http2study#8 ( CA特集)r2(配布版).pptx

Size: px

Start display at page:

Download "http2study#8 ( CA特集)r2(配布版).pptx"

あきみなみこし
9 years ago
Views:

1 May 30, 2016 http2study#8(ca 特集 ) 1

2 May 30, 2016 http2study#8(ca 特集 ) 2 本日の概要パブリック認証局について本日のお題データセンタ内暗号化とかで自前 CA 運用とかもやっていくことになるのか? できるのか? Lets Encrypt って本当に大丈夫なのか? CA 信用できない問題とかどうなの?

3 May 30, 2016 http2study#8(ca 特集 ) 3 ( パブリック ) 認証局について

4 May 30, 2016 http2study#8(ca 特集 ) 4 用語の定義 (draft-ietf-wpkops-trustmodel) Root Store Provider (OS ブラウザベンダなど ) 監査要件 :WebTrust for CA など技術要件 :Baseline Requirements (CA/Browser Forum) など Root Store Policy ルート CA ルート CA 証明書 ( 自己署名証明書 ) 登録登録申請 Root Certificate Store ( 証明書ストア ) エンドユーザ (OS ブラウザなど ) 中間 CA ( 階層構造 ) Web サーバ Nov 19, SECOM Co., Ltd.

5 May 30, 2016 http2study#8(ca 特集 ) 5 例 ) Mozilla におけるルート登録の流れ Phase Best Case Typical Case Information Verification 2 weeks 2 months Queue for Public Discussion 1 month 2 months First Public Discussion 2 weeks 4 weeks Response to First Public Discussion Not needed CA-specific Second Public Discussion Not needed 2 weeks Formal approval 1 week 1 week Inclusion in NSS 3 months 3 months Inclusion in Firefox 2 months 2 months Total ~ 8 months > 11 months 出典 :

6 May 30, 2016 http2study#8(ca 特集 ) 6 認証局の構築から運用まで 1. 運用設計 2. 引き継ぎ組織体制ポリシ規程マニュアルワークフロー帳票システム運用監視障害対策構築開発チーム運用チーム 3. 運用開始キーセレモニー 4. 定常業務各種申請受付対応ヘルプデスク定期メンテナンス 5. 定期監査指摘事項に対する是正出典 : 国立情報学研究所認証局を実際に運用するには

7 May 30, 2016 http2study#8(ca 特集 ) 7 運用組織体制の例ポリシ委員会 CP/CPS などの策定改廃の指示監査指摘事項への対応指示運用責任者 CA 管理者 RA 責任者 RA 担当者ログ検査者システム変更運用手続変更の承認各運用担当者への作業指示 CA 鍵ペア操作に関する作業立ち会い CA 鍵ペア操作に関する作業の実施システム設定変更の実施 RA 担当者の作業承認発行失効更新の申請受付および試査発行失効更新に関する作業の実施定期的なログ検査の実施ヘルプデスク加入者からの問い合わせ対応など監査者定期的な監査の実施運用部門から独立している必要あり管理部門ポリシ委員会運用部門運用責任者 CA 管理者 (RA 責任者 ) RA 担当者ログ検査者ヘルプデスク監査部門監査者出典 : 国立情報学研究所認証局を実際に運用するには

8 May 30, 2016 http2study#8(ca 特集 ) 8 本日のお題

9 May 30, 2016 http2study#8(ca 特集 ) 9 1) DC 内通信の暗号化必要な機能は何か暗号化 and/or 認証暗号化だけなら DNSSEC, TLS-PSK など方法は様々もちろんそれはそれで課題は多い DC で認証が必要だとするなら双方向認証のはずアクセス制御で代用できない理由は何か? CA のセキュリティレベルはどこまで必要かパブリック認証局レベルなら明らかに非効率どこかの下位 CA になる方が合理的それ未満なら Managed PKI などとのコスト比較で決まる話セッション数 ( やハンドシェイク頻度 ) は? セッション数によってはアクセラレータやハードウェアサポートが必要認証 ( 公開鍵暗号処理 ) のオーバーヘッド通信相手はほぼ固定? どの程度動的?

