PKI の基本コンポーネント リポジトリ (LDAP サーバ ) CRL/ARL 証明書などの取得 End Entity EndEntity のハードウェアトークン 各種の証明書 証明書などの登録 RA Registration Authority 証明書発行要求 証明書更新要求 証明書失効要求など

Transcription

1 PKI 基礎編 セコムトラストネット株式会社松本泰 1 PKI 基礎編 公開鍵暗号 PKIの信頼モデル X.509 公開鍵証明書 LADPによるリポジトリ ハードウェアトークン 証明書失効検証 ( CRL, OCSP) PKIアプリケーションの基本的な要件 証明書発行 2 1

2 PKI の基本コンポーネント リポジトリ (LDAP サーバ ) CRL/ARL 証明書などの取得 End Entity EndEntity のハードウェアトークン 各種の証明書 証明書などの登録 RA Registration Authority 証明書発行要求 証明書更新要求 証明書失効要求など ARL CRL CRL/ARL 証明書などの登録 Certificate Authority HSM の鍵を管理するハードウェア セキュリティ モジュール 3 共通鍵暗号と公開鍵暗号 共通鍵暗号共通鍵共通鍵 Internet Week 暗号 &%8*HYh h+@a 復号 Internet Week 公開鍵 公開鍵暗号 私有鍵 Internet Week 暗号 9i&t%Bd1KlKjI UHGbI( 復号 Internet Week 4 2

3 署名の仕組み ALICE の文書 ALICE の文書 ハッシュ関数 SHA-1 ALICE の署名 ネットワーク ALICE の署名 ハッシュ関数 SHA-1 ハッシュ値のエンコード アリスの私有鍵 アリスの公開鍵 署名値のデコード ALICE の文書のハッシュ値 ALICE の文書のハッシュ値 ALICE の文書のハッシュ値 SHA-1 の場合 160 bit 比較 5 TTP よる認証 ( アリスの公開鍵を信じるのか ) TTP(Trusted Third Party) とは 信頼できる第三者機関 TTP によって署名されたデータは信用できるものとする 代表的な例は (Certificate Authority) は印鑑証明を発行してくれる役所のイメージ アリスの公開鍵証明書 認証局 アリスの署名文書 6 3

4 PKI の基本的な信頼モデル の Subscriber 署名者 Signer 自己署名証明書 (Root 証明書 ) Alice の公開鍵証明書 ALICE の署名文書 ボブ ( とアリス ) の信頼のアンカー (Trust Anccker) 信頼ポイント (Trust Point) Relying Party 署名検証者 Verifier Bob の公開鍵証明書 アリスの私有鍵暗号クレデンシャル アリス ALICE の署名文書 Alice の公開鍵証明書 ボブ の自己署名証明書 (Root 証明書 ) ボブの信頼ポイント 7 階層型 モデル 2 ボブ ( とアリス ) の信頼ポイント -A への 証明書 の自己署名証明書 (Root 証明書 ) 1 証明書パス中の中間中間 -A -B ヘの 証明書 -B 3 アリスの公開鍵証明書 下位 Subordinate ボブの公開鍵証明書 アリスの私有鍵 ALICE の署名文書 8 4

5 相互認証モデル (Cross certificate) -A の自己署名証明書アリスの信頼ポイント -A -B が -A に対して発行する相互認証証明書 ( 証明書 ) 2 -B の 1 自己署名証明書 -B ボブの信頼ポイント アリスの公開鍵証明書 3 -A が -B に対して発行する相互認証証明書 ボブの公開鍵証明書 アリスの私有鍵 ALICE の署名文書 9 認証パスとは何か? ボブ (RP) はアリス (SC) からのメッセージを受け取った ボブは アリスからのメッセージの署名を検証したい 自分 ( ボブ ) の 信頼のポイント ( ボブの Root) からの認証パスを検証する 検証は署名のチェーンの検証だけでなく 各証明書の失効チェック そして X.509 証明書拡張に関する検証が行われる Root の証明書中間 の証明書自己署名証明書 ( 相互認証証明書 ( ボブの信頼ポイント ) or 下位 証明書 ) 発行者 : -B 主体者 : -B 発行者 : -B Key:xxxx 主体者 : -A -B の署名 Key:yyyy の署名認証パス 証明書パス (Certificate ( Path) 認証パス (Certification ( Path) EE の証明書 ( アリスの証明書 ) 発行者 : -A 主体者 : ALICE Key:zzzz -A の署名 10 5

