プレゼンテーションのダウンロート

ICAT
http://www.icat.or.jp/
認証実用化実験協議会の
活動成果について
認証実用化実験協議会 事務局
[email protected]
Copyright(C)ICAT
1
ICAT活動経緯





1995 調査
– 調査報告書
1996 開発
– PemCAT, ICAPv1
1997 実証実験
– ICAPv2, PEPOP
1998 普及
– 各成果物公開
1999 実用
– ??????
Copyright(C)ICAT
2
事業目的と達成度
○ 暗号技術を応用した認証技術の確立(1996)
 大規模な認証局運用実験(1997)
○公的認証局機構の実現
○階層型認証局モデル
△ 暗号・認証技術の有効活用の促進(1998)
× 実サービスへの応用(1999~)
Copyright(C)ICAT
3
その他の活動(1995~1998)



技術情報提供
– 報告書、ICAT Newsletter
– 研究会
– www.icat.or.jp
開発技術提案
– IETF, Crypto97
成果物普及
– PemCAT, ICAPv1(~1997)
– 暗号ライブラリ,PEPOP, ICAPv2(1998~)
Copyright(C)ICAT
4
成果物利用状況
1996.6~1998.9




CA証明書発行件数
31件
ICAP ver.1ダウンロード件数
296件
PemCATダウンロード件数
1327件
Pilot CAユーザ用証明書発行件数
666件
1998年9月30日現在
Copyright(C)ICAT
5
成果物利用規程(要約)

商用でもフリーユース可
– 但し、成果物自体に料金を取ることは不可
登録申請書で申し込み
 著作権の保持
 無保証
 無許可の海外持ち出し禁止

Copyright(C)ICAT
6
成果物利用にあたって
Web経由の場合
 登録申請書記入
 利用規程承認
 ダウンロード
Copyright(C)ICAT
7
必要なもの
マシン 1台ないし2台
 httpサーバ(for ICAP)
 ICAP 2.3x
 PEPOP 1.3x
 暗号ライブラリ

– 楕円曲線暗号、RSA(FJPEM, SSLeay)

メールサーバ
– SMTP, POP
Copyright(C)ICAT
8
動作確認環境

ICAP, PEPOP, 暗号ライブラリ
– SunOS4.1.4
– Solaris2.5
– FreeBSD2.2.5
Copyright(C)ICAT
9
システム例
※ICAP と PEPOP は兼用可
※SMTP, POP のポート番号を
変えればメールサーバと兼用可
ICAP
ICAP間通信
POP
POP
クライアント
SMTP
PEPOP
SMTP
メールサーバ
Copyright(C)ICAT
10
インストール手順概略
httpd(or httpsd)インストール
 ICAPインストール
 PEPOPインストール
 クライアントメールソフトの設定変更
 OTPの起動
 メール送受信

Copyright(C)ICAT
11
ICAPインストール手順概略
(ソースパッケージの展開&make)
 バイナリ-パッケージの展開

– icap2.x(pub)-platform-portion.tar.gz

共通パッケージの展開
– icap-2.x(pub)-common.tar.gz
sh $ICAP/install の実行
 Webブラウザでの設定

Copyright(C)ICAT
12
sh $ICAP/install





各ツールの場所
– perl, sendmail, ed, tail, Mail, chmod, chown,
netscape
htdocsのdirectory
httpdのポート, 実行ID
ICAP の URL
管理者ID とパスワード

Copyright(C)ICAT
13
ICAP設定画面
Copyright(C)ICAT
14
ICAP設定項目






暗号アルゴリズム(楕円 or RSA)
X.509 v1 or V3
CA の秘密鍵生成
CA名設定(ex. C=JP, O=ICAT,OU=Secretariat)
CAの公開鍵の登録
その他
Copyright(C)ICAT
15
日々の作業
ユーザ管理
 expireのチェック(毎日)

– issue_crl [-s] {-n days | -d mdays -m
months}

CRL の発行(月1程度:推奨値)
– icap-check_expired
Copyright(C)ICAT
16
ちょっと高度な設定

管理モードアクセスコントロール
– $ICAP/etc/icap_access.conf

証明書の有効期間(アプリケーション毎)
– $ICAP/etc/ icap_app.profile

CA の階層化
– $ICAP/etc/ icap_resolv.conf
Copyright(C)ICAT
17
PEPOPとは?
受信時はPOP自動復号、自動署名検証
送信時は自動暗号化と、
OTPによる認証後、自動署名
クライアント
ICAP
POP
POP
SMTP
SMTP
PEPOP
メールサーバ
証明書
秘密鍵
Copyright(C)ICAT
18
PEPOPインストール手順概略
(暗号ライブラリの展開&make)
 (ソースパッケージの展開&make)

– pepop-1.3x.tar.gz

バイナリソースパッケージの展開
– pepop-1.3x-bin-platform.tar.gz

pepop.conf, userid.conf の設定
Copyright(C)ICAT
19
$PEPOP/conf/pepop.cnf








SMTPサーバ名、ポート番号
POPサーバ名、ポート番号
CA名、ポート番号
CAアクセス有無
署名チェック有無
CRLチェック有無
OTP設定(間隔)
管理者メールアドレス
Copyright(C)ICAT
20
$PEPOP/crtreq/userid.req
暗号アルゴリズム, 鍵長,ハッシュ関数
 DN(Distinguished Name)
 ICAP用 ID/パスワード
 ICAPアプリケーションID

– PEPOP, PEPOPrsa
Copyright(C)ICAT
21
OTPクライアント(windows版)
Copyright(C)ICAT
22
使用例送信
Copyright(C)ICAT
23
PEPOPレポート
S/MIME Message Type = Signed Data
0 Signer Information
[Message]
Signature = Valid
[Certificate]
Signature = Valid
Subject
CountryName
= JP
OrganizationName
= JIPDEC
CommonName
= KITANO
Hiroyuki
Validity
notBefore = 980723001843Z
notAfter = 980921001843Z
Copyright(C)ICAT
SubjectDirectoryAttributesWithRestrictedPeriod
Title
= Researcher
EmailAddress
= [email protected]
Validity
notBefore = 980723001843Z
notafter = 980822001843Z
[Authenticated Attributes]
contentType = data
messageDigest = 73 88 a9 eb 88 29 6a 10 85 be cf
e5 90 b6 e7 d8 f8 22 4f 7d
signingTime = 980723023057Z
AuthenticationLevel = OTPAuthenticationMethod
SMIMECapabilities
(0) capabilityID = sha-1withRSAEncryption
parameters = null
24
その他ICAPで...
Netscape でのユーザ証明書によるアクセ
スコントロール
 FJPEM/PemCAT用証明書発行
 Apache+SSLサーバ用証明書発行
 Netscapeサーバ用証明書発行
 and more...

Copyright(C)ICAT
25
今後のICAT



事務局(最小機能)を奈良先端大へ移設
www.icat.or.jp
– 技術情報提供
– 成果物公開
– デモンストレーション
他組織への提案・協力
– WIDE, JAMI, ISIT, JPNIC,….
Copyright(C)ICAT
26
最後に


会員の皆様3年半お付き合いありがとうございま
した。
各種問い合わせ、質問、要望、バグ情報、フィー
ドバックなどは今までどおり
[email protected]
までお願いします。

いつかまたお会いできる日を願って
Copyright(C)ICAT
27