IW2003 PKI 応用編富士ゼロックス株式会社稲田龍 Copyright 富士ゼロックス株式会社

Size: px

Start display at page:

Download "IW2003 PKI 応用編富士ゼロックス株式会社稲田龍 Copyright 富士ゼロックス株式会社"

あいぞうみょうだに
4 years ago
Views:

1 IW2003 PKI 応用編富士ゼロックス株式会社稲田龍

2 PKI アプリケーション

3 アプリケーションの動向 HTTPS S/MIME 電子署名アプリケーション無線 LAN での認証 (802.1X 認証 )

4 HTTPS SSL を使い通信路の暗号化と接続先 ( 元 ) の認証を行う Internet Explorer/Netscape Navigator などが標準でサポート多くの場合サイト側の認証と暗号化のみが行われているがクライアント側の認証も使われつつあるうまく使えば Single Sign On となるパスワードベースの認証に比べユーザの負担小 Windows Update/Windows Activate にも利用されている

5 SSL/TLS とは SSL/TLS とは SSL(Secure Socket Layer) は Netscape Communications 社により v3.0 まで開発されその後 TLS v1.0 としてインターネット標準となった SSL/TSL は PKI のインフラ上で通信相手を確認しセキュアな暗号通信を行なうための技術認証局 (CA) SSL/TLS 関連 RFC RFC2246 The TLS Protocol Version 1.0 ほんとに XYZ 株式会社のサイト? ほんとに会員のお客様? A さん盗聴成りすまし XYZ 株式会社

6 SSL 対応ブラウザ (Internet Explorer 6) 証明書を選択接続先の証明書の情報がダブルクリックで表示される SSL(HTTPS) クライアント認証が要求された場合 Internet Explorer 6 での SSL(HTTPS) SSL(HTTPS) なしで接続した場合 SSL(HTTPS) で接続した場合

7 SSL 対応ブラウザ (NetscapeNavigator 4.78) 証明書を選択接続先の証明書の情報がダブルクリックで表示される SSL(HTTPS) クライアント認証が要求された場合 SSL(HTTPS) なしで接続した場合 SSL(HTTPS) で接続した場合 NetscapeNavigator 4.78 での SSL(HTTPS)

8 SSL 対応ブラウザ (Netscape 7.1) 証明書を選択接続先の証明書の情報がダブルクリックで表示される SSL(HTTPS) クライアント認証が要求された場合 Netscape 4.71 での SSL(HTTPS) SSL(HTTPS) なしで接続した場合 SSL(HTTPS) で接続した場合

9 Windows Update

10 SSL/TLS プロトコル (1) プロトコルスタック OSI7 階層モデルアプリケーション (WEB ブラウザ,etc) プレゼンテーション層アプリケーション層 HTT P FTP SMT P POP etc.. データセッション層 SSL/TLS Handshake Protocol Alert Protocol Change Cipher Spec Protocol Application Data Protocol Record Protocol 暗号化セッション ( 暗号 ) 鍵暗号データ復号化トランスポート層 TCP TCP ヘッダ暗号データネットワーク層 IP IP ヘッダ TCP ヘッダ暗号データデータリンク層物理層 Ethernet PPP etc.. Ethernet ヘッダ IP ヘッダ TCP ヘッダ暗号データプロトコルスタックパケットフォーマット SSL/TLS はアプリーケーションとトランスポートの中間に位置するため利用するアプリケーションに依存せずにセキュアな通信が行なうことができる

11 SSL/TLS プロトコル (2) 鍵共有暗号通信を行なうためには 1. 通信相手が正しい通信相手正しい通信相手なのか認証する 2. 暗号通信を行なうための鍵を双方で共有鍵を双方で共有するクライアントサーバー WEB ブラウザ WEB サーバーデータデータ暗号化復号化暗号化復号化暗号データ暗号データ TCP ヘッダ暗号データ TCP ヘッダ暗号データ IP ヘッダ TCP ヘッダ暗号データ IP ヘッダ TCP ヘッダ暗号データ Ethernet ヘッダ IP ヘッダ TCP ヘッダ暗号データ Ethernet ヘッダ IP ヘッダ TCP ヘッダ暗号データ