6 X.509 証明書 証明書バージョン番号 (V3) 証明書シリアル番号デジタル署名アルゴリズム識別子発行者名の識別名有効期間主体者 ( ユーザ ) の識別名主体者の公開鍵アルゴリズム識別子公開鍵値 V3 の拡張拡張フィールド ( タイプ フラグ 値 ) 拡張フィールド ( タイプ フラグ 値 ). のデジタル署名アルゴリズム識別子署名 代表的な公開鍵証明書 主体者 ( アリス ) と 主体者 ( アリス ) の公開鍵や その他の属性を 鍵 ( アリスの証明書を発行した の署名鍵 ) の署名でバインドする この時 主体者 ( アリス ) の公開鍵に対応した私有鍵は 主体者 ( アリス ) しか使用できないことが理想 1997 年版 X.509 3rd Edition X.509v3 証明書フォーマット X.509V3 拡張 14の標準拡張フィールド * GPKI などでは X.509v3 証明書フォーマットが使用されており かつ拡張が 重要な意味を持つ 11 X.509 証明書拡張 (v3 拡張 ) No 標準拡張 (X.509v3) 説明 1 発行者鍵識別子 発行者の鍵の識別に使用され 鍵の更新に必要 2 主体者鍵識別子 主体者の鍵の識別に使用され 鍵の更新に必要 3 鍵使用方法 私有鍵の使用方法 例えば署名用鍵で 暗号化を禁止する 4 私有鍵有効期間 証明書の有効期間に対して 私有鍵の有効期間 5 証明書ポリシ 証明書ポリシ ID などが格納される ポリシによる制御などに使用 6 ポリシマッピング 信頼ドメイン間のポリシのマッピングを行う 7 主体者別名 主体者の別名が格納される 例えば VPN 装置の場合の IPaddress 8 発行者別名 発行者の別名が格納される 9 主体者ディレクトリ属性 証明書の主体者のためのディレクトリ属性 10 基本制約 証明書の種類 (oree) だった場合パス数の制限 11 名前制約 証明書で 相手の が発行する名前による制約 12 ポリシ制約 証明書で 相手の が発行するポリシ関係制約 13 拡張鍵使用方法 " 鍵使用方法 " 以外の鍵使用方法の OID が格納される 14 CRL 配布点 失効情報リストの配布点の DN や URL が格納される 12 6

7 X.509 の証明書フォーマット X.509 Edition 1st Edtion nd Edtion rd Edtion th Edtion 2000 証明書フォーマット V 1 V 2 V 3 V 3 CRL フォーマット V 1 V 1 V 2 V 2 備考古い root の証明書に V1 フォ - マットのものがあるほとんど使用されていない?? 14 個の (v3) 標準拡張フィールド標準拡張フィールドがひとつ追加された 13 X.509v3 証明書の基本拡張基本制約拡張 2 Basic Constrain ( 基本制約拡張 ) Critical クリチカルにマーク True への証明書 PathLength = 0 へのパス数 -A の自己署名証明書 1 (Root 証明書 ) ボブの信頼ポイント -C 上位の より 下位の への証 3 明書の発行を禁止されている 署名検証者としては 自分の信頼ポイントからの 証明書のパス検証を行い 結果として アリスの署名を拒否しなければならない ALICE の署名文書 -B NG アリスの証明書を発行した認証局は違反だね!! ** GPKI では 証明書でクリチカルな基本制約拡張を必須としている 14 7

8 CRL 鍵使用目的拡張 (Key Usage) 相互認証証明書 署名鍵ボブの KeyUsage(Critical) 信頼 crlsign ポイント keycertsign -A -B EE 証明書 KeyUsage(Critical) nonrepudiation digitalsignature アリスの私有鍵 EE 証明書 証明書アリスの署名文書 GPKI において Keyusage はクリチカルにマークされている また EE 証明書の nonrepudiation は非常に大きな意味がある アリス ボブ ** 例えば GPKI では 証明書 EE 証明書で クリチカルな鍵使用目的拡張を必須 15 としている 8

9 鍵使用目的拡張 (Key Usage) 鍵使用目的拡張 証明書に対応した私有鍵が使用目的をビット列で指定 デジタル署名 否認防止 鍵暗号化 データ暗号化 鍵交換 証明書署名 CRL 署名 暗号化 / 複合化の指定 EE の私有鍵による署名と key Usage の関係 否認防止 - Non Repudiation(NR ビット ) 文書へのデジタル署名 デジタル署名 -Digital Signature(DS ビット ) Nonce( 乱数 ) へのデジタル署名 認証 (Authentication) ( 用途 1 認証と署名 WWW サーバ アクセスログ 署名された発注データ TLS 署名された発注データ アリス ハードウェアトークン 否認防止の署名 クライアント認証のための署名 アリスの署名が付いた発注データが保存されることが重要 PIN 入力 証明書 否認防止用証明書 鍵ペア 鍵ペア 認証用証明書 銀行を中心とした PKI である Identrus や フィンランドの市民カードでのある FINEID では この例のように 2 つの証明書を発行している 2 1

10 FinEID の 2 つの保有者証明書と私有鍵 No 証明書の使用目的 私有鍵を使用するための認証方法 X.509 証明書拡張鍵使用目的 1 2 認証や暗号化で使用する 利便性が優先させる目的に使用される SingleSingOn などにも使用される 法的な意味を持つ否認防止の署名のために使用される この私有鍵を使用するには トークンの中のグローバル PIN による認証を行う グローバル PIN は他のアプリケーションと共有される この私有鍵を使用するには この私有鍵だけのためのローカル PIN による認証を行う この認証は 私有鍵での署名操作でリセットされる ( 毎回 PIN が要求される ) *1 digitalsignature keyencipherment dataencipherment nonrepudiation *1 こういった機能の実装のため PKCS#15 には 3 鍵使用目的拡張と証明書発行の関係 ( セコムトラストネットの証明書発行サービスの例 ) Identrus Identity 証明書 受託 B2B 対応 GPKI 対応 SECOM パスポート For GID *1 法的な否認防止や 高額な商取引を行うレベルの証明書 専用のアプリケーションが必要な場合が多い nonrepudiation Identrus utility 証明書 受託 企業内など SECOM パスポート For member 簡易な署名認証人の認証デバイス認証 S/MIME digitalsignature クライアント認証 VPN 認証無線 LAN 認証 data- Encipherment Identrus アウトソース 受託 &SI アウトソースインソース セコムブランド証明書発行サービス 証明書のレベル アプリケーション Keyusage *1 SECOM パスポート for GID は 電子署名法特定業務認定取得済み GPKI 相互認証を申請中 4 2

