsh セキュリティエリア全体の動向 CA前提のPKIとその応用は収束段階へ PKIXはやっとRFC目前に IPsecはRFCとしてまとまり、IPsecondへ 特許、ライセンス問題は少し前進 保有企業が特別な利用目的に限りフリーで使用許 可する傾向が出てきた Authentication から Authorizationへ GEN エリアで AAA(Authentication, Authorization, Accounting) BOF が開催された 98/11/19 ICAT活動成果発表会 PKIX WG Public Key Infrastructure (X.509) WG X.509の定義に基づいた公開鍵暗号のイン フラをインタネットで利用していくための規格 化を行う WG 最低限必要なプロトコルを早く標準化するべ く活動が活発化 今回は2時間のセッションが2回あった 98/11/19 ICAT活動成果発表会 PKIX WG Agenda 既存トピック PKIX Cert and CRL Profile LDAP v2 Schema and Profile OCSP (Online Certificate Status Protocol) CMP and CRMF CMMF and CMC IBM PKIX Software 98/11/19 ICAT活動成果発表会 PKIX WG Agenda(2) 新しいトピック Time Stamp Protocol, Notary Protocol Webベースの統合的CAサービスプロトコル提案(櫻井) CRLのサイズを抑えるための拡張フィールドの追加提案 PKIX全体の概観と実装のアドバイスを含めたロードマッ プドキュメントの提案 国際間でも合法的にディジタル署名を扱えるような枠組 みの提案(Qualified Certificates) 98/11/19 ICAT活動成果発表会 おもな話題 主要なI-Dsの状況確認 証明書とCRLのプロファイルが漸くRFC目前に なった →Proposed Standard RFCへ LDAPv2 スキーマ、CMPは IESG預かり OCSP, CMMF, CMC, OPP(LDAPv2)はWG Last Call 98/11/19 ICAT活動成果発表会 おもな話題(2) LDAP V2 の中で CA の証明書を格納すると きの属性の使い方について議論 cACertificate と crossCertificatePair forward 自己署名証明書 他のCAに発行された CA証明書(自己署名を除く) reverse 他のCAに発行した 証明書 IBMが PKIX のフリーウェアを出すとのアナ ウンスがあった http://www.imc.org/imc-pfl 98/11/19 ICAT活動成果発表会 PKIXの現状 鍵作成、証明書 発行、更新、廃 棄のためのやり とり エンドエンティティ (a) 証明書、CRL入手 のためのやりとり /管理情報のやりとり OPP (c) (LDAPv2) CA 相互認証の ためのやりとり CMP RA (b) 証明書 登録 CA (b) OPP (LDAPv2) 証明書, CRL 登録 証明書 / CRL リポジトリ 98/11/19 ICAT活動成果発表会 証明書は X.509v3 CRLは X.509v2 CMP (Certificate Management Protocol) 証明書の発行、廃棄、鍵作成、鍵回復などを行うためのプロトコル PKI PKI ヘッダ メ ッ セ ー ジ PKI ボディ 要求や応答の種類 を指定する 要求や応答に応じた フォーマットを利用する CMMF S/MIMEとの 擦りあわせ案 CMC 98/11/19 CRMF ICAT活動成果発表会 Internet-Draft発表報告編 Web-based Integrated CA services Protocol, ICAP (draft-sakurai-pkix-icap-00.txt) 98/11/19 ICAT活動成果発表会 I-D作成の背景 ICAT 広域認証技術タスクフォースの活動成 果をまとめる CA パッケージ ICAPと暗号メールパッケージ PEPOPとの連携プロトコルをI-Dにまとめる IETF PKIX WG の活動内容との関連性が 大きい PKIX WG に向けて情報発信 実は提案は2度目、今回は改良 98/11/19 ICAT活動成果発表会 ICAP とは 典型的なCA関連サービスを、Webベースで 統合的に提供するプロトコル 証明書発行 証明書入手、CA証明書入手、CRL入手 証明書の有効性確認 etc. 独自 のCAモデルに基づいて定義 CA間連携プロトコルを含めて定義 98/11/19 ICAT活動成果発表会 ICAPにおける CAの構成要素 CA を4つの機能からなると定義 Registration Authority (RA) 証明書を発行してよいかどうか判断する機能 パスワード認証のためのデータベースを管理 Issuing Authority (IA) 証明書やCRLに署名を行う機能 CAの鍵を管理 アプリケーション別証明書プロファイルを管理 98/11/19 ICAT活動成果発表会 ICAPにおける CAの構成要素(続き) Publishing Authority (PA) 証明書やCRLを配布する機能 証明書や CRLを管理 他のPAと連携 Validation Authority (VA) 個々の証明書の有効性を判定する機能 応答時に署名するための鍵を管理 他のVAと連携 