12 SSL/TLS プロトコル (3) ハンドシェイク秘密鍵クライアント証明書サーバー証明書秘密鍵 C クライアントサーバー S 利用可能な暗号 / 圧縮アルゴリズムを通知 1 Client Hello Hello メッセージ S 2 Server Hello 3 Server Certificate Hello メッセージ S 使用するする暗号 / 圧縮アルゴリズムを通知サーバー証明書 ( チェーン ) を通知 Hello メッセージ 4 Server Key Exchange (OPTIONAL) 5 Certificate Request (OPTIONAL) * 信頼するルート証明書を通知 6 Server Hello Done 暗号化プリマスターシークレット Hello メッセージプリマスターシークレット署名 Hello メッセージクライアント証明書 ( チェーン ) を通知セッション鍵のプリマスタシークレットを暗号化して通知 Helloメーッセージに署名して送付する 7 Client Certificate (OPTIONAL) * 8 Client Key Exchange 9 Certificate Verify (OPTIONAL) * C プリマスターシークレット C 検証 Hello メッセージ Hello メッセージプリマスターシークレット復号プリマスターシークレットマスターシークレット 10 Change Cipher Spec (OPTIONAL) セッション鍵 11 Finished 12 Change Cipher Spec (OPTIONAL) 13 Finished セッション鍵マスターシークレット Handshale Protocol Change Cipher Spec Protocol Record Protocol 双方で同じ暗号鍵を安全に共有完了安全に共有する暗号通信 * クライアント認証の場合のみ

13 S/MIME MIME を使い電子メールの暗号化と電子署名メジャーではないがそろそろ使われ始めている Microsoft Outlook/Outlook Express Netscape Navigator Orangesoft Winbiff Becky! MEW( 電子署名のみ ) Gnu PG

14 S/MIME とは S/MIME とは PKI のインフラ上で暗号メール署名メールを可能にする技術 PKCS#7 を MIME メッセージ上で利用できるように応用認証局 (CA) S/MIME v3 関連 RFC RFC2630 Cryptographic Message Syntax RFC2631 Diffie-Hellman Key Agreement Method RFC2632 S/MIME Version 3 Certificate Handling RFC2633 S/MIME Version 3 Message Specification RFC2634 Enhanced Security Services for S/MIME 間違いなく B さんからのメールかしら署名メール A さんからのメールは盗聴されてないはず A さん暗号メール B さん成りすまし盗聴

15 S/MIME 対応メーラー (OutlookExpress 6) 暗号署名を選択する暗号メール暗号メールを示している暗号メール暗号メール ( 秘密鍵を持っていない場合 ) メールが改竄されていることを示している署名メール正しい署名メールを示している OutlookExpress 6 での S/MIME の利用署名メール署名メール ( 改竄されている場合 )

16 S/MIME 対応メーラー (Netscape Messenger 4.78) 暗号署名を選択する暗号メール暗号メールを示している暗号が復号できなかったことを示している本文は表示されない ( できない ) 暗号メール暗号メール ( 秘密鍵を持っていない場合 ) Netscape Messenger 4.78 での S/MIME の利用署名メール正しい署名メールを示している署名メールメールが改竄されていることを示している署名メール ( 改竄されている場合 )

17 S/MIME 対応メーラー (Netscape 7.1) 暗号署名を選択する暗号メール暗号メールを示している暗号が復号できなかったことを示している本文は表示されない ( できない ) 暗号メール暗号メール ( 秘密鍵を持っていない場合 ) 正しい署名メールを示しているメールが改竄されていることを示している署名メール Netscape 7.1 での S/MIME の利用署名メール署名メール ( 改竄されている場合 )

18 S/MIME のメールメッセージ本文や添付ファイルをメールの形式 (MIME) に MIME 化したメッセージを入力として署名データまたは暗号文を作成 PKCS#7 形式にエンコード RFC2315 PKCS #7 : Cryptographic Message Syntax Version 1.5 フォーマットは ASN.1 で表記されるエンコードのルールは BER または DER に従う BASE64 変換して規定の MIME ヘッダを付ける RFC2311 S/MIME Version 2 Message Specification RFC2633 S/MIME Version 3 Message Specification

19 S/MIME メッセージ内部構造 ( 暗号 ) 暗号メール From: from@company.com To: to1@company.com, to2@company.com, to3@company.com Subject: xxxxxx Data: Fri, 5 Oct :37:23 +09:00 Message-ID: xxxxxx MIME-Version: Content-Type: application/x-pkcs7-mime; smime-type=enveloped-data; name="smime.p7m" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="smime.p7m" MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGC SqGSIb3DQEHAQAAoIIEiTCCAiUwggGOoAMCAQICAQEwDQYJKoZI.. Content の復号した中身 Content-Type: text/plain; charset="iso-2022-jp" Content-Transfer-Encoding: 7bit CMS(RFC2630) EnvelopedData フォーマット CMSVersion OriginatorInfo (OPTIONAL) CertificateSet (OPTIONAL) CertificateChoice CertificateRevocationLists (OPTIONAL) CertificateRevocationLists CertificateChoice ReceipientInfos CMSVersion CMSVersion RecipientIdentifier RecipientIdentifier IssuerAndSerialNumber IssuerAndSerialNumber KeyEncryptionAlgorithmIdentifier KeyEncryptionAlgorithmIdentifier EncryptedKey EncryptedKey EncryptedContentInfo ContentType ContentEncryptionAlgorithmIdentifier EncryptedContent (OPTIONAL) UnprotectedAttributes (OPTIONAL) これは Opaque 署名メールです

20 S/MIME メッセージ内部構造 (Opaque 署名 ) Opaque 署名メール From: from@company.com To: to1@company.com, to2@company.com, to3@company.com Subject: xxxxxx Data: Fri, 5 Oct :37:23 +09:00 Message-ID: xxxxxx MIME-Version: Content-Type: application/x-pkcs7-mime; smime-type=signed-data; name="smime.p7m" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="smime.p7m" MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGC SqGSIb3DQEHAQAAoIIEiTCCAiUwggGOoAMCAQICAQEwDQYJKoZI.. 署名者の証明書 CMS(RFC2630) SignedData フォーマット CMSVersion DigestAlgorithmIdentifiers EncapsulatedContentInfo ContentType Content CertificateSet (OPTIONAL) CertificateChoice CertificateRevocationLists (OPTIONAL) CertificateRevocationLists CertificateChoice SignerInfos (OPTIONAL) CMSVersion CMSVersion SignerIdentifier SignerIdentifier IssuerAndSerialNumber IssuerAndSerialNumber メッセージダイジェスト Content の中身 Content-Type: text/plain; charset="iso-2022-jp" Content-Transfer-Encoding: 7bit これは Opaque 署名メールですメーラーのサポートする暗号 / 署名アルゴリズム DigestAlgorithmIdentifier DigestAlgorithmIdentifier SignedAttributes (OPTIONAL) SignedAttributes (OPTIONAL) ContentType ContentType ContentMessageDigest SigningTime SigningTime MessageDigest SMIMECapabilities SMIMECapabilities SignatureAlgorithmIdentifier SignatureAlgorithmIdentifier SignatureValue SignatureValue UnsignedAttributes (OPTIONAL) UnsignedAttributes (OPTIONAL) 署名 Note: 署名メールを送ることで自分の証明書および利用可能な暗号 / 署名アルゴリズムを相手に伝えることができる

21 S/MIME メッセージ内部構造 (Clear 署名 ) Clear 署名メール From: from@company.com To: to1@company.com, to2@company.com, to3@company.com Subject: xxxxxx Data: Fri, 5 Oct :37:23 +09:00 Message-ID: xxxxxx MIME-Version: Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary= here_is_boundary------" This is is a multi-part message in in MIME format here_is_boundary Content-Type: text/plain; charset="iso-2022-jp" Content-Transfer-Encoding: 7bit これは Opaque 署名メールです here_is_boundary Content-Type: application/x-pkcs7-signature; name="smime.p7s" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="smime.p7s" MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGC SqGSIb3DQEHAQAAoIIEiTCCAiUwggGOoAMCAQICAQEwDQYJKoZI here_is_boundary メッセージダイジェスト CMS(RFC2630) SignedData フォーマット CMSVersion DigestAlgorithmIdentifiers EncapsulatedContentInfo ContentType Content CertificateSet (OPTIONAL) CertificateChoice CertificateRevocationLists (OPTIONAL) CertificateRevocationLists CertificateChoice SignerInfos (OPTIONAL) CMSVersion CMSVersion SignerIdentifier SignerIdentifier IssuerAndSerialNumber IssuerAndSerialNumber DigestAlgorithmIdentifier DigestAlgorithmIdentifier SignedAttributes (OPTIONAL) SignedAttributes (OPTIONAL) ContentType ContentType ContentMessageDigest SigningTime SigningTime MessageDigest SMIMECapabilities SMIMECapabilities SignatureAlgorithmIdentifier SignatureAlgorithmIdentifier SignatureValue SignatureValue UnsignedAttributes (OPTIONAL) UnsignedAttributes (OPTIONAL) EncapsulatedConten tinfo の中身はから (= 長さゼロ ) 署名 Note: S/MIME に対応していないメーラーでも本文 ( パート ) が確認できる

