HOME情報セキュリティ資料・報告書・出版物インターネットセキュリティに関する RFC61st IETF ミーティング (ワシントン DC)インターネットセキュリティ関連情報収集の報告

本文を印刷する

情報セキュリティ

61st IETF ミーティング (ワシントン DC)インターネットセキュリティ関連情報収集の報告

最終更新日:2005年 1月26日

独立行政法人 情報処理推進機構
セキュリティセンター
電話番号:03-5978-7501までお問い合わせください。
情報セキュリティ技術ラボラトリー

概要

2004年11月 7日(日曜日)から12日(金曜日)まで、米国のワシントン DC において IETF ミーティングが開催された。総参加者数は、1,314名であったので、前回と比較して減少している。参加国数は、26ヶ国であった。(内訳: USA(53%)、日本(10%)、 大韓民国(5%)、ドイツ、フランス…)
主にセキュリティエリアの各セッションに参加したので、ここに報告する。

今回、開催されたセキュリティエリアの WG の一覧は、下記のとおり(時系列)。

11月 8日月曜日

  • Integrated Security Model for SNMP WG (isms) : 11月8日午前に開催された。
  • Common Authentication Technologies: Next Generation WG (kitten) : 11月 8日午後 II に開催された。
  • Multicast Security WG (msec) : 11 月8日夜に開催された。

11月 9日火曜日

11月10日水曜日

11月11日木曜日

セキュリティエリア以外の下記のセッションにも参加した。

Open Security Area Directorate WG (SAAG)

11月11日木曜日に開催された。(午後セッションII:15:30-17:00)

  1. このセッションは、セキュリティエリアの各WGの進捗報告を行う場である。
    検討課題:
    http://www1.ietf.org/proceedings_new/04nov/slides/saag-0/sld1.htm

     後述するように、これまで Secure shell WG 不活性状態にあったが、今回の会合においてセッションを開催したことによって、一定の進捗がみられた。

  2. 次に、招待講演を聴くのが慣例となっている。今回の講演者は、(IPA が、PKI 分野における「UTF8String 問題」について協働している)ポール・ホフマン氏と、米国 NSA(National Security Agency)の新しい暗号ライセンスの担当者(ジュン・スタサク氏)であった。

  3. その後は、「オープン・マイクロフォン」の時間として、自由に意見を述べあった。その中には、「セキュリティエリア以外のエリアが策定するセキュアでないプロトコルをどうしていくか?」という問題などがあった。
  4. その他:
    長年、セキュリティエリアの共同ディレクター(2名)のひとりを務めてきたスティーブ・ベロヴィン博士(AT&Tラボ)が引退することとなった。もうひとりのラス・ハウスリー氏は継続し、新たに全盲の超人:サム・ハートマン氏(MIT)が着任した。
    Security Area
    http://sec.ietf.org/

Public Key Infrastructure (X.509) WG (pkix)

チェア:

ステファン・ケント電話番号:03-5978-7501までお問い合わせください。 および ティム・ポーク 電話番号:03-5978-7501までお問い合わせください。

11月10日水曜日に開催された。(午後セッション I:13:00-15:00)

概況

 このWGについては、現存する案件を処理した後に終息させることが決定している。ただし、現存する案件と密接に絡む案件が提起された場合、扱う可能性があるとされている。

検討課題
http://www.ietf.org/proceedings/04aug/slides/pkix-0/index.html

今回の情報収集内容の要旨:

  • 現行仕様の核となっている"RFC 3280"の後継文書について、主導著者としてNISTのデビッド・クーパー氏が選任されていたことに加えて、デザインチームが結成された。指摘すべき事項を抱えている者は、11月19日までに、クーパー氏宛にメールで伝えなければならない。(我々の懸案の「UTF8String問題」も含まれるが送付済み。)この後継文書は、クリスマス・プレゼントとして、年末に発行予定である。
  • 新規案件として、「CRL署名者の証明書を発見するのにAIA(Authority Information Access)を使う」仕様が提起され、扱われることとなった。
  • 残案件のSCVP(Simple Certificate Validation Protocol)の仕様について、最近発行されたインターネット・ドラフトの16版は、前の15版から大きく変更されている。(実装を試みている者は、注意が必要である。)
LDAP PKI と PMI スキーマ
http://www.ietf.org/proceedings/04aug/slides/pkix-1/index.html
LDAP for PKI
http://www.ietf.org/proceedings/04aug/slides/pkix-2/index.html
UTF8String 問題(Matching Text Strings in PKIX Certificates)
http://www.ietf.org/proceedings/04aug/slides/pkix-3/index.html
RFC 3280 後継文書の状況
http://www.ietf.org/proceedings/04aug/slides/pkix-4/index.html
Subject Identification Method(チェアによる代理発表)
http://www.ietf.org/proceedings/04aug/slides/pkix-5/index.html
リエゾン : 
個人としてのインターネットドラフト : 
「インターネット X.509 PKI についてのユーザインターフェイス要件」
http://www.ietf.org/proceedings/04aug/slides/pkix-6/index.html
SCVP 状況(11月までにラストコール)
http://www.ietf.org/proceedings/04aug/slides/pkix-7/index.html
2つのバージョンが併存してしまっている状況。(v14 と v15 それぞれにサポートすべき機能が散って書かれてしまっている。)
OCSP in IKEv2
http://www.ietf.org/proceedings/04aug/slides/pkix-8/index.html

Easy-to-Use Certificates BOF (Easycert)

11月11日木曜日に開催された。(午後セッションI:13:00-15:00)

経緯

 前回の第60回IETFサンディエゴ会合のOpen Security Area Directoratにおいて、「PKI(と証明書)は難しくて広く使われていない!」問題が提起された。これに対応して、これについて「IETFは何ができるか?」を議論するメーリングリストが開設された。 これを踏まえて、異例のBOFセッションが開催された。エリア・ディレクターの両名が進行した。

  1. まず、PKIを構築し利用している3者の教訓をプレゼンテーションしていただいて、その後に議論した。プレゼンテーションしていただいたのは、MIT(マサチューセッツ工科大学)、ジョンソン・アンド・ジョンソン社および DoD(国防総省)である。
    "The MIT CA Experience"
    http://www1.ietf.org/proceedings_new/04nov/slides/easycert-0.pdf PDF形式
    "Johnson & Johnson’s Public Key Infrastructure"
    http://www1.ietf.org/proceedings_new/04nov/slides/easycert-1/sld1.htm
  2. 今回の結論 :
     IETFの進むべき特定の方向性は、見いだせなかった。プロトコルとして、必要な仕様は、揃っているようでもある。
     教訓から学ぶ成功要因は、PKIに参加する者の情報データベース(学生・社員・職員のもの)のような認証用の基盤を事前にきっちり作っておくことにあるようである。
     また、技術的には、各プロトコルは、それぞれに証明書を要求し、ユーザに複数の証明書をもたせる可能性がある状況になっている。現在の IETF には、これらをユーザに選択させる仕組みが欠けている。
     今回のBOFセッションの内容は、ベロヴィン博士が、(ボランティアのエリック・リスコラ氏とともに)Informational(情報提供)の RFC としてまとめあげ、発行されることになる。

Long-Term Archive and Notary Services WG (ltans)

Profiling Use of PKI in IPSEC WG (pki4ipsec)

議事録
http://www1.ietf.org/proceedings_new/04nov/minutes/pki4ipse.html
"Proposed PKI4IPSEC Certificate Management Requirements Document"
http://www1.ietf.org/proceedings_new/04nov/slides/pki4ipse-0/sld1.htm

(準備中)

Better-Than-Nothing Security BOF (btns)

チェア:

ジョー・タッチ助教授電話番号:03-5978-7501までお問い合わせください。

The University of Southern California's Information Sciences Institute (ISI)

概要説明:

