IETF インターネットセキュリティに関する情報収集の報告のトップページ

最終更新日:2001年12月27日


52nd IETF ミーティング(ソルトレイク)

インターネットセキュリティ関連情報収集の報告

 2001年12月25日
セキュリティセンター
isec-info@ipa.go.jp

Open 総会(Plenary)

今回の参加者は、アメリカ、日本、イギリス、フランス、韓国、ドイツをはじめとして 29ヶ国 1,804名と同時テロの影響で前回(45ヶ国2457名)の約3/4であった。

Open Security Area Directorate Meeting(saag)/Jeffrey I. Schiller(MIT)

今回開催の WG/BOF は次の通り(開催順):

TLS-Transport Layer Security WG とXML Digital Signatures WGは、今回特に新しい議題がなかったため開催されなかった。


Public-Key Infrastructure (X.509) WG

CHAIRS: Stephen Kent <kent@bbn.com>, Tim Polk <tim.polk@nist.gov>

PKIX-WGの活動状況/Tim Polk (NIST, US)

現在のインターネットドラフト数は24。現在、活発に議論されているドラフトは次の通り。:

注: CMC とは、CMS 上の証明書管理メッセージ(Certificate Management Messages over CMS)である。また CMS とは、Cryptographic Message Syntax [RFC 2630] である。

最後の"Logotypes in X.509 certificates"については、技術的ではなくマーケットのテーマであるとの意見により、今回ミーティングにおける検討からは外れたようである。

他の新しい提案:

証明書相互運用可能性マトリクス(Certificate Interoperability Matrix)/Jim Schaad

new-part1(son of 2459)には全体で、188の MUST Statements、35の SHOUD Statements、50の MAY Statements がある。

Cert: 25 のMUST Statements、26の SHOUD Statements。

CRL2: 35の MUST Statements、5の SHOUD Statements。

pkix-pkalgs(Algorithms and Identifiers)には、31の MUST Statements、11の MAY Statements、 3の MUST NOT Statements がある。

この活動に NIST が協力することになり、近々Matrixなどを公開予定とのこと。協力できる方は是非 Jim か Tim に連絡してほしいとのこと。

証明書パス実装検証の教訓(Implementation Cert path validation Lesson Learn)/ Steve Hanna (Sun microsystems)

PKIの証明書パスの実装結果についての報告がSunの研究者よりあった。Son of 2459には証明書関連の拡張が18もあり、大変複雑である。証明書パスの構築に際しては、特にName Constraintsが重要である。また、Loopは避けて、self-signed 証明書も無視したほうがよいとの説明だった。
詳しくは「Building Certification Paths: Forward vs. Reverse」を参照。:http://www.isoc.org/isoc/conferences/ndss/01/2001/papers/elley.pdf

DPV&DPD-REQ/ Denis Pinkas (Integris)

インターネットドラフト: draft-ietf-pkix-dpv-dpd-req-00.txt

レスポンスのタイプ

DPV:

1) 証明書が正当 2)証明書が不正 3) 判断ができない

DPD:

1) 証明書パスが見つかった  2) 現時点では失効がなく証明書パスが見つかった 3) 証明書パスが見つからない

検証ポリシーの情報

DPV: 1) 証明書チェーン要件 2) 失効要件 3) エンドエンティティ特定要件 4) cautionary 期間要件

DPD: 1) 証明書チェーン要件 2) 失効要件 3)  エンドエンティティ特定要件

cautionary 期間

1) エンドエンティで秘密鍵が破られたことに気づく時間
2) 認証局(revocation Authority)が失効情報を更新する時間
3) 認証局(revocation Authority)が関連部門に通知する時間

OCSP serviceの場合は, 1) 2) full CRLsの場合は1) 2) 3) の時間に相当するとのこと。今後の本WGでプロトコルなどについてコンセンサスをとることになる。

Simple Certificate Validation Protocol (SCVP)/ Russ Housley(RSA Lab)

インターネットドラフト: draft-ietf-pkix-scvp-06.txt

今回はpolicy identifierやDPV&DPD-REQの追加など細かな更新のみ。本ドラフトの課題としては、次の通り。:

DSV-REQ/ Denis Pinkas(Integris)

証明書有効性検証サーバーの利用形態として、3パターンを想定している。:

1) DSV からのauthenticated answer
2) DSV からのsigned answer 後日証明するため
3) 追加的データを必要とする場合

回答(response)は4パターンを想定している。:

1) 署名が正しい(署名ポリシーに基づく)
2) 署名が不正(署名ポリシーに基づく)
3) 現時点では署名が正しいか判明しないが、後に正しいと証明できるもの
4) 正当性が判断できない

署名ポリシィは4つ要件から構成される。:

1. 証明書チェーン要件
2. 失効要件
3. エンド証明書特定要件
4. タイムスタンプ要件 または タイムマーキング要件

追加的公開鍵アルゴリズム(Supplemental Public Key Algorithms)/ Ari Singer (Ntru)

インターネットドラフト: draft-ietf-pkix-ipki-pkalgs-01.txt

本ドラフトは、draft-ietf-pkix-ipki-pkalgs-03.txt [PKIX-ALGS]と同様に PKI で利用する暗号アルゴリズムに関するものである。

追加候補: SHA-1, SHA-256, SHA-384, SHA-512 の NSS 署名アルゴリズム。

今後、DSAの拡張版を含んだドキュメントを提案予定とのこと。NTRU暗号( NTRU Encryption Scheme (NTRU)とNTRU Signature Scheme (NSS) )は、CEES(Consortium for Efficient Embedded Security)では標準とされているとのこと。

参考: CEES (Consortium for Efficient Embedded Security): http://www.ceesstandards.org/

LDAP v3 schema/ Chadwick(University of Salford)

特に変更はないが、LDAPv2 RFC を historic文書にする方向で検討が進んでいる。

LDAP schema/ Chadwick(University of Salford)

PKI(X.509 Public Key Infrastructures)とPMI(Privilege Management Infrastructures)をサポートするスキームを定義するドラフト課題としては以下の内容がある。:

PMI 記述部分は、今回のmeetingで分離することになった。
X509のattribute certificateの不整合


Copyright © 2001 Information-technology Promotion Agency, Japan. All rights reserved.