http2study#8 ( CA特集)r2(配布版).pptx

Similar documents
全てのパートナー様に該当する可能性のある 重要なお知らせです 2015 年 8 月 28 日 パートナー各位 合同会社シマンテック ウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加 および DNS Certification Authority Authorizatio

証明書偽造事件からの信頼回復への取組み~ インターネットの安全性を守るために~

CA Federation ご紹介資料

} UPKI 電 証明書発 サービス最近のアップデート } これからの動き } 事件簿 2

[補足資料] 「Managed CA対応」における製品仕様変更点について

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

16 e-tax e-tax e-tax e-tax GPKI e-tax e-tax URL

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

Security Communication Root1 CA_CPS

/07/ /10/12 I

/02/ /09/ /05/ /02/ CA /11/09 OCSP SubjectAltName /12/02 SECOM Passport for Web SR

ウェブサイト認証 (SSL サーバ証明書 ) の 資料 5-1 現状と課題 総務省 : トラストサービス検討 WG 稲葉厚志 年 4 15

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

DNSSECの基礎概要

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

Google Chrome と証明書の透明性 2 証明書の透明性に関する有効な情報がサーバーから提供されました 画像 :facebook ( トップページ

Juniper Networks Corporate PowerPoint Template

Microsoft Word - 農業者年金記録管理システム(2018年8月改訂版)

最近の電子認証・署名の考え方

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

小特集暗号と社会の素敵な出会い 1. マイナンバーと電子署名 電子認証 基応専般 手塚悟 ( 東京工科大学 ) マイナンバーとは IC 図 -1 電子署名 電子認証とは 電子署名と電子認証の違い 1058 情報処理 Vol.56

Microsoft PowerPoint SCOPE-presen

UCCX ソリューションの ECDSA 証明書について

これだけは知ってほしいVoIPセキュリティの基礎

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

TLS/SSLの暗号利用に関する現状と課題

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

シマンテック テスト用CA認証業務運用規程(テストCPS)日本バックエンド

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

LGWAN-5月.indd

1 1 準備する 地方公共団体において 国税電子申告 納税システム ( 以下 e-tax といいます ) をご利用いただくためには 地方公共団体組織認証基盤 (LGPKI) の職責証明書 ( 以下 職責証明書 といいます ) を利用可能な環境を用意していただくこと及びインターネット又は政府共通 NW

つるい27-5月号PDF.indd

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

マトリックス認証、PKI認証、ICカード認証(多要素認証第5回)

McAfee Application Control ご紹介

1. サービスの概要 1.1. 目的独立行政法人医薬品医療機器総合機構 ( 以下 機構 といいます ) の審査等業務において 電子証明書による署名を付し 暗号化した電子メール ( 以下 セキュアメール といいます ) の適切な利用を通じて 機構と申請企業等との間における情報伝達の安全性及び効率性を確

metis ami サービス仕様書

IPCOM EX (IPCOM EX IN ソフトウェア V01) SSL/TLS アプライアンス製品の暗号設定方法等の調査報告書

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

ルーティングの国際動向とRPKIの将来

RPKI in DNS DAY

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

次 概要... 3 (1) SSL-VPN 接続ソフトを... 3 (2) SSL-VPN 接続ソフトのインストール... 4 (3) SSL-VPN 接続ソフトの設定... 7 (4) 接続ソフトの使 法... 9 (5) 接続トラブル発 時の対応 改訂履歴... 13

untitled

使ってみよう! 平成 30 年 9 月国税庁

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

Microsoft PowerPoint - PKIの展開状況の概観-修正.ppt

EOS 名人.NET Ver1.3.0 以降をご利用の場合 a. 流通業界共通認証局証明書ポリシー (CP) の改訂署名アルゴリズム SHA-1 から SHA-2 への変更 この

Systemwalker Live Help V13.6 機能紹介資料

Ver.0 目次. はじめに.... 証明書の発行 ( ダウンロード ) 手順... 付録 A. ルート証明書無しでの証明書の発行 ( ダウンロード ) 手順... 5 付録 B. ブラウザの設定... Copyright 04 SECOM Trust Systems CO.,LTD. All Ri

はじめに インターネット上で行われる非対面取引において クレジットカードによる決済は利便性が高いと言われる反面 不正使用の懸念もあげられます カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法があり 3Dセキュア もそのひとつです クレジット取引セキュリティ対策協議会が策定する

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

インターネットファームバキグ 電子証明書ガイドブック ~証明書取扱手順編~ - 契約会社向け -(対応 OS :Windows 8)

Transcription:

May 30, 2016 http2study#8(ca 特集 ) 1 認証局の中の人でした @4ma_

May 30, 2016 http2study#8(ca 特集 ) 2 本日の概要 パブリック認証局について 本日のお題 データセンタ内暗号化とかで 自前 CA 運用とかもやっていくことになるのか? できるのか? Lets Encrypt って本当に大丈夫なのか? CA 信用できない問題とかどうなの?

