IETF インターネットセキュリティに関する情報収集の報告のトップページ

最終更新日：2001年12月27日

52nd IETF ミーティング（ソルトレイク）

インターネットセキュリティ関連情報収集の報告

 2001年12月25日
セキュリティセンター
isec-info@ipa.go.jp

Open 総会（Plenary）

今回の参加者は、アメリカ、日本、イギリス、フランス、韓国、ドイツをはじめとして 29ヶ国 1,804名と同時テロの影響で前回(45ヶ国2457名)の約3/4であった。

Open Security Area Directorate Meeting（saag）／Jeffrey I. Schiller（MIT）

今回開催の WG/BOF は次の通り(開催順)：

• KINK - Kerberized Internet Negotiation of Keys WG

• SECSH- Secure Shell

• IPSP - IP Security Policy WG

• PKIX - Public-Key Infrastructure (X.509) WG

• SACRED - Securely Available Credentials WG

• SMIME - S/MIME Mail Security WG

• IPSEC - IP Security Protocol

• KRB - Kerberos WG

• IDWG-Intrusion Detection Exchange Format WG

• MSEC - Multicast Security WG

• NMSEC- Security Requirements for Management Protocols BOF

• INCH Extended Incident Handling BOF

TLS-Transport Layer Security WG とXML Digital Signatures WGは、今回特に新しい議題がなかったため開催されなかった。

Public-Key Infrastructure (X.509) WG

CHAIRS: Stephen Kent <kent@bbn.com>, Tim Polk <tim.polk@nist.gov>

PKIX-WGの活動状況/Tim Polk (NIST, US)

現在のインターネットドラフト数は24。現在、活発に議論されているドラフトは次の通り。：

注： CMC とは、CMS 上の証明書管理メッセージ（Certificate Management Messages over CMS）である。また CMS とは、Cryptographic Message Syntax [RFC 2630] である。

• Delegated Path Validation and Delegated Path Discovery Protocols

• CMC Transport

• CMC Extensions: Server Side Key Generation and Key Archival

• CMC Compliance Document

• Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv3

• Internet X.509 Public Key Infrastructure LDAP Schema and Syntaxes for PKIs and PMIs

• Logotypes in X.509 certificates

最後の"Logotypes in X.509 certificates"については、技術的ではなくマーケットのテーマであるとの意見により、今回ミーティングにおける検討からは外れたようである。

他の新しい提案：

• 署名検証専用プロトコル要件
  Delegated Signature Validation Protocol Requirements (DSV-REQ)
  <draft-ietf-pkix-dsv-req-00.txt>

• 証明書と CRL プロファイル用の追加的アルゴリズムと識別子
  Supplemental Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and CRL Profile
  <draft-ietf-pkix-pkalgs-supp-00.txt>

• 運用プロトコル：HTTP による証明書ストアアクセス
  Internet X.509 Public Key Infrastructure Operational Protocols: Certificate Store Access via HTTP
  < draft-ietf-pkix-certstore-http-00.txt>

証明書相互運用可能性マトリクス（Certificate Interoperability Matrix）/Jim Schaad

new-part1(son of 2459)には全体で、188の MUST Statements、35の SHOUD Statements、50の MAY Statements がある。

Cert： 25 のMUST Statements、26の SHOUD Statements。

CRL2： 35の MUST Statements、5の SHOUD Statements。

pkix-pkalgs(Algorithms and Identifiers)には、31の MUST Statements、11の MAY Statements、 3の MUST NOT Statements がある。

この活動に NIST が協力することになり、近々Matrixなどを公開予定とのこと。協力できる方は是非 Jim か Tim に連絡してほしいとのこと。

証明書パス実装検証の教訓（Implementation Cert path validation Lesson Learn）/ Steve Hanna (Sun microsystems)

PKIの証明書パスの実装結果についての報告がSunの研究者よりあった。Son of 2459には証明書関連の拡張が18もあり、大変複雑である。証明書パスの構築に際しては、特にName Constraintsが重要である。また、Loopは避けて、self-signed 証明書も無視したほうがよいとの説明だった。
詳しくは「Building Certification Paths: Forward vs. Reverse」を参照。：http://www.isoc.org/isoc/conferences/ndss/01/2001/papers/elley.pdf

