HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2009 年下期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2009 年下期)

1 第76回IETF参加報告

木村 泰司

1. 7年ぶりの日本開催

  2009年11月、広島市のANAクラウンプラザホテルで第76回IETFミーティングが開催された。日本で開催されるのは2回目で、前回の2002年7月横浜開催以来、7年ぶりとなる。参加登録者数はプレナリーでの発表時点(11月10日)で1,106名、そのうちの日本からの参加者の割合は34%で、米国の27%を抜いて1位であった。参加人数の他にも、IPv6の研究開発や標準化活動などで知られる萩野純一郎氏にちなんで設立されたItojun Service Awardの初の授賞式が行われたことや、インターネットへの接続が広帯域でかつ大変安定しており好評であったこと、そして参加者メーリングリストでの決め細やかな対応など、日本における開催という意味で、印象深いIETFミーティングであった。
  本節では、第76回IETFミーティングのセキュリティエリアのWGの動向をまとめる。

図 1 広島で開催された第76回IETFミーティング


2. セキュリティエリアWGの動向

2.1. PKIX WG(Public-Key Infrastructure (X.509))

  PKIX WGは、インターネットにおけるX.509ベースのPKIについて策定を行うことを目的として、1995年に設置されたWGである。近年のPKIX WGでは、PKIX WGで扱っているプロトコルの暗号アルゴリズムの代替可能性(Algorithm Agility)の確保やトラストアンカーの証明書管理(Trust Anchor Management)の仕組みの確立といった課題がある。しかしWGにおいてはアクティブなのは、古参のメンバーが多く、チェアのStephen Santesson氏を含め、ベテランの参加者がI-Dの作成に取り組んでいるという状況がある。
  前回の第76回IETF以降から広島のPKIX WGミーティング(2009年11月)までの間に、以下のドキュメントがRFCとなった。


  ○RFCとなったドキュメント
 
  • Elliptic Curve Cryptography Subject Public Key Information (RFC 5480) [1]
    • 電子証明書に入るSubjectの公開鍵アルゴリズムとして、楕円曲線暗号を使えるようにするRFC。ECDSA(Elliptic Curve Digital Signature Algorithm)、ECDH(Elliptic Curve Diffie-Hellman)、ECMQV(Elliptic Curve Menezes-Qu-Vanstone)の3種類について定義されている。
  • Other Certificates Extension (RFC 5697) [2]
    • 同一のエンドエンティティに対する複数の電子証明書を、Relying Partyが識別できるようにするため、関連する電子証明書を結びつける識別子を格納できる拡張フィールドを定義したRFC。

  この他に、実装状況の報告によりRFC 5280をPS(Proposed Standard)からDS(Draft Standard)にするための”RFC 5280 Implementation Report”[3]がNIST(国立標準技術研究所)のTim Polk氏により報告された(検証作業はDavid Cooper氏)。NISTにおけるテストスイートであるPKITS(Public Key Interoperability Test Suites) [4]を用いて、PKIX WG MLで収集されたS/MIMEのメールを検証するなどの作業が行われた。今後、RFC5280の大きな変更は行わず、Errataに基づく修正のみでDS化の提案が行われる。

2.2. SIDR WG(Secure Inter-Domain Routing WG)

  SIDR WGは、RPSEC WGでまとめられたSecurity Requirementを踏まえ、インタードメイン・ルーティングにおけるセキュリティアーキテクチャの検討を行うWGである。このWGではRFCになったドキュメントはまだないが、第76回IETFの後、WG Last Callがかけられたドキュメントが現れてきた。


  ○WG Last Callがかけられたドキュメント
 
  • An Infrastructure to Support Secure Internet Routing [5]
    • セキュア・ルーティングを実現するためのアドレス資源の割り振り構造に従ったPKIの定義を行っているドキュメントである。後半にRPKI(Resource PKI)という用語が出てくる。
  • Certificate Policy (CP) for the Resource PKI (RPKI) [6]
    • RPKIのCP(証明書ポリシー)を定義したドキュメントである。

  後半にWGドキュメントになっていない、2つの話題について議論された。IPアドレスの割り振り/割り当てとROA発行の関係について様々なケースを列挙したTerry Manderson氏のドキュメント [7]とTrust Anchorの管理手法に関するStephen Kent氏の提案である。Stephen Kent氏の提案は、RPKIの実装において、ローカルにTrust Anchorとなる電子証明書を用意し、プライベートアドレス等も扱えるようにするものである。
  SIDR WGは、PKIX WGと同様にベテランの少数のメンバーが提案と議論を行っている状況であり、今後、より実現性の高めるために、ルーティングの技術者も議論に参加することが望まれている。

