Download
1 / 18
180 likes | 305 Views
IETF æ´»å‹•å ±å‘Š. 櫻井三å 広域èªè¨¼æŠ€è¡“ç ”ç©¶ã‚¿ã‚¹ã‚¯ãƒ•ã‚©ãƒ¼ã‚¹ m-sakura@ccs.mt.nec.co.jp. IETF ã¨ã¯. Internet Engineering Task Force よりよã„インタãƒãƒƒãƒˆã‚¢ãƒ¼ã‚テクãƒãƒ£ã€ã‚¹ãƒ ーズãªã‚ªãƒšãƒ¬ãƒ¼ã‚·ãƒ§ãƒ³ã‚’目指ã™ã‚³ãƒŸãƒ¥ãƒ‹ãƒ†ã‚£ ボランティアベースã®æ´»å‹• インタãƒãƒƒãƒˆæ¨™æº– (RFC) 化活動ãŒä¸å¿ƒ 技術分野ã”ã¨ã®ã‚¨ãƒªã‚¢ã€ã‚¨ãƒªã‚¢å†…ã®ãƒ¯ãƒ¼ã‚ンググループå˜ä½ã§æ´»å‹• 普段ã®æ´»å‹•ã®å ´ã¯ ML 年3回オフラインミーティングを開催. IETF 内ã®ã‚¨ãƒªã‚¢. Apprication Area General Area
E N D
IETF 活動報告 櫻井三子 広域認証技術研究タスクフォース m-sakura@ccs.mt.nec.co.jp
IETFとは • Internet Engineering Task Force • よりよいインタネットアーキテクチャ、スムーズなオペレーションを目指すコミュニティ • ボランティアベースの活動 • インタネット標準(RFC)化活動が中心 • 技術分野ごとのエリア、エリア内のワーキンググループ単位で活動 • 普段の活動の場はML • 年3回オフラインミーティングを開催
IETF内のエリア • Apprication Area • General Area • Internet Area • Operations and Management Area • Routing Area • Security Area • Transport Area • User Service Area
セキュリティエリア • An Open Specification for Pretty Good Privacy (openpgp) • Authenticated Firewall Traversal (aft) • Common Authentication Technology (cat) • Domain Name System Security (dnssec) • IP Security Protocol (ipsec) • One Time Password Authentication (otp) • Public-Key Infrastructure (X.509) (pkix) • S/MIME Mail Security (smime) • Secure Shell (secsh) • Simple Public Key Infrastructure (spki) • Transport Layer Security (tls) • Web Transaction Security (wts)
41th IETFミーティング • 米国ロサンゼルスにて開催 • 期間:3/30(月) ~ 4/3(水) • 参加者は事前登録者だけで1,000人程度 • 日本からは100人程度 • ワーキンググループ毎のセッション • 1時間~2時間半/セッション • Internet-Drafts を叩き台にした議論が中心 • セキュリティエリアのセッションは、9ワーキンググループ
41th IETFにおけるセキュリティエリアのセッション セキュリティ応用系 openpgp smime tls ipsec cat spki pkix otp cidf セキュリティインフラ系
セキュリティエリア全体の動向 • 楕円曲線暗号の利用 PKIX, TLS, IPsec • パテント問題の回避 S/MIME, TLS ---- RSA, DSA/DH • CAを前提とする PKI技術検討がホット PKIを提供する側と利用する側との意見交換 PKIX & IPsec , PKIX & S/MIME
PKIXセッション概要 • WG発足して2年半、未だRFC化に至らず • 各方面から早く RFCにして欲しいとの要望 • Patent 問題を回避し、I-D を細分化 • CAのインフラに関連したプロトコルのレビュー • Certificate Management Message Format • Certificate Request Message Format • LDAP v2 ,v3 と PKIX
PKIXセッション概要(Cont.) • CA関連プロトコルのレビュー • OCSP Online Certificate Status protocol • Time Stamp Protocol • IPsec PKI Requirements • 証明書の有効性を確認するプロセスに関してはまだ意見がまとまっていない状況 特に CA が正しいかどうかを判定するプロセス
CAインフラ(PKIX) CA End Entity Management transactions Management transactions Operational transactions /Management transactions RA CA Cert publish Cert, CRL Publish Cert / CRL Repository
IETF活動とICAT • ICATの成果を I-D として提案 draft-kikuchi-web-cert-repository-00.txt (1997.4, Memphis) • ICATの検討内容を PKIX WG chairに持ちより意見を交換 proposal-icat-short-key-cert-00.txt (1997.8, Munich)
CA CAの機能構成(ICAT版) 本人確認のための データ RA IA CRL 証明書 PA VA CRL 証明書 CRL Cert Request Cert / CRL Retrieval Cert Verification Request End Entity
CAの機能構成(ICAT版) • Registration Authority 証明書を発行してよいかどうかを判断する機能 • Issuing Authority 証明書に署名をする機能 • Publishing Authority 証明書を配布する機能 • Validation Authority 個々の証明書の有効性を判定する機能
draft-kikuchi-web-cert-repository • HTTPベースのCA Management Protocolを提案 • PA間についてはCA階層を利用した2つの通信方式を提案 • ICAP 2.x では改良を加え実装し、実験中 PA PA 1 1 2 2 target target PA PA PA 3 4 3 PA 4
proposal-icat-short-key-cert • 現在のX.509 形式証明書の典型的な署名方式は楕円曲線暗号のように鍵長が短い場合には適用できない問題を指摘 • ICAT 独自の署名方式を提案 • ICAP/PEPOP では提案方式を実装
X.509証明書の典型的署名方式 バージョン番号 シリアル番号 md2WithRSAEncryption の場合300bit程度 発行者名 ハッシュ 関数 B E R 符 号 有効期間 ユーザID + ユーザIDの公開鍵、 および関連する情報 ハッシュ関数 識別子 署名 関数 署名に関する情報 楕円曲線暗号の 鍵長は160bit 拡張フィールド 署名
ICATによる提案方式 バージョン番号 シリアル番号 発行者名 ハッシュ 関数 B E R 符 号 有効期間 ハッシュ 関数 ユーザID + ユーザIDの公開鍵、 および関連する情報 ハッシュ関数 識別子 署名に関する情報 署名 関数 拡張フィールド 署名
まとめ • IETF 動向と ICAT 活動との関連 • 楕円曲線暗号の利用に関してはやや先行!? • 今後も ICAT の成果を IETF に展開する予定 • その他の暗号・認証関連動向にも着目 • Mozilla 5.0 のソースコード公開 → ICAT 暗号の組み込み!?