May 30, 2016 http2study#8(ca 特集 ) 3 ( パブリック ) 認証局について

May 30, 2016 http2study#8(ca 特集 ) 4 用語の定義 (draft-ietf-wpkops-trustmodel) Root Store Provider (OS ブラウザベンダなど ) 監査要件 :WebTrust for CA など技術要件 :Baseline Requirements (CA/Browser Forum) など Root Store Policy ルート CA ルート CA 証明書 ( 自己署名証明書 ) 登録 登録申請 Root Certificate Store ( 証明書ストア ) エンドユーザ (OS ブラウザなど ) 中間 CA ( 階層構造 ) Web サーバ Nov 19, 2015 2015 SECOM Co., Ltd.

May 30, 2016 http2study#8(ca 特集 ) 5 例 ) Mozilla におけるルート登録の流れ Phase Best Case Typical Case Information Verification 2 weeks 2 months Queue for Public Discussion 1 month 2 months First Public Discussion 2 weeks 4 weeks Response to First Public Discussion Not needed CA-specific Second Public Discussion Not needed 2 weeks Formal approval 1 week 1 week Inclusion in NSS 3 months 3 months Inclusion in Firefox 2 months 2 months Total ~ 8 months > 11 months 出典 : https://wiki.mozilla.org/ca:how_to_apply

May 30, 2016 http2study#8(ca 特集 ) 6 認証局の構築から運用まで 1. 運用設計 2. 引き継ぎ 組織 体制ポリシ 規程 マニュアルワークフロー 帳票システム運用 監視 障害対策 構築 開発チーム 運用チーム 3. 運用開始 キーセレモニー 4. 定常業務 各種申請受付 対応ヘルプデスク定期メンテナンス 5. 定期監査 指摘事項に対する是正 出典 : 国立情報学研究所 認証局を実際に運用するには http://www.nii.ac.jp/hrd/ja/joho-karuizawa/h20/txt5.pdf

May 30, 2016 http2study#8(ca 特集 ) 7 運用組織 体制の例 ポリシ委員会 CP/CPS などの策定 改廃の指示監査指摘事項への対応指示 運用責任者 CA 管理者 RA 責任者 RA 担当者 ログ検査者 システム変更 運用手続変更の承認各運用担当者への作業指示 CA 鍵ペア操作に関する作業立ち会い CA 鍵ペア操作に関する作業の実施システム設定 変更の実施 RA 担当者の作業承認 発行 失効 更新の申請受付および試査発行 失効 更新に関する作業の実施 定期的なログ検査の実施 ヘルプデスク加入者からの問い合わせ対応など 監査者 定期的な監査の実施運用部門から独立している必要あり 管理部門 ポリシ委員会 運用部門 運用責任者 CA 管理者 (RA 責任者 ) RA 担当者 ログ検査者 ヘルプデスク 監査部門 監査者 出典 : 国立情報学研究所 認証局を実際に運用するには http://www.nii.ac.jp/hrd/ja/joho-karuizawa/h20/txt5.pdf

May 30, 2016 http2study#8(ca 特集 ) 8 本日のお題

May 30, 2016 http2study#8(ca 特集 ) 9 1) DC 内通信の暗号化 必要な機能は何か 暗号化 and/or 認証 暗号化だけなら DNSSEC, TLS-PSK など方法は様々 もちろんそれはそれで課題は多い DC で認証が必要だとするなら双方向認証のはず アクセス制御で代用できない理由は何か? CA のセキュリティレベルはどこまで必要か パブリック認証局レベルなら明らかに非効率 どこかの下位 CA になる方が合理的 それ未満なら Managed PKI などとのコスト比較で決まる話 セッション数 ( やハンドシェイク頻度 ) は? セッション数によってはアクセラレータやハードウェアサポートが必要 認証 ( 公開鍵暗号処理 ) のオーバーヘッド 通信相手はほぼ固定? どの程度動的?

