ICAT http://www.icat.or.jp/ 認証実用化実験協議会の 活動成果について 認証実用化実験協議会 事務局 [email protected] Copyright(C)ICAT 1 ICAT活動経緯 1995 調査 – 調査報告書 1996 開発 – PemCAT, ICAPv1 1997 実証実験 – ICAPv2, PEPOP 1998 普及 – 各成果物公開 1999 実用 – ?????? Copyright(C)ICAT 2 事業目的と達成度 ○ 暗号技術を応用した認証技術の確立(1996) 大規模な認証局運用実験(1997) ○公的認証局機構の実現 ○階層型認証局モデル △ 暗号・認証技術の有効活用の促進(1998) × 実サービスへの応用(1999~) Copyright(C)ICAT 3 その他の活動(1995~1998) 技術情報提供 – 報告書、ICAT Newsletter – 研究会 – www.icat.or.jp 開発技術提案 – IETF, Crypto97 成果物普及 – PemCAT, ICAPv1(~1997) – 暗号ライブラリ,PEPOP, ICAPv2(1998~) Copyright(C)ICAT 4 成果物利用状況 1996.6~1998.9 CA証明書発行件数 31件 ICAP ver.1ダウンロード件数 296件 PemCATダウンロード件数 1327件 Pilot CAユーザ用証明書発行件数 666件 1998年9月30日現在 Copyright(C)ICAT 5 成果物利用規程(要約) 商用でもフリーユース可 – 但し、成果物自体に料金を取ることは不可 登録申請書で申し込み 著作権の保持 無保証 無許可の海外持ち出し禁止 Copyright(C)ICAT 6 成果物利用にあたって Web経由の場合 登録申請書記入 利用規程承認 ダウンロード Copyright(C)ICAT 7 必要なもの マシン 1台ないし2台 httpサーバ(for ICAP) ICAP 2.3x PEPOP 1.3x 暗号ライブラリ – 楕円曲線暗号、RSA(FJPEM, SSLeay) メールサーバ – SMTP, POP Copyright(C)ICAT 8 動作確認環境 ICAP, PEPOP, 暗号ライブラリ – SunOS4.1.4 – Solaris2.5 – FreeBSD2.2.5 Copyright(C)ICAT 9 システム例 ※ICAP と PEPOP は兼用可 ※SMTP, POP のポート番号を 変えればメールサーバと兼用可 ICAP ICAP間通信 POP POP クライアント SMTP PEPOP SMTP メールサーバ Copyright(C)ICAT 10 インストール手順概略 httpd(or httpsd)インストール ICAPインストール PEPOPインストール クライアントメールソフトの設定変更 OTPの起動 メール送受信 Copyright(C)ICAT 11 ICAPインストール手順概略 (ソースパッケージの展開&make) バイナリ-パッケージの展開 – icap2.x(pub)-platform-portion.tar.gz 共通パッケージの展開 – icap-2.x(pub)-common.tar.gz sh $ICAP/install の実行 Webブラウザでの設定 Copyright(C)ICAT 12 sh $ICAP/install 各ツールの場所 – perl, sendmail, ed, tail, Mail, chmod, chown, netscape htdocsのdirectory httpdのポート, 実行ID ICAP の URL 管理者ID とパスワード Copyright(C)ICAT 13 ICAP設定画面 Copyright(C)ICAT 14 ICAP設定項目 暗号アルゴリズム(楕円 or RSA) X.509 v1 or V3 CA の秘密鍵生成 CA名設定(ex. C=JP, O=ICAT,OU=Secretariat) CAの公開鍵の登録 その他 Copyright(C)ICAT 15 日々の作業 ユーザ管理 expireのチェック(毎日) – issue_crl [-s] {-n days | -d mdays -m months} CRL の発行(月1程度:推奨値) – icap-check_expired Copyright(C)ICAT 16 ちょっと高度な設定 管理モードアクセスコントロール – $ICAP/etc/icap_access.conf 証明書の有効期間(アプリケーション毎) – $ICAP/etc/ icap_app.profile CA の階層化 – $ICAP/etc/ icap_resolv.conf Copyright(C)ICAT 17 PEPOPとは? 受信時はPOP自動復号、自動署名検証 送信時は自動暗号化と、 OTPによる認証後、自動署名 クライアント ICAP POP POP SMTP SMTP PEPOP メールサーバ 証明書 秘密鍵 Copyright(C)ICAT 18 PEPOPインストール手順概略 (暗号ライブラリの展開&make) (ソースパッケージの展開&make) – pepop-1.3x.tar.gz バイナリソースパッケージの展開 – pepop-1.3x-bin-platform.tar.gz pepop.conf, userid.conf の設定 Copyright(C)ICAT 19 $PEPOP/conf/pepop.cnf SMTPサーバ名、ポート番号 POPサーバ名、ポート番号 CA名、ポート番号 CAアクセス有無 署名チェック有無 CRLチェック有無 OTP設定(間隔) 管理者メールアドレス Copyright(C)ICAT 20 $PEPOP/crtreq/userid.req 暗号アルゴリズム, 鍵長,ハッシュ関数 DN(Distinguished Name) ICAP用 ID/パスワード ICAPアプリケーションID – PEPOP, PEPOPrsa Copyright(C)ICAT 21 OTPクライアント(windows版) Copyright(C)ICAT 22 使用例送信 Copyright(C)ICAT 23 PEPOPレポート S/MIME Message Type = Signed Data 0 Signer Information [Message] Signature = Valid [Certificate] Signature = Valid Subject CountryName = JP OrganizationName = JIPDEC CommonName = KITANO Hiroyuki Validity notBefore = 980723001843Z notAfter = 980921001843Z Copyright(C)ICAT SubjectDirectoryAttributesWithRestrictedPeriod Title = Researcher EmailAddress = [email protected] Validity notBefore = 980723001843Z notafter = 980822001843Z [Authenticated Attributes] contentType = data messageDigest = 73 88 a9 eb 88 29 6a 10 85 be cf e5 90 b6 e7 d8 f8 22 4f 7d signingTime = 980723023057Z AuthenticationLevel = OTPAuthenticationMethod SMIMECapabilities (0) capabilityID = sha-1withRSAEncryption parameters = null 24 その他ICAPで... Netscape でのユーザ証明書によるアクセ スコントロール FJPEM/PemCAT用証明書発行 Apache+SSLサーバ用証明書発行 Netscapeサーバ用証明書発行 and more... Copyright(C)ICAT 25 今後のICAT 事務局(最小機能)を奈良先端大へ移設 www.icat.or.jp – 技術情報提供 – 成果物公開 – デモンストレーション 他組織への提案・協力 – WIDE, JAMI, ISIT, JPNIC,…. Copyright(C)ICAT 26 最後に 会員の皆様3年半お付き合いありがとうございま した。 各種問い合わせ、質問、要望、バグ情報、フィー ドバックなどは今までどおり [email protected] までお願いします。 いつかまたお会いできる日を願って Copyright(C)ICAT 27
© Copyright 2024 ExpyDoc