22 電子署名アプリケーションファイル / データ等に対して電子署名文書などのデータに署名するコード署名といわれるプログラムへの署名電子署名法の施行 / 電子政府での採用専用アプリケーション電子申請など汎用アプリケーション Acrobat Microsoft Office XP DocuWorks

23 シリアル署名とパラレル署名署名をどの部分に行うかの違い用途により使い分けが必要 Acrobat/Office XP/DocuWorksともにシリアル署名を実装

24 シリアル署名署名を追加していくイメージ長所署名の順番がわかる開発部門議事録明日までに実装の経過報告をすること A さんの署名 ( 議事録に対して署名 ) B さんの署名 ( 議事録 +A さんの署名に対して署名 ) C さんの署名 ( 議事録 +A/B さんの署名に対して署名 ) 短所オリジナルの文書に対しての署名

25 パラレル署名署名対象に対してのみ署名を行う稟議書甲者との締結に関しての条件 A さんの署名 ( 稟議書に対して署名 ) 順番に関係なく署名検証可能 B さんの署名 ( 稟議書に対して署名 ) C さんの署名 ( 稟議書に対して署名 )

26 コード署名ダウンロードしたプログラムが正しいかどうかをどう確認するか? 悪意のあるプログラム / ウィルスの排除正当なデバイスドライバであるかどうかの確認

27 Windows のドライバの署名マイクロソフトは Windows のドライバに対して署名をすることにより互換性の保障を行っている

28 Active-X のコード署名 IE の機能拡張を行う Active-X モジュールに関してもコード署名を提供している

29 無線 LAN での応用 (802.1X) 無線 LAN が広く使われているが有線 LAN に比べ盗聴盗用が容易に行われている SSID/WEPが広く使われているがないよりましな程度 IPA( 情報処理振興事業協会 ) が注意を喚起しているダイアルアップ接続で認証に広く使われている RADIS 認証 /EAP を無線でも利用できる

30 Windows XP での 802.1X の設定無線 LAN ベンダがドライバとして提供している場合もあるが Windows XP ではネットワーク接続の機能として有線 / 無線の区別なくサポートをしている

31 IEEE802.1x 無線 / 有線 LANにおけるユーザ認証の規格認証フレームワークにはPPPの認証機能の部分を拡張したEAPを利用する EAPを利用することで ID/ パスワードによる認証だけでなくワンタイムパスワードやセキュリティトークンカード電子証明書などによる認証が可能 802.1X (EAP over Wireless) EAP over RADIUS Supplicant ( 端末 ) Authenticator (Access Point) Authentication Server (RADIUS)

32 EAP EAP-TLS TLSのハンドシェイクプロトコルを利用する認証方式クライアント / サーバ双方の証明書を利用した相互認証暗号アルゴリズムの選択暗号鍵を安全に共有するための階層的な鍵生成 EAP-TTLS TLSのハンドシェイクプロトコルを利用する認証方式クライアント証明書はオプション ( サーバ認証のみ ) TLSトンネル内で様々なクライアント認証方式が利用可能 ( 例えばID/ パスワードの認証 ) PEAP TLSのハンドシェイクプロトコルを利用する認証方式クライアント証明書はオプション ( サーバ認証のみ ) TLSトンネル内で別のEAPを利用して認証を行う

33 EAP-TLS の認証シーケンス Supplicant Access Point RADIUS EAPoL 開始 EAPリクエスト (ID 要求 ) EAPレスポンス (ID 通知 ) RADIUSアクセスリクエスト (ID 通知 ) EAP リクエスト (TLS 開始 ) RADIUS アクセスチャレンジ (TLS 開始 ) EAP レスポンス (Client_hello) RADIUS アクセスリクエスト ( レスポンススルー ) EAP リクエスト ( リクエストスルー ) RADIUS アクセスチャレンジ ( サーバ証明書 ) EAP レスポンス ( クライアント証明書 ) RADIUS アクセスリクエスト ( レスポンススルー ) EAP リクエスト ( リクエストスルー ) RADIUS アクセスチャレンジ ( 暗号スペック ) 実際の通信 EAP サクセス EAPoL キー TLS によるユーザ認証