 現行のIPsecプロトコルは、「all-or-nothing」のような選択になっている。既存のプロトコルは、可能性ある広範な脅威からの防護を提供するが、しばしば、配備されていない。
 その理由には、鍵管理インフラの必要性、設定の煩雑さ、性能への影響等がある。そこで、この提案されているWGは、既存のIPsecプロトコルに対して、事前の鍵共有や、鍵管理インフラストラクチャの必要性を低減して、性能を向上する、要件を緩和された拡張の仕様を策定する。これらの緩和された流派は、現行IPsec仕様と比べて、より弱いセキュリティ粒度しか提供しないが、限られた環境における利用のためには、十分であるはずである。(例 : 「中間者による攻撃」以外の経路外からの攻撃に対する防護は提供できるし、通信相手の身元について、裏書きする仕掛けは無くとも、コネクションそのものの防護は提供できる。)
 本件は、BCP(ベスト・カレント・プラクティス:要件、フレームワーク、設定)として、あるいは、スタンダードトラック文書(プロトコル仕様)として、標準化活動をしたい、という案件。BGPやDNSと併せて利用したい、という。

アプローチの詳細:

  • モード(認証を行うモードと匿名モード)を使い分けできるようにする。
  • ハッシュの対象を全体とするか、ヘッダーのみとするか、クッキーとするか、 使い分けできるようにする。
検討課題
http://www1.ietf.org/proceedings_new/04nov/slides/btns-0/sld1.htm
議事録
http://www1.ietf.org/proceedings_new/04nov/minutes/btns.html

IKEv2 Mobility and Multihoming WG (mobike)

検討課題
http://www1.ietf.org/proceedings_new/04nov/slides/mobike-0/sld1.htm
Introduction to multihoming, address selection, failure detection, and recovery
http://www1.ietf.org/proceedings_new/04nov/slides/mobike-1/sld1.htm
MOBIKE division of work
http://www1.ietf.org/proceedings_new/04nov/slides/mobike-2/sld1.htm

(準備中)

Secure Shell WG (secsh)

1年ぶりのセッション開催。この遅延は、著者の多忙と、IETFの知的財産権を規定していた RFC2026 から RFC3667/3668 への切り替えが、円滑に進まなかったことによる。

検討課題
http://www1.ietf.org/proceedings_new/04nov/slides/secsh-0.pdf PDF形式
SecSH WG Core IDs
http://www1.ietf.org/proceedings_new/04nov/slides/secsh-1.pdf PDF形式

Simple Authentication and Security Layer WG (sasl)

draft-ietf-sasl-rfc2222bis (SASL 基本仕様後継)
Jabber を使って検討された。
「身元(identity)の用語法」について: 熟していない。
「鍵再生成(Rekeying)」について: 整合性確保を要する。

draft-ietf-sasl-rfc2831bis(DIGEST-MD5)
Jabber を使って検討された。
あまりレビューされていないので、更なるレビューを要するとされた。

draft-ietf-sasl-gssapi-01(GSSAPI メカニズム)
あまりレビューされていないので、更なるレビューを要するとされた。

draft-ietf-sasl-crammd5(CRAM-MD5)
あまりレビューされていないので、更なるレビューを要するとされた。

このセッションを最後に共同チェアのひとりである Sam Hartman が辞した。

Kerberos WG (krbwg)

inch (Extended Incident Handling WG)

Operational Security Capabilities for IP Network Infrastructure WG (opsec)

今回の会合から正式に WG としてセッションが開催された。

検討課題

WG の憲章 : WG の作業範囲(Pat Cain)

フレームワーク文書(George Jones)

関連標準のサーベイ(Chris Lonvick)

サービスプロバイダーのセキュリティ実践のサーベイ(Merike Kaeo)
(Security Best Practices Efforts and Documents)
http://www1.ietf.org/proceedings_new/04nov/slides/opsec-1.pdf PDF形式

参考情報

「第61回IETF報告」,
JPNIC News & Views vol.222【臨時号】2004.12.8
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2004/vol222.html