3. テクニカルプレナリー

  テクニカルプレナリーはIRTFの報告や、IETFミーティング参加者全体での技術的なトピックについて議論が行われる全体会議である。今回は、国際化ドメイン名に関する議論が行われた。台湾ではドメイン名の35.2%が、韓国ではドメイン名の13.7%がIDNとして登録されているようで、今後コード体系が多いことによる問題、例えばWebのセキュリティやあいまいさを避けるために、複数のコードを混在させるのではなく、UTF-8に限定するなどの対策が必要であるというプレゼンテーションがあった。この他に、.ARPAゾーンにおけるDNSSEC導入のスケジュールがIABのチェアから発表された。この発表によると2009年第4四半期に設定を開始し、2010年第2四半期に本番投入できるように計画を進めているとのことであった。

4. IEPGにみる2009年のインターネット運用に関するセキュリティ動向

  本稿はIETFミーティングの参加報告であるが、2009年度のインターネット運用のセキュリティに関わる出来事を振り返る意味でIEPG(Internet Engineering and Planning Group)ミーティングに触れておきたい。IEPGミーティングは、IETFミーティングの初日、IETFの受付が開始する前に行われるミーティングである。
  IEPGミーティングは、開催日程からしてIETFミーティング参加者を対象としたものであるが、ミーティングの趣旨はプロトコルの策定とは離れている。インターネット経路制御の実状や、IPアドレスとAS番号の管理業務を国際的に行っているRIR(Regional Internet Registry)の活動状況など、国際的なインターネットの運用に関する話題が多い。今回のIEPGミーティングのアジェンダの中でインターネットの運用上のセキュリティに関連するものを以下にまとめる。2009年のインターネット運用上のセキュリティの話題を少しずつ取り出して集めたようなアジェンダであった。


 
  • DNSSEC at the root, Joe Abley. ICANN
    • ルートゾーンを提供するルートDNSサーバにおいて、DNSSECを導入する計画の発表である。ICANN、米国商務省 電気通信情報局(NTIA)、VeriSign によるもので、2009年12月1日に署名が行われ、2010年1月から7月にかけて”Incremental roll out”(署名レコードの影響を考慮した段階的な提供)が行われる。2010年7月に完了する予定である。
  • RIPE Labs, Mirjam Kuehne, Robert Kisteleki. RIPE NCC
    • ヨーロッパ地域のRIRであるRIPE NCCで新たに設立されたRIPE Labsと呼ばれる研究グループの紹介である。RIPE Labsは、IPアドレスに関する登録情報とトラフィックデータを元にした、様々な分析ツールをWebで開発・公開していく活動グループである。
      2008年にあったYouTubeの経路ハイジャック事件以降、インターネット上のトラフィック状況などを世界地図にマッピングし、閲覧できるようにするプログラムの開発が進んできている。その活動のひとつとして捉えることができる。
  • Stateless and desperate, Geoff Huston. APNIC
    • DNSサーバにおけるTCPの通信負荷を下げられるかどうか、という観点でステートレスのTCPに関する考案である。結局、考案したステートレスTCPは大きな効果が得られないことがわかったが、DNSSECのようにTCPが使われることが想定されるDNSサーバにおいてTCPに工夫を凝らす着眼点として面白い。
  • FIB aggregation, Lixia Zhang. UCLA
    • インターネットに接続するBGPルータにおいて、経路表の増大が問題となっており、この発表は経路表を扱うデータ構造であるFIB(Forward Information Base)を集約(アグリゲート)し、メモリ消費量を減らすことについての考察である。一定の効果は見られるが、アグリゲートの処理をどのタイミングで行うか、といった課題がある。
  • OpenDNSSEC, Stephen Morris. Nominet UK
    • 様々なネームサーバ・ソフトウェアと組み合わせ、ネームサーバにおいてDNSSECを提供できるようにするオープン・ソフトウェアの紹介である。
  • Root scaling study report, Jaap Akkerhuis. NLNetLabs
    • DNSのルートゾーンにおけるDNSSECの導入に関する調査活動の中間報告である。国際化ドメイン名の導入やDNSSECの導入により、転送するデータが格段に増加するルートゾーンを提供するDNSサーバの要件等を調べることを目的としている。

以上

参考文献

[1] “Elliptic Curve Cryptography Subject Public Key Information” (RFC 5480)
http://www.ietf.org/rfc/rfc5480.txt
[2] “Other Certificates Extension” (RFC 5697)
http://www.ietf.org/rfc/rfc5697.txt
[3] “Implementation Report for the Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile RFC 5280”
[4] “Computer Security Division Computer Security Resource Center ? PKI Testing”
http://csrc.nist.gov/groups/ST/crypto_apps_infra/pki/pkitesting.html
[5] “An Infrastructure to Support Secure Internet Routing”, draft-ietf-sidr-arch-09.txt
http://tools.ietf.org/html/draft-ietf-sidr-arch-09
[6] “Certificate Policy (CP) for the Resource PKI (RPKI)”, draft-ietf-sidr-cp-08.txt
http://tools.ietf.org/html/draft-ietf-sidr-cp-08
[7] “Use Cases and interpretation of RPKI objects for issuers and relying parties”, draft-manderson-sidr-usecases-01
http://tools.ietf.org/id/draft-manderson-sidr-usecases-01.txt

 

目次へ 次へ