10 May 30, 2016 http2study#8(ca 特集 ) 10 2) そんな Let s Encrypt で大丈夫か資金繰りの状況スポンサーシップで年間 3 億円近い運用予算を確保現状通り下位 CA を運用する限りはほぼ問題ないセキュリティ的にはよくわからない技術面 : ACME プロトコル : まだまだ未成熟だがいずれは枯れる運用面 : ほとんど情報なしルート CA(IdenTrust) の信頼性 DV 証明書の保証レベル LE 独自ルート立てるってよ誰が運用するのかその運用は信頼していいのか出典 :

11 May 30, 2016 http2study#8(ca 特集 ) 11 LE のトポロジ出典 :

12 May 30, 2016 http2study#8(ca 特集 ) 12 LE ルートの登録申請ルート CA 構築 WebTrust for CA 監査合格 Public Discussion 開始出典 :

13 May 30, 2016 http2study#8(ca 特集 ) 13 3) CA 信頼できない問題何を以って信頼するのか? 第三者評価ブランド継続性中立性インセンティブ DigiNotar 事件 ( ) オランダ政府の認定認証局 && EV 認証局も運用誰が予想できたか? 情報の非対称化リスク判断の材料はあるのか例 ) 年間失効率監査是正件数セキュリティ評価 etc.

14 May 30, 2016 http2study#8(ca 特集 ) 14 Trust Control としての監査の限界? スケーラビリティ全世界で 400 超のルート認証局多いと見るか少ないと見るか TP の増加多様化にどう対応すべきか IdP だけでもルートよりも遥かに多くなるレイヤ化? 監査の効率化? 監査人の育成? 透明性現状の保証報告書ではトラストの程度は計れない 1bit の情報を拡大解釈するのは非合理を越えて無理何が開示可能で何が困難か普遍的アプローチは確立できるのかビジネスモデルの矛盾認定対象 (TP) からの監査業務委託監査コスト負担のインセンティブ

15 May 30, 2016 http2study#8(ca 特集 ) 15 認証局への不正侵入と証明書の不正発行登録局 (RA) のソフトウェアの脆弱性を突いた不正発行 2011 年 3 月 Comodo は RA の Windows アプリの脆弱性を突かれた 2011 年 8 月 DigiNotar も同様に RA への攻撃から CA まで侵入され大量の不正発行運用のオペミス等による不正発行 2013 年 1 月 TURKTRUST がアプライアンスサーバに中間 CA 証明書を誤発行 2011 年 11 月マレーシア Digicert Sdn で 512bit RSA 鍵に誤発行 2015 年 3 月 Comodo はドメイン管理者と誤解して *.lve.fi を発行事業者による恣意的な不正発行 2015 年 3 月 CNNIC 傘下のMCS Holdingsが *.google.comなどの証明書を不正発行 NPO 日本ネットワークセキュリティ協会 PKI Day 2015 SSL/TLS 生誕 20 周年脆弱性と対策を振返る富士ゼロックス ( 株 ) 漆嶌賢二, CISSP

16 May 30, 2016 http2study#8(ca 特集 ) 16 運用監査はトラストを与えないのか? 厳格な運用監査で信頼性 (Trustworthiness) を担保していたのでは? 確率論で言えば必ずしも監査の責任とは言い難いとは言え改善の余地がないわけでもない専門家はわかってたんじゃないの? 保証報告書以上の内容は監査人しか得られない保証報告書ではおよそ準拠しているとしか書かれていない

17 May 30, 2016 http2study#8(ca 特集 ) 17 トラストコントロールの選択肢より適切な監査手法の模索既存監査方式や議論の調査レピュテーション観測可能な情報にもとづく複数の評価者による社会評価評価者の信頼性観測可能な情報の真正性トラストメトリクスの提案トラストの評価に資する指標を確立する工学的アプローチの可能性

18 May 30, 2016 http2study#8(ca 特集 ) 18 参考資料認証局を実際に運用するには I-D: Problems with the PKI for the WWW I-D: Trust models of the Web PKI (expired) トラストアンカーを巡る課題と最新動向 ~ インターネットの信頼の起点として ~ PKI Day 2012 午後の部 PKI への攻撃とその対応トラスト ~ 情報システムと社会の一接点 ~

全てのパートナー様に該当する可能性のある重要なお知らせです 2015 年 8 月 28 日パートナー各位合同会社シマンテックウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加および DNS Certification Authority Authorizatio

全てのパートナー様に該当する可能性のある重要なお知らせです 2015 年 8 月 28 日パートナー各位合同会社シマンテックウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加および DNS Certification Authority Authorizatio 全てのパートナー様に該当する可能性のある重要なお知らせです 2015 年 8 月 28 日パートナー各位合同会社シマンテックウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加および DNS Certification Authority Authorization(CAA) 対応について平素より弊社製品の販売支援をいただき誠にありがとうございますこのたび弊社では