11 RFC3280( 証明書プロファイルとは何か?) RFC3280( RFC2459 ) Internet X.509 Public Key Infrastructure Certificate and CRL Profile プロファイルとはなにか?? 汎用的な X.509 証明書に対して 使用方法を限定することで アプリケーションの実装を容易にする # それでも RFC3280 は 汎用的な証明書プロファイル 証明書プロファイルとして記述されること 各証明書における 各証明書拡張の存在や使用方法 存在が MUST なのか SHOULD なのか MAY なのか?? フラグがクリチカルなのか? ノンクリチカルなのか? 各証明書拡張のクリチカルフラグの扱い 証明書拡張がクリチカルの場合処理が強制させる X.509 標準証明書拡張にない証明書拡張の定義 AIA(Authority Information Access) OCSP などで使用される 5 証明書のプロファイルの関係 X.509 以外の公開鍵証明書 ISO/ITU X.509 ( 標準拡張 ) PKIX RFC3280 特化したサービスのプロファイル ( 機器組み込みなど ) 相互運用が必要な 比較的 汎用的なサービスや製品のプロファイル 例えば GPKI の プロファイル TRFC3280( RFC3280(RFC2459 RFC2459) 準拠の意味するもの T 証明書発行そのものよりも そのプロファイルを解釈するアプリケーションの実装が格段に難しい アプリケーションにおいて 100% RFC3280 サポートは まずない 6 3

12 X.509 と RFC3280 X.509 3rd Edition 1997 X.509 4th Edition 2000 ITU International Telecommunication Union RFC Son of 2459 RFC Son of 3280 IETF Internet Engineering Task Force RFC 証明書ポリシとは何か? 証明書ポリシの X.509 での定義 特定のコミュニティ又はアプリケーションのクラスに共通のセキュリティ要求をもって 証明書の適用性を指定する規則の名前付けした集合 RFC2527 インターネット X.509 PKI 証明書ポリシー (CP) と認証実施フレームワーク 一般的な証明書ポリシの内容 認証局の発行者 署名者の義務 証明書の正しい用途や署名確認に関するリライングパティへの要求事項 証明書ポリシ (CP) と CPS(Certificate Practice Statement) CP は 何を (what) サポート CPS は どのよう (how) にサポート X.509 証明書の証明書ポリシ拡張証明書ポリシ拡張 ポリシー識別子などが格納される GPKI では 証明書ポリシ (CP) は存在が MUST でクリチカル ポリシ制約拡張の設定と合わせて証明書ポリシの処理を強制している 8 4

13 証明書ポリシと X.509v3 証明書の証明書ポリシ拡張 ABC 証明書ポリシ ABC High 証明書 (1) OID ABC.4 (2) 本人確認の方法対面で手渡す ABC Medium 証明書 (1) OID ABC.3 (2) 本人確認の方法郵送で行う. アリスの証明書主体者 : ALICE CP: Critical OID=ABC.3 *1 実際にはポリシ制約拡張も関係する ABC ALICE の署名文書 これは 高額な取引だから High 証明書の署名じゃなきゃだめ!! 受け入れポリシ OID = ABC.4 証明書拡張が Critical にマークされている場合 証明書検証のソフトウェアに その処理を強制している (*1) NG 9 証明書ポリシと保証レベル ISO Banking 米国防総省 PKI PKI ドメイン DoD Class5 DoD Class4 DoD Class3 米連邦 PKI PKI ドメイン CP Federal High Federal medium カナダ政府 PKI PKI ドメイン CP GOC High GOC medium ドイツの署名法 PKI ドメイン間の関係 DoD Class2 Federal Basic GOC Basic 基本保証レベル CP Federal rudimentary GOC rudimentary Verisign Class

14 PKI ドメインとは?? PKI ドメイン (PKI におけるドメイン ) ひとつのポリシ管理機関などの管理下運用される PKI の単位 典型的には ひとつの組織の PKI など 各ドメインは 少なくとも ひとつの CP ドメイン ディレクトリを持つ ひとつのドメインで 階層型 や メッシュ型 を持つ場合がある 信頼ドメイン ドメイン ポリシドメインなど ほぼ同義??? ポリシドメイン (X.509 4th Edition に記述されている説明 ) 証明書は ひとつ以上のポリシに従って発行されるかもしれない ポリシの定義 及び 識別子の割当は ポリシ管理機関 (PMA) によって行われる ポリシ管理機関によって管理されたポリシの集合は ポリシドメインと呼ばれる 11 PKI ドメイン間の相互認証 ふたつのドメイン間の相互認証 ふたつの組織の間でポリシを揃えるもの 実社会における契約 -A の CPS ( 認証局運用規定 ) -A の CP ( 証明書ポリシ ) -A アリスに発行された証明書の証明書ポリシ ALICE の署名文書 -B -B の CPS ( 認証局運用規定 ) -B の CP ( 証明書ポリシ ) PKI ドメイン A PKI ドメイン B 異なるなるポリシ 12 6