34 EAP-TTLS の認証シーケンス Supplicant Access Point RADIUS Authentication Server EAPoL 開始 EAPリクエスト (ID 要求 ) EAPレスポンス (ID 通知 ) RADIUSアクセスリクエスト (ID 通知 ) EAP リクエスト (TLS 開始 ) RADIUS アクセスチャレンジ (TLS 開始 ) EAP レスポンス (Client_hello) RADIUS アクセスリクエスト ( レスポンススルー ) EAP リクエスト ( リクエストスルー ) RADIUS アクセスチャレンジ ( サーバ証明書 ) EAP レスポンス ( クライアント証明書 (Option)) RADIUS アクセスリクエスト ( レスポンススルー ) EAP リクエスト ( リクエストスルー ) RADIUS アクセスチャレンジ ( 暗号スペック ) TLS ネゴシエーション EAP レスポンス ( 別のユーザ認証開始 ) RADIUS アクセスリクエスト ( レスポンススルー ) RADIUS アクセスリクエスト ( レスポンススルー ) EAP リクエスト ( リクエストスルー ) RADIUS アクセスチャレンジ RADIUS アクセスアクセプト EAP レスポンス RADIUS アクセスリクエスト ( レスポンススルー ) RADIUS アクセスアクセプト EAP サクセス実際の通信 EAPoL キー TLS トンネル内でユーザ認証

35 PEAP の認証シーケンス Supplicant Access Point RADIUS Authentication Server EAPoL 開始 EAP リクエスト (ID 要求 ) EAP レスポンス (ID 通知 ) RADIUS アクセスリクエスト (ID 通知 ) EAP リクエスト (TLS 開始 ) RADIUS アクセスチャレンジ (TLS 開始 ) EAP レスポンス (Client_hello) RADIUS アクセスリクエスト ( レスポンススルー ) EAP リクエスト ( リクエストスルー ) RADIUS アクセスチャレンジ ( サーバ証明書 ) EAP レスポンス ( クライアント証明書 (Option)) RADIUS アクセスリクエスト ( レスポンススルー ) EAP リクエスト ( リクエストスルー ) RADIUS アクセスチャレンジ ( 暗号スペック ) TLS ネゴシエーション EAP レスポンス ( 別のユーザ認証開始 ) RADIUS アクセスリクエスト ( レスポンススルー ) RADIUS アクセスリクエスト ( レスポンススルー ) EAP リクエスト ( リクエストスルー ) RADIUS アクセスチャレンジ RADIUS アクセスアクセプト EAP レスポンス RADIUS アクセスリクエスト ( レスポンススルー ) EAP サクセス RADIUS アクセスアクセプト EAPoL キー実際の通信 TLS トンネル内でユーザ認証

36 PKI 実装

37 PKI 実装面 Windows 系 Crypto API(Microsoft) OpenSSL JAVA 系 JDK/JCE UNIX 系 OpenSSL

38 Windows Crypto API CSP(Crypto Service Provider) モデル IE 4.0 以降から提供暗号エンジンをモジュール化複数の暗号エンジンを保持 Third Party 提供のCPSを利用可能証明書の検証に関しても良く考えられている暗号エンジンを作る場合 Microsoftにコード署名をしてもらう必要あり Outlook Express CAPI 標準 Internet Explorer CryptoAPI Crypto Service Provider A IIS Crypto Service Provider B

39 JAVA/JCE JAVA の機能拡張モジュールとして Provider モデルで実装されていた 1.4 より標準機能として実装されている暗号機能 /Hash 機能 /X509 証明書操作機能を実装 Provider Provider Provider Provider Security KeyAgreement Cipher KeyStore SecretKeyFactory SecureRandom Signature KeyGenerator KeyFactory Mac MessageDigest ExemptionMechanism CertificateFactory KeyPairGenerator

40 JDK/JCE java.security.cert 以下に実装されているクライアントとして使う面では十二分な実装 JDK 本体で証明書の基本的なハンドリングが可能 JCE(Java Cryptographic Extensions) で暗号周りの機能を提供 Windows 同様 Third PartyのJCEに差し替えることが可能 Sunより証明書を発行してもらいその証明書でコード署名を行う必要あり JSSE(Java Secure Socket Extensions) で SSL/TLS を提供 RFC3280の証明書検証アルゴリズム相当のメカニズムを実装 CertPathBulder/CertPathValidator/CertStoreの3つに仮想化 CertPathBulder CertPathValidator CertStore