98/11/19 ICAT活動成果発表会 ICAPにおける CAモデル 他組織のCA CA E n d E n t i t y RA IA firewall VA PA RA ICAT活動成果発表会 内 外 firewall PA End Entity outside of firewall 98/11/19 IA VA ICAPが提供するCA関連サービス certreq revokereq updatereq verifyreq RA VA IA PA VA 98/11/19 lookupreq calookupreq crlreq PA ICAT活動成果発表会 ICAP要求/応答フォーマット シンプルかつアプリケーションフレンドリ 要求 HTTPのPOSTメソッドを利用 CGIを想定し、パラメータをCGI変数として渡す 応答 text/plain フォーマットを利用 3桁の数字を使ったステータス情報を返す ステータス情報の後に応答データが続く 98/11/19 ICAT活動成果発表会 Example % telnet cahost1 80 Trying 123.16.5.41 … Connected to cahost1. Escape character is ‘^]’. POST /cgi-bin/lookupreq HTTP/1.0 Content-length: 41 要求 [email protected]&Latest=1 HTTP/1.1 200 OK Date: Sat, 25 Oct 1997 09:34:17 GMT Content-Type: text/plain lookupreq 200 accept your request MIIDmTCCA….. 98/11/19 ICAT活動成果発表会 応答 “lookupreq” における PA-PA プロトコル 仮想的な階層を利用 各管理ドメインを定義 Referral model RootPAがURLを返す Chaining model RootPAが応答を返す RootPA RootPA 1 2 3 PA1 4 ターゲット PA2 PA1 4 98/11/19 2 1 ICAT活動成果発表会 3 ターゲット PA2 “crlreq” における PA-PA プロトコル 要求メッセージに含まれる証明書からター ゲットPAのURLを取り出しアクセスする cRLDistributionPoints という証明書拡張 フィールドを利用 1 PA1 ターゲット PA2 2 “calookupreq” におけるPA-PA プロトコル, “verifyreq” におけるVA-VA プロトコルも同様 98/11/19 ICAT活動成果発表会 PKIX WG で検討中の 関連プロトコル ICAP certreq lookupreq calookupreq crlreq verifyreq revokereq updatereq 98/11/19 CMP Certificate Management Protocol OPP(HTTP) Operational Protocols WebCAP WEB based CA Access Protocol OPP(LDAP) OCSP ICAT活動成果発表会 Online Certificate Status Protocol ICAP vs WebCAP ICAP WebCAP 要求時の HTTP メ POST ソッド 独自メソッドを含 む複数から選択 要求/応答フォーマ text/plain 1 回の送信に要 ット 求は 1 つ PA の ホ ス ト 名 と 独立 PA が 扱 う 証 明 書 PA の 管 理 範 囲 の名前空間との関 を複数のドメイ 係 ンで構成可能 text/xml 1 回の送信に要求 は複数可 制限あり us.oracle.com な ら C=US, O=ORACLE のみ 98/11/19 ICAT活動成果発表会 標準化に向けての目標は? 現在の PKIX WG 関連ドラフトは既に 18 と かなり細分化が進んでいる 本ドラフトは、PKIX WG の複数のドラフトに 関連しているため、このまま標準化へ持って いくのは難しそう →まずは、PKIX WGドラフトとしてみとめられる ことを目標に発表! →しかし、今のところ反応は少ない 98/11/19 ICAT活動成果発表会 今までに寄せられた反応 テキストフォーマットの利用に関するコメント なぜ全てを ASN.1 で定義しないのか? → PKIX WG は ASN.1 賛成派!? cf. アンチX.509 の SPKI WG = アンチASN.1 text/plain ではなく、新しいMIMEタイプの定義を してはどうか ? 実装に関するコメント 入手できるかどうか? 98/11/19 ICAT活動成果発表会 まとめ IETFへの提案は、戦略とタイミングが重要 PKIX の基本プロトコルが固まりつつある状況下で のICAPの提案は... ICATからのI-D発信によって、成果を次につ なげる可能性は広がった 今後改良点を反映させて改訂する予定 仕様の大部分を実装したパッケージをソース コードを含めて国内に配布 98/11/19 ICAT活動成果発表会
© Copyright 2024 ExpyDoc
![証明書発行機で誤購入した場合の払戻しについて [PDF 111KB]](http://s3.expydoc.com/store/data/008824669_1-a78b064e6405310f6af5fe2e9b24acef-250x500.png)