15 X.509v3 証明書のポリシマッピング拡張 -A -B が -A に発行する相互認証証明書 CP:PB.Class4 CP:PB. B.Class3 PM PB.Class4=PA.High PA.High PM PB.Class3= Class3=PA.Med -B ボブの信頼ポイント アリスの証明書 CP: PA.Med CP: PA.Basic PKI ドメイン A ALICE の署名文書 受け入れポリシ PB.Class4 NG アリスの CP に適合しない PB.Class3 OK PB.Class2 NG ポリシマッピングされない PKI ドメイン B 13 ブリッジモデル アリスの信頼ポイント -C ボブの信頼ポイント -A B -B ALICE の署名文書 14 7

16 ブリッジモデル ブリッジ 各 PKI ドメインの Principal は ブリッジ と相互認証 別名ハブモデル 認証局 (PKI ( ドメイン ) のハブ ブリッジ は 信頼の橋 となる ブリッジ は 証明書ユーザの信頼のアンカ ( 信頼ポイント ) ではない 署名検証者から見ると証明書パス中の中間 ブリッジ は Root ではない ブリッジ とビジネスモデル Roor から始まるトップダウンなモデルの階層型 に対して ボトッムアップに構築するブリッジモデル 特定業界むけの垂直統合サイトに対応した階層型 Identrus などが典型的 水平統合モデルの B2B には ブリッジモデル?? 15 8

17 階層モデルとブリッジモデルの認証パス 階層モデルの認証パス ブリッジモデルの認証パス 署名検証者からは中間 Root 署名検証者の信頼ポイント 署名検証者からは中間 ブリッジ 署名検証者の信頼ポイント 下位 下位 署名検証者からは中間 署名者側 署名検証者側 署名者 署名検証者 署名者 署名検証者 RFC3280 などに記述されている認証パス検証は 信頼モデルに依存しない しかし ブリッジモデルでは その性格から RFC3280 の仕様の多くの部分の実装が要求され 高度な PKI 相互運用技術が要求される 1 ブリッジモデルにおける信頼ポイントの扱い 署名検証者からは中間 ブリッジ 署名検証者の信頼ポイント 署名者側 署名者 ボブの私有鍵 ボブの証明書 署名検証者側 署名検証者 ハードウェアートークン 証明書の発行 ボブが信頼する の証明書 ボブが保持す PKI 対応のハードウェアトークンなど が 信頼ポイントである自分の自己署名証明書をセキュアに証明書ユーザに渡すことも重要 は証明書ユーザに不利益にならない相互認証を行う 2 1

18 証明書信頼リストによる方法 (Web モデル ) Trusted List -D -A -B -C ボブは新たな を信頼する時 信頼する証明書を追加する EE EE -B2 EE -B3 EE -C2 EE ボブの信頼する のリスト PKI ドメイン B アリスの署名文書 3 マルチドメイン PKI と課題 マルチドメイン PKI の要求 色々なドメインの中で 色々なポリシの証明書が発行される中 必要なポリシの証明書の署名を検証できることが必要 ブリッジモデルの問題点 署名のチェーンの検証だけでなく 各種の制約拡張の解釈が重要になり 多くの X.509v3 証明書拡張の対応のための実装が要求される また 実装例が少ない このため 高度な相互運用が要求される Web モデル ( 信頼する認証局リスト ) の問題点 信頼リスト自体の信頼を維持するこが難しい 実際には 単なるポリシの異なる認証局のリストでしかない場合が多い 標準化の動きがない ( 下記しか見たことがない ^_^; ) pdf ポリシ付き信頼認証局リストの提案などもある ニュージランドの S.E.E. PKI government.govt.nz/docs/see-pki pki-paper paper-4/chapter3.html 4 2

19 リポジトリ (LDAP) LDAP とは ( 超安直な説明 ) PKI における LDAP PKI で使用する LDAP の標準と実装 相互認証と LDAP DIT(Directory Information Tree) リポジトリに格納されるもの ( 認証局のエントリ ) LDAP サーバを使用したネットワーク構成例 5 PKI の基本コンポーネントとリポジトリ リポジトリ (LDAP サーバ ) CRL/ARL 証明書などの取得 End Entity EndEntity のハードウェアトークン 各種の証明書 証明書などの登録 RA Registration Authority 証明書発行要求 証明書更新要求 証明書失効要求など ARL CRL CRL/ARL 証明書などの登録 Certificate Authority HSM の鍵を管理するハードウェア セキュリティ モジュール 6 3

20 LDAP とは ( 超安直な説明 ) クライアントサーバモデル 例えば ブラウザ -Web サーバ DB クライアント /DB サーバ LDAP のモデルは 上記の二つを足して割ったようなもの?? LDAP(Lightweight Directory Access Protocol) 元になっている X.500 の簡易版 # しかし Ver3はLightweight?? 狭義には プロトコル (HTTP ( などと同じ ) 広義には LDAP プロトコルを使用したクライアントサーバモデル全体のアークテクチャ?? プロトコル以外も数々の標準が作成されている 多くの標準的なスキーマ PKI が利用するスキーマもある (RFC ( 2587 X.509) 標準的な LDAP サーバアクセス API 標準的なローディング形式 ( LDIF RFC2849 ) # 期待されながらも ちっとも進まない複製プロトコルの LDUP 7 LDAP のクライアントサーバモデル PKI クライアント PKI アプリケーション要求応答 LDAP API LDAP アクセスモジュール TCP/IP LDAP サーバ (PKI のリポジトリ ) 相互認証証明書ペア TCP/IP CRL 要求メッセージ 応答メッセージ 8 4