May 30, 2016 http2study#8(ca 特集 ) 10 2) そんな Let s Encrypt で大丈夫か 資金繰りの状況 スポンサーシップで年間 3 億円近い運用予算を確保 現状通り下位 CA を運用する限りはほぼ問題ない セキュリティ的にはよくわからない 技術面 : ACME プロトコル : まだまだ未成熟だが いずれは枯れる 運用面 : ほとんど情報なし ルート CA(IdenTrust) の信頼性 DV 証明書の保証レベル LE 独自ルート立てるってよ 誰が運用するのか その運用は信頼していいのか 出典 : https://letsencrypt.org/sponsors/

May 30, 2016 http2study#8(ca 特集 ) 11 LE のトポロジ 出典 : https://letsencrypt.org/certificates/

May 30, 2016 http2study#8(ca 特集 ) 12 LE ルートの登録申請 2015-06 ルート CA 構築 2015-09 WebTrust for CA 監査合格 2016-04 Public Discussion 開始 出典 : https://bugzilla.mozilla.org/show_bug.cgi?id=1204656

May 30, 2016 http2study#8(ca 特集 ) 13 3) CA 信頼できない問題 何を以って信頼するのか? 第三者評価 ブランド 継続性 中立性 インセンティブ DigiNotar 事件 (2011.08.29) オランダ政府の認定認証局 && EV 認証局も運用 誰が予想できたか? 情報の非対称化 リスク判断の材料はあるのか 例 ) 年間失効率 監査是正件数 セキュリティ評価 etc.

May 30, 2016 http2study#8(ca 特集 ) 14 Trust Control としての監査の限界? スケーラビリティ 全世界で 400 超のルート認証局 多いと見るか少ないと見るか TP の増加 多様化にどう対応すべきか IdP だけでもルートよりも遥かに多くなる レイヤ化? 監査の効率化? 監査人の育成? 透明性 現状の保証報告書ではトラストの 程度 は計れない 1bit の情報を拡大解釈するのは非合理を越えて 無理 何が開示可能で何が困難か 普遍的アプローチは確立できるのか ビジネスモデルの矛盾 認定対象 (TP) からの監査業務委託 監査コスト負担のインセンティブ

May 30, 2016 http2study#8(ca 特集 ) 15 認証局への不正侵入と証明書の不正発行 登録局 (RA) のソフトウェアの脆弱性を突いた不正発行 2011 年 3 月 Comodo は RA の Windows アプリの脆弱性を突かれた 2011 年 8 月 DigiNotar も同様に RA への攻撃から CA まで侵入され大量の不正発行 運用のオペミス等による不正発行 2013 年 1 月 TURKTRUST がアプライアンスサーバに 中間 CA 証明書を誤発行 2011 年 11 月 マレーシア Digicert Sdn で 512bit RSA 鍵に誤発行 2015 年 3 月 Comodo はドメイン管理者と誤解して *.lve.fi を発行 事業者による恣意的な不正発行 2015 年 3 月 CNNIC 傘下のMCS Holdingsが *.google.comなどの 証明書を不正発行 NPO 日本ネットワークセキュリティ協会 PKI Day 2015 SSL/TLS 生誕 20 周年 脆弱性と対策を振返る 富士ゼロックス ( 株 ) 漆嶌賢二, CISSP

May 30, 2016 http2study#8(ca 特集 ) 16 運用監査はトラストを与えないのか? 厳格な運用監査で信頼性 (Trustworthiness) を担保していたのでは? 確率論で言えば必ずしも監査の責任とは言い難い とは言え改善の余地がないわけでもない 専門家はわかってたんじゃないの? 保証報告書以上の内容は監査人しか得られない 保証報告書ではおよそ 準拠している としか書かれていない

May 30, 2016 http2study#8(ca 特集 ) 17 トラストコントロールの選択肢 より適切な監査手法の模索 既存監査方式や議論の調査 レピュテーション 観測可能な情報にもとづく複数の評価者による社会評価 評価者の信頼性 観測可能な情報の真正性 トラストメトリクスの提案 トラストの評価に資する指標を確立する 工学的アプローチの可能性

May 30, 2016 http2study#8(ca 特集 ) 18 参考資料 認証局を実際に運用するには http://www.nii.ac.jp/hrd/ja/joho-karuizawa/h20/txt5.pdf I-D: Problems with the PKI for the WWW https://tools.ietf.org/html/draft-iab-web-pki-problems I-D: Trust models of the Web PKI (expired) https://tools.ietf.org/html/draft-ietf-wpkops-trustmodel トラストアンカーを巡る課題と最新動向 ~ インターネットの信頼の起点として ~ http://www.jnsa.org/seminar/pki-day/2014/data/am03_shimaoka.pdf PKI Day 2012 午後の部 PKI への攻撃とその対応 http://www.jnsa.org/seminar/pki-day/2012/ トラスト ~ 情報システムと社会の一接点 ~ http://researchmap.jp/mu5epxjuo-8097/#_8097

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック