WIDE プロジェクトにおける認証実
験の実施状況
moCA WG における認証実験
WIDE プロジェクト
木村 泰司
WIDE プロジェクトについて
• WIDE (Widely Integrated Distributed
Environments)
– 広域分散環境に関する研究を行っているプロ
ジェクト
– 代表:村井 純 教授(慶応義塾大学)
• moCA (members oriented CA)
– CA の運用技術の研究を行っているワーキング
グループ
2
実験の目的
• 運用実験に基づくケーススタディを得ること
– 証明書の発行手続きといった運用に関するノウ
ハウを得ること。
– 機能確認やパフォーマンス測定ではない。
3
実験の想定
• メンバー専用 Web ページを設け、個人認証
に基づいたアクセス制御を行う。
• アクセス制御のために、CA を運用。
4
実験の内容
• 証明書発行手続きに着目した実験
(1998.03)
– 本人確認と証明書の発行
• 個人証明書/CA証明書の更新実験
(1998.06)
– 有効期限の延長
• CA系列移動実験(1998.09)
– ICAT CA から WIDE ROOT CA への移動
• ルートCAの鍵変更実験(1998.10)
– CA 管理者間の連絡とアナウンス時間の計測
5
証明書発行手続きに関する実験
(1997.03 - 1998.03)
• 以下を考慮した最適な手続きの提案と実証
– アプリケーションが求めるセキュリティレベル
今回は、メンバ限定のWeb情報提供サービス
– WIDE Project という組織の構造
• 既存のツールを組み合わせた実験による機
能限界と問題点の明確化
ICAP, Apache, SSLeay, Netscape ブラウザ
6
WIDE メンバー と WIDE合宿
• ボード
– Project 全体の運用にあたっており、メンバーの
加入・脱退を承認する。
• WIDE 合宿
– 一年に二回行われる合宿形式の研究会。
– メンバーが一同に会する。
– 合宿情報(メンバー限定情報)が提供される。
7
実験の形態
• メンバーが一同に集まる合宿で実施
– 230名程度の利用を想定
• 実験期間
– 1997年度9月の合宿の前後三ヶ月
– 1998年度3,9月の合宿の前後三ヶ月
• 1998年度9月の実験では個人証明書に関する実験
は行わず。
8
実験環境の構成図
ICAT
IPRA
moCA 証明書
ユーザ
証明書
サーバ
証明書
ブラウザ
WIDE moCA
CA に
ICAP使用
HTTPS
アクセス制御
クライアントホスト
WWW サーバホスト
9
証明書発行に関する
各実験の詳細と結果
1. 本人確認手続き
2. 証明書発行手続き
3. ツールの評価
10
本人確認手続き
• 事前に本人と会って確認
– 本人とボードと CA オペレータが面会
• 暗号メールを用いた確認
– メンバーがボードに個人情報を渡す
– ボードは CA オペレータに PGP で送信
• 合宿当日に本人と会って確認
– 本人と CA オペレータが面会
11
本人確認手続きの内訳
• 確認手続きで取られた方法の割合
26%
事前に会って確認
当日に会って確認
メールによる確認
取得せず
56%
13%
5%
1997/9
全体410名
12
本人確認手続きの状況
• ボードが立ち会うことができない場合が多
かった。
– 代理のボードを通じたメンバーの確認
• 暗号メールを用いた確認手続きが少なかっ
た。
– メンバーがボードに個人情報(パスワード)を渡
す方法が明確でなかった。
13
本人確認手続きからわかった事
• 短期間での確認手続きが困難であった要因
– メンバー同士で会う機会が少ない。
• メンバーが物理的にも所属組織的にも分散している。
– メンバー登録と同じ作業をもう一度行う必要があ
る。
• メンバー証といったものがない。
メンバー登録手続きと連動することができれば確
認手続きは比較的容易になると考えられる。
14
証明書発行に関する
各実験の詳細と結果
1. 本人確認手続き
2. 証明書発行手続き
3. ツールの評価
15
証明書発行手続き
証明書発行手続き
I. 本人確認
II. 証明書発行用アカウントの取得
III. 証明書発行用アカウントを用いた証明書発行
• Web ブラウザで鍵を作成する必要がある。
• しかし、本人確認の場ではブラウザが利用できな
いことが多い。
→ 証明書発行用アカウントを利用(のちにパスワード
のみに)
16
証明書発行状況
• アカウント保持者の証明書発行の割合
29%
発行した
発行せず
71%
1997/9
全体180名
17
証明書発行手続きからわかったこと
• パスワードが複数あったため混乱した。
– ブラウザでの秘密鍵保護の為のパスワード
– 証明書発行用アカウントのパスワード
→ インターフェースもしくは発行用アカウントの見
直しが必要。
• 証明書のブラウザへの組み込み時の混乱
– 証明書の仕組みが理解されていない。
– 正常に組み込まれたかどうかわかりにくい。
→ わかりやすいガイドが必要であるとの指摘。
18
証明書利用状況
• メンバーひとりに複数の証明書を発行
– ブラウザやOSのバージョンアップ。
– 利用する証明書の選択が必要。
• IPRA の証明書の更新
– 実験期間中(9/15)に有効期限が切れた。
– CA は異なる組織で運用しているため、連絡を
密にとる必要がある。
19
証明書発行に関する
各実験の詳細と結果
1. 本人確認手続き
2. 証明書発行手続き
3. ツールの評価
20
ツールの評価
~ ICAP ~
• ユーザインターフェースの変更が必要
• 秘密鍵の管理方法の改善が必要
• 証明書の設定項目が不十分
→ ICAP2.0 で改善された。
21
ツールの評価
~ WWW サーバ ~
• Subject(DN)を多数記述するのが困難
– Subject に正規表現を使えるようにした。
• Subject の識別だけでは危険
– Issuer との組によるアクセス制御が望ましい。
• CRL チェックの動作を確認した。
22
ツールの評価
~ ブラウザ ~
• 複数の証明書を選択する機能に不具合
– クライアントは認証の違いに応じて、異なる CA
によって発行された証明書を提示する必要があ
る。
しかし、この機能を利用すると強制終了すること
があった。
現在のバージョンではこの不具合は修正され
ている。
23
個人証明書/CA証明書の更新実験
(1998.06)
• CA証明書の有効期限の延長
– 個人の秘密鍵を変えずに証明書の有効期限の
みを変更。
Netscape ブラウザの証明書DB更新機能を試用。
• CA証明書の更新作業
– 06/02 Certification Request 発行・CA証明書再
署名・ユーザ向けガイド作成
– 06/08 ユーザへアナウンス、ユーザ証明書再証
明開始
24
CA 系列移動実験(1998.09)
• 上位 CA の変更
– moCA の上位 CA を IPRA 系列(ICAT系列)から
WIDE 系列に変更。
– 新たに WIDE ROOT CA を立ち上げる。
実験前
IPRA
実験後
WIDE ROOT CA
ICAT
moCA
moCA
25
ルート CA 鍵変更実験(1998.10)
• ルート CA の鍵を変更する場合を想定
– CA 証明書の有効期限まで1ヶ月を切った機会
を利用
• 鍵変更発生からユーザにアナウンスが行わ
れるまでの時間の計測が目的
WIDE ROOT CA
moCA
26
まとめ
• WIDE プロジェクトにおける認証実験
– 実験の目標・仕組みの説明
– 実験から得られたノウハウ
→ ICAP2.0 に反映された。
→ CA 運用のための知識としてまとめてゆく。
WIDE moCA ホームページ
http://moca.wide.ad.jp/
27
28
証明書発行画面
29
今後のスケジュール(WIDE moCA
WG 概要ページより)
• 1998/4~6 SOIのシステムにCAを導入する
ための詳細検討 と実験実験の履歴
• 1998/7~8 WIDE内研究プロジェクト向けCA
運用ガイド作成
• 1998/9~ SOIのシステムをCAベースにする
ための設計検討
• 1998/4~1998/3 WIDE外のプロジェクトを含
めた CA間実験、CAアプリケーション調査
(S/MIME等)
30
実験環境の構成技術
• SSL と X.509
– https
– 盗聴・改竄+認証
• ICAP
– X.509 v1,3 証明書
– RSA・MyEllty 対応
– Web インターフェース
– ユーザ自身による発行
etc...
証明書に含まれるデータ
バージョン番号
シリアル番号
発行者名
証明書の有効期限
証明書の所有者
公開鍵・パラメータ
署名関連情報
署名本体
31
証明書の組み込み手順
証明書発行用アカウントを用いた方法
– SSL 対応ブラウザを利用して CA サーバにアク
セス
– 証明書発行メニューを実行し必要事項の記入。
ブラウザが暗号鍵を作成
– 証明書発行用アカウントとパスワードを用いて
証明書を発行、ブラウザに組み込む
32
ダウンロード

ICAT 最終成果発表会 発表資料 - WIDE Project Homepage