21 PKI における LDAP の役割 9 PKI における LDAP の役割 からは 定期的 非定期的に CRL/ARL がリポジトリに登録される また 証明書も必要に応じて登録される PKI 的に重要なことは 登録されるものは の署名がなされること リポジトリは 証明書ユーザからアクセス可能な場所に置かれる PKI を利用するアプリケーションから常にアクセスされるため 一般に耐障害性が要求される (Relying Party の ) ボブは 証明書検証のため リポジトリ (LDAP サーバ ) をアクセスする ボブは リポジトリに格納されたデータの内容を無条件に信用するわけではなく 自分が信頼する の証明書の公開鍵からの署名チェーンをチェック署名チェーンをチェックする FW CRL/ARL ルーム リポジトリ 相互認証証明書 ボブ LDAP サーバ ペア ボブの信頼する の証明書 10 5

22 PKI で使用する LDAP の標準と実装 OpenLDAP SDK Netscape SDK Java JNDI etc.. OpenLDAP iplanet LDAP サーバ NEC EDS ノベル NDS 富士通 infodirectory etc... RFC 2587 X.509 Pki PkiUser などオブジェクトクラス cacertificate crosscertificatepair certificaterevocationlist などの属性 PKI クライアント LDAP アクセスモジュール LDAP Server LDAP LDAP スキーマ DB LDAP API RFC 1823 ldap_open() ldap_simple_bind() ldap_search() ldap_unbind() etc... Lightweight Directory Access Protocol ( LDAP ) LDAP Ver3 RFC2251 から RFC2256 ASN.1 の転送構文 TCP/IP port 389 の自己署名証明書 ( 自己発行証明書 ) 相互認証証明書ペア 暗号用証明書 CRL/ARL その他 11 相互認証と LDAP CRL ABC ABC 認証局が発行したアリスへの証明書の失効をチェックするため CRL を取得する CRL には ABC の署名が付けられている ARL XYZ ARL は Authority Revocation List ( 認証局失効リスト ) ボブのトラストポイント ALICE の署名文書 ALICE の公開鍵証明書 XYZ 認証局が発行した ABC 認証局への相互認証証明書の失効をチェックするため ARL を取得する ARL には XYZ の署名が付けられている 12 6

23 DIT(Directory Information Tree) C=JP O=ABC O=XYZ OU=Member OU=Med OU=Person OU=3 CN=ALICE CN=Bob アリスの ( 暗号用 ) 証明書 相互認証自己署名相互認証自己署名証明書ペア証明書証明書ペア証明書ボブの ( 暗号用 ) 証明書 CRL ARL CRL ARL ABC PKI ドメイン ( アリスのドメイン ) XYZ PKI ドメイン ( ボブのドメイン ) 13 リポジトリに格納されるもの ( 認証局のエントリ ) AuthorityRevocationList 属性 (ARL が格納される ) CertificateRevocationList 属性 (CRL が格納される ) crosscertificatepair 属性 cacertificate 属性 C=JP,O=XYZ,OU=3 発行者 ABC 認証局 発行者 XYZ 認証局 主体者 XYZ 認証局 主体者 ABC 認証局 相互認証証明書 相互認証証明書 (X.509 の証明書 ) (X.509 の証明書 ) issuedtothis issuedbythis 相互認証証明書ペア cacertificate 属性 他の認証局との相互認証証明書ペア ABC 認証局との相互認証証明書ペア crosscertificatepair 属性 XYZ 認証局の古い自己署名証明書 OldWithNew 自己発行証明書 NewWithOld 自己発行証明書 XYZ 認証局の新しい自己署名証明書 14 7

24 証明書の失効 リポジトリ の自己署名証明書 CRL 定期的に更新 CRL の取得 CRL は Certificate Revocation List( 証明書失効リスト ) 一般的なデータフォーマットは X.509 CRL v2 フォーマット は 失効した証明書のリストを 一定期間で の署名を付けてリポジトリリポジトリで公開する Alice の公開鍵証明書 ALICE の署名文書 Alice の公開鍵証明書 アリスの証明書は 取り消されているね!! 15 8

25 CRL( 証明書失効リスト ) CRL バージョン番号 (v2) デジタル署名アルゴリズム識別子発行者 () の識別名今回の更新次回の更新 証明書シリアル番号証明書シリアル番号失効日時証明書シリアル番号失効日時エントリ拡張失効日時エントリ拡張 (CRLv2 (CRLv2 の拡張の拡張 ) ) エントリ拡張 (CRLv2の拡張) CRLv2 の拡張拡張フィールド ( タイプ フラグ 値 ) 拡張フィールド ( タイプ フラグ 値 ). 発行者 () のデジタル署名アルゴリズム識別子署名 T T CRL T ある が発行した証明書の有効期限内に証明書を失効したい場合 この CRL に 失効したい証明書のシリアル番号を入れてリポジトリ (LDAP サーバなど ) で公開する T CRL は一定期間毎に の署名を付けて発行される 1997 年版 X.509 3rd Edition T CRLv2フォーマット T X.509v3 証明書と同じく拡張がある 1 相互認証と LDAP CRL ABC ABC 認証局が発行したアリスへの証明書の失効をチェックするため CRL を取得する CRL には ABC の署名が付けられている ARL XYZ ARL は Authority Revocation List ( 認証局失効リスト ) ボブのトラストポイント ALICE の署名文書 ALICE の公開鍵証明書 XYZ 認証局が発行した ABC 認証局への相互認証証明書の失効をチェックするため ARL を取得する ARL には XYZ の署名が付けられている 2 1