41 OpenSSL 多くの UNIX 系プラットフォームのデファクト実装 Linux/*BSD* に採用 Windows プラットフォームでも動作 Apache の SSL/TLS のエンジンとして広く使われている Apache 1.X+mod_ssl+OpenSSL Apache 1.X+Apache_SSL+OpenSSL Apache 2.X( 標準で SSL/TLS をサポート )

42 今後の方向性

43 今後長期署名の話証明書の実効性をあげる楕円関数マルチドメイン証明書検証 DPD/DPV

44 長期署名

45 長期署名 PKI の電子署名の検証ではトップ CA から EE までの有効期間の AND の期間のみ検証可能実社会の契約では契約時から 3 ヶ月以内に発行された印鑑証明があれば有効定期的に署名のしなおしをするなどの対処が必要欧州で活発に議論が行われている 58 th IETF で新たに LTANS-WG が活動を開始

46 証明書の実効性 / 有効性

47 証明書の実効性 / 有効性昨年の 4 月にいわゆる電子署名法が施行特定認証局が発行した電子証明書に実印と同様の権限を与えた商業登記法の改正商業登記局が会社代表者に対して証明書を発行会社代表者に対しての印鑑証明に相当する欧米ではバイオメトリックス情報を証明書に入れる動きもある身分証明書の代わりに使える証明書署名のイメージを入れる動きもある

48 楕円関数

49 楕円関数楕円曲線の一部を利用して公開鍵として使う証明書の電子署名のアルゴリズムとして RSA/DSA のかわりに楕円関数を使う動きもある検証が RSA に比べ計算量が少なく PDA/ 携帯電話など CPU パワーに限りがある場合に有利とはいえこのごろの PDA/ 携帯電話の CPU パワーは馬鹿にできない RSA の 1024bit 相当の強度を 300bit 程度で実現証明書を小さくできる OpenSSL に Sun が実装を提供

50 マルチドメイン /BCA

51 マルチドメイン複数のPKIドメインが互いに連携して存在 PKIの認証パス形成が複雑になる CA1 CA1 CA1 CA1 の認証木 CA1 の認証木 CA1 CA1 CA1 CA1 の認証木 CA1 の認証木 CA1 の認証木 CA1 の認証木

52 証明書検証

53 証明書の検証木構造の検証でさえ証明書の検証プロセス署名の連鎖の電子署名のチェック有効期限のチェック CRLのチェックポリシーのチェック CA1 CA1 の認証木複雑で煩雑な処理が必要

54 証明書の検証マルチドメイン環境ではパスが長くなるため検証に時間がかかる木構造での検証に加えポリシーマップ相互認証証明書の検証複数のパスの可能性 CA1 CA1 CA1 CA1 CA1 CA1の認証木 CA1の認証木 CA1の認証木 CA1の認証木 CA1の認証木果たしてすべての EE が検証できるか?

55 証明書の検証証明書検証を委任 EE では荷が重いサーバに証明書検証を依頼サーバには十分な資源とネットワークコネクティビティを提供 RFC 3379 Delegated Path Validation and Delegated Path Discovery Protocol Requirements DPD(Delegated Path Discovery) パス構築を依頼 DPV(Delegated Path Verification) パス検証を依頼

56 証明書の検証 CVS(Certificate Validation Protocol) SCVP DPD/DPV using OCSP with extensions DVCS(Data Validation and Certification Server Protocols) RFC 3029 GPKI 証明書検証サーバ OCSP v1 の独自拡張

Microsoft PowerPoint - T9-inada-IW2002.ppt

Microsoft PowerPoint - T9-inada-IW2002.ppt IW2002 PKI 応用編富士ゼロックス株式会社稲田龍 PKI アプリケーション 1 アプリケーションの動向 HTTPS S/MIME 電子署名アプリケーション HTTPS SSL を使い通信路の暗号化と接続先 ( 元 ) の認証を行う Internet Explorer/Netscape Navigator などが標準でサポート多くの場合

IW2003 PKI 応用編 富士ゼロックス株式会社稲田龍 Copyright 富士ゼロックス株式会社

IW2003 PKI 応用編富士ゼロックス株式会社稲田龍 Copyright 富士ゼロックス株式会社