<4D F736F F F696E74202D B F8089BB82CC88EA91A496CA C982A882AF82E9504B4982CC8FF38BB52E707074>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D B F8089BB82CC88EA91A496CA C982A882AF82E9504B4982CC8FF38BB52E707074>"

たつぞうのじま
9 years ago
Views:

1 標準化の一側面 -- IETF における PKI の状況 -- 富士ゼロックス株式会社システム要素技術研究所稲田龍

2 概要 RFC 5280 (RFC 3280 の後継 ) が 2008 年 5 月に公開 PKI のインターネットでの利用のプロファイルが更新 PKI のインフラストラクチャとしての利用には決着がついたのか? 新たな暗号ハッシュアルゴリズムの利用は? そもそも PKI の応用はどうなっているの? IETF の Security Area 全体としてはアルゴリズム独立が大きな問題となっている各 WG がそれなりに対応を急いでいるが古いプロトコルほど問題を抱えている 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 2

3 IETF とは? Internet Engineering Task Force インターネットで利用する各種プロトコルを標準化 The Internet Engineering Task Force (IETF) is a large open international community of network designers, operators, vendors, and researchers concerned with the evolution of the Internet architecture and the smooth operation of the Internet. It is open to any interested individual. The IETF Mission Statement is documented in RFC の冒頭を抜粋 ( 下線は筆者による追加 ) 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 3

4 PKI の基盤技術主に Security Area PKIX-WG で議論基本は証明書 /CRL のフォーマットの議論 RFC 5280 により終了ただし ECC/SHA-2 系の暗号アルゴリズムの移行に関しては継続中 PKI アプリケーションの利用に欠かせない基盤技術系の議論が行われている 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 4

5 応用技術 PKIをどうプロトコルに応用するか? プロトコルの一部として利用するにはどうするのか? やはり暗号アルゴリズムの変更が大きな話題に 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 5

6 PKIX での主要な話題証明書のフォーマット RFC 5280 として RFC 化 ECC を証明書で使えるようにするための検討が続いている証明書の認証 OCSP v2 SHA-1 からの脱却の検討が始まっている SCVP 証明書の管理 TAM (Trust Anchor Management) WebDAV での管理アルゴリズム移行後ほどパネルでも話題に 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 6

7 PKIX RFC 3279bis/RFC 4055bis ECC 関連のアルゴリズムID/ パラメータの設定に関してのI-D RFC 3279bis 多くの細かな修正が入っている NISTのFIPS 180-3がRFC 化のスケジュールに間に合いそうなく (NIST Tim Polk 氏 ) FIPS 180-2を参照することとなった RFC 4055bis 修正点は 2 箇所のみあとは Typo 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 7

8 PKIX - ASN.1 Update 70 th より WG アイテム I-D Paul Hoffman 氏と Jim Schaad 氏が作成 PKIX-WG がレビューを行なう従来のモジュールの再利用可能 ASN-1 コンパイラの利用が可能 OpenSSL/Crypt API の様に直接暗号 API を用いるものは再利用できない通信路上を流れるデータには新旧で差異はないアクションアイテム市販フリーの ASN.1 コンパイラで新モジュールが使えるかのテストが必要 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 8

9 PKIX - TAM 69 th IETF で BoF 開催新 WG にせず PKIX-WG で扱う要件仕様管理対象用語 TA に関連したデータにスコープを拡大 TrustAnchorInfo vs. ValidationPolicy TrustAnchorInfo は TA 管理の主要なデータを保持 ValidationPolicy は TA 管理に必要な追加データを保持 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 9

10 PKIX - TAM Request/Reply Protocol vs. Directory Microsoft Stefan Satesson 氏の説明 Directoryを用いたTA 管理のモデルの説明 X.500におけるトラディショナルな方式 Active Directoryなどで既に多く使われている要求仕様 I-D は Request/Reply Protocol を前提としているところが多い両モデルがあることを明記すべき両モデルの必要性を明記すべき 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 10

11 PKIX - PRQP 70 th にて Experimental RFC として扱うことが合意 AIA などの情報の伝播が可能 OpenCA で実装済み PKIX の範疇を超えるが P2P を使った PEACH もある 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 11

12 PKIX Wildcards in DNS Names Microsoft Stefan Satesson 氏の提案いわゆるワイルドカード証明書の扱いについて主要なプラットフォームで動作する (IE でも動くようになった ) メジャーな認証局から取得可能問題点 Name Constraint の問題通常の証明書と同様に扱う IDN におけるワイルドカードの扱いノーアイデア提案内容 Informational RFC 3280bis に修正ワイルドカード証明書を認める方向にすべき意見多数 RFC 2818 (HTTP Over TLS) ではワイルドカード証明書を OK としている (Tim Polk) ブラウザがワイルドカードを含んだ名前の解釈に関しての Informational RFC を書くべき (Phillip Hallam-Baker) RFC 3779(X.509 Extensions for IP Addresses and AS Identifiers) に従う (Steve Kent) ML での議論 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 12

13 TLS TLS 1.2 がほぼ固まった新しい乱数発生器新しい暗号アルゴリズム ( 日本からは Cameria が提案されている ) 安全性を考え暗号の強度に関しての考察が始まっている DES の禁止この動きで証明書で提供する公開鍵の鍵長を制限する動きもある 512 bit RSA の禁止の動き脆弱性を考慮しプロトコルのダウングレードを制限する動きもある SSLv2 は禁止にしたいという動きがあるが 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 13

14 S/MIME 安全性を考え暗号の強度に関しての考察が始まっている DES の禁止この動きで証明書で提供する公開鍵の鍵長を制限する動きもある 512 bit RSA の禁止の動き IDB 暗号の利用が話題に上がっている 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 14

15 LTANS 一段落が着きクローズ予定欧州にてサービスが開始 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 15

16 IPsec 主流は Shared Secret での運用証明書を利用した IPsec のプロファイル I-D が期限切れのまま 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 16

17 ご清聴ありがとうございました

18 リファレンスなど IETF IETF Security Area PKIX-WG TLS-WG S/MIME WG IPsec WG LTANS WG /07/03 標準化の一側面 -- IETF における PKI の状況 -- 18

19 リファレンスなど IPA ( 情報処理推進機構 : 情報セキュリティ ) IPA の PKI 関連技術情報 JNSA /07/03 標準化の一側面 -- IETF における PKI の状況 -- 19

20 商標権の表示 Windows は米国マイクロソフト社の登録商標です 2008/07/03 標準化の一側面 -- IETF における PKI の状況 -- 20

第3 章電子認証技術に関する国際動向

第3 章電子認証技術に関する国際動向 3 IETF PKI TAM Trust Anchor Management 3. IETF Internet Engineering Task Force PKIX WG 3.1. IETF PKIX WG 1 2006 PKI Public-Key Infrastructure IETF PKIX WG 2007 69 IETF 70 IETF WG PKIX WG 2006 3 2 3.2.