26 ボブの信頼ポイント信頼ポイント ボブの保持するハードウェアトークンなどに保管される 相互認証証明書 自ドメインのリポジトリから取得する アリスの公開鍵証明書 通常は アリスの署名文書と共に送られてくる アリスから送られてきた署名文書 発行者 XYZ 主体者 XYZ XYZ の公開鍵 XYZ の署名 発行者 XYZ 主体者 ABC ABC の公開鍵 XYZ の署名 発行者 ABC 主体者 ALICE アリスの公開鍵 ABC の署名 アリスの文書アリスの署名 XYZ の自己署名証明書 XYZ が発行する 証明書の失効リスト 自ドメインのリポジトリから取得する XYZ が発行する ABC への相互認証証明書 ARL XYZ の署名 アリスの公開鍵証明書 CRL ABC の署名 アリスの署名文書 ABC が発行する EE 証明書の失効リスト アリスのドメインのリポジトリから取得する 3 LDAP サーバを使用したネットワーク構成例 インターネット 社外に公表する情報のためのリポジトリの役目 証明書の失効情報や 相互認証のための相互認証証明書ペアなど ファイアウォール DMZ セグメント FW ルーム 企業内 LAN 内部公開 WWW サーバなど LDAP サーバ CRL/ARL などの定期発行 外部に公開する情報 (ARL/ARL) などを複製する 企業内で共有すべき情報を格納するリポジトリの役目 PKI 関係以外の情報も格納する 外部公開 LDAP サーバ 4 2

27 OCSP RFC-2560 Online Certificate Status Protocol -OCSP RFC になったのは 99 年 6 月 Identrus での OCSP Identrus は OCSP を利用して証明書の失効情報を取得している Identrus の4 コーナモデルでかなり込入った使い方をしている 商業登記 での OCSP 商業登記 は とは別に OCSP レスポンダを用意している訳ではなく 自体が の署名鍵で署名して OCSP の応答を返す 失効情報 OCSP レスポンダ失効情報 DB OCSP 要求 OCSP 応答 ( 署名付き ) 5 OCSP の仕組み 失効情報失効情報 DB OCSP レスポンダへの OCSP の公開鍵証明書署名鍵 OCSP レスポンダー Alice の公開鍵証明書 X.509 証明書の AIA 拡張で OCSP の問い合わせと URL が指定 XYZ OCSP による問い合わせ ALICE の署名文書 Alice の公開鍵証明書 が発行する失効情報は OCSP レスポンダーに伝えられる OCSP レスポンダーは が OCSP レスポンダーに発行した証明書の公開鍵と対の署名鍵で署名して応答を返す アリスの証明書の失効は OCSP レスポンダーに問い合わせればいいだね 6 3

28 CRL と OCSP の検証の違い ボブの信頼ポイント XYZ の自己署名証明書 アリスの公開鍵証明書 ボブの信頼ポイント XYZ の自己署名証明書 アリスの公開鍵証明書 発行者 XYZ 主体者 XYZ XYZ の公開鍵 XYZ の署名 発行者 XYZ 主体者 ALICE アリスの公開鍵 XYZ の署名 発行者 XYZ 主体者 XYZ XYZ の公開鍵 XYZ の署名 発行者 XYZ 主体者 ALICE アリスの公開鍵 XYZ の署名 発行者 XYZ 発行者 XYZ OCSP の応答主体者 OCSP OCSP の公開鍵 OCSP の署名 XYZ の署名 XYZ の署名 OCSP の応答アリスの公開鍵証明書のアリスの公開鍵証明書の失効をチェックするための CRL 失効をチェックするための OCSP レスポンダの証明書 OCSP レスポンダの証明書を失効の問題が面倒 OCSP での応答にするとでは OCSP 自体の署名になってしまう 7 LDAP,CRL と OCSP の比較 CRL には の署名がなされリポジトリ (LDAP サーバ ) は EE か高いクラスの の HSM には る この の署名鍵は らアクセスできる場所の置かれる FIPS140-1 レベル 3 といった非 HSM などを使用して高度なセ必要がある 耐障害性 性能など常に高価なものが使用される キュリティ管理がなされる が要求される HSM の署名鍵 LDAP CRL LDAP HSM の署名鍵 OCSP レスポンダ 失効情報 DB OCSP OCSP レスポダーは 署名鍵のセキィリティが重要になる また 署名の性能も重要な用件になる FIPS140-1 レベル 2 の HSM などが使用される HSM OCSP レスポンダの署名鍵 OCSP レスポンダは EE からアクセスできる場所の置かれる必要がある 耐障害性 性能 そして 署名鍵のセキュリティが要求される 8 4

29 ハードウェアトークン ( 暗号トークン ) とは?? 主体者 ( アリス ) の公開鍵に対応した私有鍵は 主体者 ( アリス ) しか使用できないことが理想 そのためには ハードウェアトークンの使用が有効になる また ハードウェアトークンは 色々な PKI アプリケーションで使用できるべき ハードウェアトークン 所有者を識別するための暗号クレデンシャル (Cryptographic Credential) を格納することが可能で かつ携帯性のあるデバイス 暗号クレデンシャル (Cryptographic credentials) ってなに? 鍵と証明書 ( 群 ) 9 PKI の基本コンポーネントとハードウェアトークン リポジトリ (LDAP サーバ ) CRL/ARL 証明書などの取得 End Entity EndEntity のハードウェアトークン 各種の証明書 証明書などの登録 RA Registration Authority 証明書発行要求 証明書更新要求 証明書失効要求など ARL CRL CRL/ARL 証明書などの登録 Certificate Authority HSM の鍵を管理するハードウェア セキュリティ モジュール 10 5