DPV&DPD-REQ/ Denis Pinkas (Integris)

インターネットドラフト： draft-ietf-pkix-dpv-dpd-req-00.txt

レスポンスのタイプ

DPV：

1) 証明書が正当 2)証明書が不正 3) 判断ができない

DPD：

1) 証明書パスが見つかった　 2) 現時点では失効がなく証明書パスが見つかった 3) 証明書パスが見つからない

検証ポリシーの情報

DPV： 1) 証明書チェーン要件 2) 失効要件 3) エンドエンティティ特定要件 4) cautionary 期間要件

DPD： 1) 証明書チェーン要件 2) 失効要件 3)  エンドエンティティ特定要件

cautionary 期間

1) エンドエンティで秘密鍵が破られたことに気づく時間
2) 認証局(revocation Authority)が失効情報を更新する時間
3) 認証局(revocation Authority)が関連部門に通知する時間

OCSP serviceの場合は, 1) 2) full CRLsの場合は1) 2) 3) の時間に相当するとのこと。今後の本WGでプロトコルなどについてコンセンサスをとることになる。

Simple Certificate Validation Protocol (SCVP)/ Russ Housley(RSA Lab)

インターネットドラフト： draft-ietf-pkix-scvp-06.txt

今回はpolicy identifierやDPV&DPD-REQの追加など細かな更新のみ。本ドラフトの課題としては、次の通り。：

• SCVP 拡張部分を明記して、SCVPサーバーの対応を明確にする。

• 証明書URLの扱いをどうするか？

• Is there any value to an "unvalidated path"?

• 明書の有効性検証もサポートすべきどうか？

• HMACやSSLを利用した回答(response)方法をサポートするかどうか？

DSV-REQ/ Denis Pinkas(Integris)

証明書有効性検証サーバーの利用形態として、3パターンを想定している。：

1) DSV からのauthenticated answer
2) DSV からのsigned answer 後日証明するため
3) 追加的データを必要とする場合

回答(response)は4パターンを想定している。：

1) 署名が正しい(署名ポリシーに基づく)
2) 署名が不正(署名ポリシーに基づく)
3) 現時点では署名が正しいか判明しないが、後に正しいと証明できるもの
4) 正当性が判断できない

署名ポリシィは4つ要件から構成される。：

1. 証明書チェーン要件
2. 失効要件
3. エンド証明書特定要件
4. タイムスタンプ要件 または タイムマーキング要件

追加的公開鍵アルゴリズム（Supplemental Public Key Algorithms）/ Ari Singer (Ntru)

インターネットドラフト： draft-ietf-pkix-ipki-pkalgs-01.txt

本ドラフトは、draft-ietf-pkix-ipki-pkalgs-03.txt [PKIX-ALGS]と同様に PKI で利用する暗号アルゴリズムに関するものである。

追加候補： SHA-1, SHA-256, SHA-384, SHA-512 の NSS 署名アルゴリズム。

今後、DSAの拡張版を含んだドキュメントを提案予定とのこと。NTRU暗号( NTRU Encryption Scheme (NTRU)とNTRU Signature Scheme (NSS) )は、CEES（Consortium for Efficient Embedded Security）では標準とされているとのこと。

参考： CEES （Consortium for Efficient Embedded Security）： http://www.ceesstandards.org/

LDAP v3 schema/ Chadwick(University of Salford)

特に変更はないが、LDAPv2 RFC を historic文書にする方向で検討が進んでいる。

LDAP schema/ Chadwick(University of Salford)

PKI(X.509 Public Key Infrastructures)とPMI(Privilege Management Infrastructures)をサポートするスキームを定義するドラフト課題としては以下の内容がある。：

• S/MIME の証明書もサポートするかどうか？

• LDAP v2 に関する記述を残すかどうか？

• PMI 記述部分を分離するかどうか？

PMI 記述部分は、今回のmeetingで分離することになった。
X509のattribute certificateの不整合

Copyright © 2001 Information-technology Promotion Agency, Japan. All rights reserved.