30 ハードウェアトークンの例 スマートカード (IC カード ) USB Token (Dongle Dongle) 生体認証と組み合わせたトークン Sony の Puppy(FIU-710) など PC に内蔵されたセキュリティチップ TCPA TPM (Trusted Platform Module) 正確にはハードウェアトークンではないかもしれないが機能的には同じ MOPASS( Mobile Passport ) フラッシュメモリカード用のモバイルコマース拡張規格 SD カードなど なぜハードウェアトークン 署名で使用する私有鍵 (Private Key) を守る仕組みが可能 私有鍵のコピーを防ぐ 私有鍵がハードウェアートークンから外に出ない 私有鍵がハードウェアトークンの OS レベルで保護される ハードウェアトークンが盗難にあった場合を想定した耐タンパ性が重要 PIN (Personal Identification Number) の入力や 指紋照合といった手段でハードウェアトークンにログインする PKI アプリケーション S/MIME IPsec XML 署名 etc.. インターフェースモジュール PKCS#11 MS CSP 署名要求など ハードウェアトークン I/O CPU メモリ 署名の計算結果などを返す 私有鍵 12 6

31 ハードウェアトークンを使用した認証の例 アリスの秘密情報 ( 私有鍵 ) はハードウェアトークンから出ない もちろんネットワークにも流れない アリスの秘密情報は サーバには 格納されない サーバは アリスの秘密情報 ( 例えばパスワード ) を預かる必要がない これは アリスとっても サーバの運用者にとってもメリット アリスの私有鍵 CPU I/O 署名要求 クライアント 認証要求 ネットワーク NONCE( 乱数 ) サーバ 公開鍵 乱数発生 メモリ 署名の計算結果 署名の検証 13 ハードウェアトークンとの I/F スマートカードリーダとの I/F PC/SC スマートカードリーダを仮想化する USB RS232C PCMCIA etc.. 主に Win32 環境 トークンとの API (PKCS#11 MS CryptoAPI) PKI アプリケーションとハードウェアトークンとの API 私有鍵などのトークンオブジェクトを保護するメカニズムを持っている スマートカード以外の USB Token などでも同じ 14 7

32 依存依存 ハードウェアトークンとの I/F PKI アプリケ - ション PKI Tool KIT など / MS CryptoAPI PKCS#11 or MS CSP PKCS#11 PC/SC or MS CSP カードドライバカードドライバ RS232C USB RS232C ドライバ RS232C USB カードリーダカードリーダ カードドライバ USB USB ドライバ PKCS#11 or MS CSP ( 指紋認証装置のための ) 依存 15 8

33 PKI アプリケーションの基本的な要件 Subscriber 側 ( アリス ) の要件 セキュアな署名 なりすましをいかに防ぐか 署名に使用する私有鍵をいかに保護私有鍵をいかに保護するか?? セキュアなハードウェアトークンが有効 Relying Party 側 ( ボブ ) の要件 署名検証 証明書検証をいかに行うか リポジトリ (LDAP サーバ ) から必要な情報を取得 CRL ARL 相互認証証明書ペアなど ハードウェアトークン等に格納された信頼ポイントの公開鍵信頼ポイントの公開鍵からのリポジトリなどから読み出した情報を元に証明書チェーンを構築 そしてパス検証を行う 1 GPKI における認証局とアプリケーション 商業登記 CrossCert 民間 OCSP レスポンダ リフェラル民間リポジトリ 民間クライアント B LDAP 統合リポジトリ アプリケーション間通信 LDAP OCSP 複製 府省クライアント 府省 府省リポジトリ 認証局について アプリケーションについて 2 1

34 PKI アプリケーション環境の例 LDAP サーバなどのリポジトリ 暗号用証明書 の相互認証証明書自己署名証明書ペア CRL/ARL CRL/ARL の定期発行 アリス PIN アリスが保持する社員証 PKI 対応のクレジットカードなどのスマートカード LDAP アクセスモジュール PKI PKI カーネルモジュールアプリケーション PKCS#11 モジュール /MS CSP PKI の端末 (PC 携帯端末 etc.) 証明書発行アリスが信頼するアリスの私有鍵アリスの証明書ハードウェアートークン の証明書 / RA 3 証明書発行 証明書発行のメカニズムと PKCS( Public- Key Cryptography Standards) の説明 4 2

35 PKI の基本コンポーネントと証明書発行 リポジトリ (LDAP サーバ ) CRL/ARL 証明書などの取得 End Entity EndEntity のハードウェアトークン 各種の証明書 証明書などの登録 RA Registration Authority 証明書発行要求 証明書更新要求 証明書失効要求など ARL CRL CRL/ARL 証明書などの登録 Certificate Authority HSM の鍵を管理するハードウェア セキュリティ モジュール 5 証明書の管理 鍵ペアの生成 EE での生成と /RA 側での生成 証明書の要求 PKCS#10 などの証明書要求のフォーマット 証明書の配布 オンラインでの配布 PKIX-CMP, SCEP など オフラインでの配布 FD や SmartCard による配布 PKCS#12, PKCS#7 その他 証明書の失効 証明書の更新 証明書の再発行とリカバリ 6 3

36 X.509 証明書 証明書バージョン番号 (V3) 証明書シリアル番号デジタル署名アルゴリズム識別子発行者名の識別名有効期間主体者 ( ユーザ ) の識別名主体者の公開鍵アルゴリズム識別子公開鍵値 V3 の拡張拡張フィールド ( タイプ フラグ 値 ) 拡張フィールド ( タイプ フラグ 値 ). のデジタル署名アルゴリズム識別子署名 代表的な公開鍵証明書 主体者 ( アリス ) と 主体者 ( アリス ) の公開鍵や その他の属性を 鍵 ( アリスの証明書を発行したの署名鍵 ) の署名でバインドする この時 主体者 ( アリス ) の公開鍵に対応した私有鍵は 主体者 ( アリス ) しか使用できないことが理想 1997 年版 X.509 3rd Edition X.509v3 証明書フォーマット X.509V3 拡張 14の標準拡張フィールド 7 鍵ペアの生成と証明書発行 EE 側での鍵ペアの生成 SECOM パスポート formember など 鍵と PC 上で生成 PKCS#10 などで証明書要求を生成 で証明書を発行 から PKCS#7 などで証明書を配布 /RA 側での鍵ペアの生成 SECOM パスポート for G-ID G など で鍵ペアを生成 PKCS#12 などで私有鍵 証明書を配布 PIN などを別途配布 ( 別経路 ) 8 4

37 証明書発行 (EE 側の鍵ペア生成 ) PC や VPN 装置など鍵ペア生成 証明書の情報主体者名など /RA 署名鍵 署名 私有鍵 公開鍵 PKCS#10 証明書発行要求 証明書発行 暗号クレデンシャル PKCS#7 など EE 証明書 証明書 9 PKCS#10(RFC2413) 証明書要求のための特別なシンタックス PKI の製品で広く使用されている バージョン 1.0 は 1993 年にリリースされた現在までのバージョン X.509 証明書の変更の適応に十分に柔軟であることが証明された RSA ラボラトリは PKCS #10 の新バージョンの計画がある 現在のバージョン

38 PKCS#10 による証明書発行要求 PKCS#10 CertificationRequest CertificationRequestInfo 証明書の発行ポリシ 鍵ペア生成クライアント version subjectname subjectpublickeyinfo attributes signaturealgorithm signature X.509 証明書 証明書バージョン番号 (V3) 証明書シリアル番号デジタル署名アルゴリズム識別子発行者名の識別名有効期間主体者 ( ユーザ ) の識別名主体者の公開鍵アルゴリズム識別子公開鍵値 V3 の拡張拡張フィールド ( タイプ フラグ 値 ) 拡張フィールド ( タイプ フラグ 値 ). のデジタル署名アルゴリズム識別子署名 11 SCEP (Simple Certificate Enrollment Protocol) T T T T T SCEP T CISCO が仕様を作成 VPN 装置などへの証明書発行が目的 HTTP ベース T SCEP デバイス側が HTTP のクライアトとして動作するメッセージに共通のデータ T メッセージには トランザクションを一意に管理するための TransactionID と Dos 攻撃を防ぐための Cons が含まれる PKCS#10,PKCS#7 などを使用した証明書要求 T 通常の証明書要求である PKCS#10 をPKCS#7 で暗号化して 他のメッセージも合わせて証明書要求メッセージを作っている生成した証明書 T PKCS#7 で RA の署名がついて SCEP デバイスに返される 12 6

39 SCEP 鍵生成証明書要求 私有鍵公開鍵 T=N PKCS#7 T=N PKCS#10 公開鍵 T=N T=N 公開鍵 T=N Polling T=NPending 応答 T=N Polling PKCS#7 T=N 証明書 証明書公開鍵 の署名 RA 承認 VPN 装置 RA の署名 RA/ 13 証明書発行 ( 側の鍵ペア生成 ) PC や VPN 装置など 私有鍵 暗号 証明書クレデンシャル インポート EE 証明書 /RA 署名鍵鍵ペア生成私有鍵公開鍵 署名 証明書発行 PKCS#12 PKCS#12 FD など EE 証明書 証明書 14 7

40 PKCS#12 PKCS#12 秘密鍵や公開鍵証明書のバックアップや他のマシンへの移行するために適した規格 RSA 暗号のみサポート インポート / エクスポート サポートされるアプリケーション NetscapeCommunicator 4.04 以降 InternetExplorer 4.0 以降 15 PKCS (Public-Key Cryptography Standards) PKCS PKCS は RSA Data Security Inc. が定めた規格 PKCS #1:RSA Encryption Standard RSA 暗号を使った暗号化方法および署名方法 PKCS #7:Cryptographic Message Syntax Standard 暗号化や署名を施したデータの構文 S/MIME などで使用されている PKCS #10:Certification Request Syntax Standard (Certificate Authority) に対する証明書発行要求メッセージの構文 PKCS #11:Cryptographic Token Interface Standard ハードウェアトークンをアクセスするための API PKCS #12:Personal Information Exchange Syntax Standard 暗号クレデンシャルの交換を行うためのフォーマット 16 8

41 PKI 基礎編 END 17 9