自堕落な技術者の日記

基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通

JNSA

(小ネタ)4月10日(金)のJNSA PKI Day 2015でSSL/TLSの話をさせてもらいます

毎年恒例、日本ネットワークセキュリティ協会(JNSA)の主催セミナー PKI Day 2015「サイバーセキュリティの要となるPKIを見直す」に出させて頂きます。

http://www.jnsa.org/seminar/pki-day/2015/index.html

私は第2部の「SSL/TLS実装の今とこれから」で

  • 「SSL/TLS生誕20年、脆弱性と対策を振返る」
  • パネル:「SSL/TLSの実装が進むべき道を語ろう」
でお話をさせて頂きます。会場は「ヒューリックカンファレンス秋葉原」とありますが、浅草橋駅なのだそうです。 無料セミナーですので、よかったらお気軽に参加ください。

個人的には米丸先生の電子署名法の話と、小谷さんの自動車のPKIの話がとても気になります。JNSAさんから転送自由と書いてあったパートを載せておきます。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
     <JNSA PKI相互運用技術WG・電子署名WG主催セミナー>
   PKI Day 2015「サイバーセキュリティの要となるPKIを見直す」
       http://www.jnsa.org/seminar/pki-day/2015/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 日 時: 2015年4月10日(金)9時30分〜17時40分(受付開始9時10分)

■ 場 所: ヒューリックカンファレンス秋葉原 ROOM 1
      (東京都台東区浅草橋1丁目22-16 ヒューリック浅草橋ビル3F)
      http://www.hulic-hall.com/access/

■ 主 催: NPO日本ネットワークセキュリティ協会(JNSA)
      PKI相互運用技術WG・電子署名WG

■ 定 員: 132名

■ 料 金: 無料

■ 申 込: 下記URLページ文末の申込フォームよりお申し込みください。
       http://www.jnsa.org/seminar/pki-day/2015/

■ 講演資料:
 講演資料は上記URLよりPDFにて事前公開いたします。
 当日は講演資料の配布はいたしませんので、参加される方はご自身で
 ダウンロードいただき、当日お持ち下さいますようお願いいたします。

■ 開催趣旨:
 今日、サイバー空間におけるセキュリティの確保や信頼関係の構築にPKIは
 欠かせない技術になっています。また、サイバー空間の広がりとともに、
 IoT/M2M等の新しいPKIの応用領域も期待されています。
 その一方、社会基盤としてのPKIは、制度的な課題や、更には実装や展開等
 において様々な課題も浮上しています。
 PKI Day 2015では、以上のことを踏まえ、「サイバーセキュリティの要となる
 PKIを見直す」をテーマに、今後の社会におけるPKIの在り方を議論します。

                 ■■■ プログラム ■■■

9:30-9:40
【ご挨拶】「PKI day 2015のオーバビュー」
  セコム株式会社 IS研究所/PKI相互運用技術WGリーダー 松本 泰 氏

9:40-10:25
【基調講演】「サイバーセキュリティの状況とPKIの取組み」
       講師:東京工科大学 教授 手塚 悟 氏

◆第1部 新しい時代の電子署名◆

10:30-10:35
【第1部のプログラム紹介】
  三菱電機株式会社 情報技術総合研究所 宮崎 一哉 氏

10:35-11:15
【講 演】「欧州の動向-電子署名指令からeIDAS規則へ」
      講師:株式会社コスモス・コーポレイション 濱口 総志 氏

11:15-11:50
【講 演】「トラストリストと信頼のグローバル化」
      講師:セイコーソリューションズ株式会社 村尾 進一 氏

11:50-12:30
【講 演】「電子署名法改正のポイント」
      講師:神戸大学大学院法学研究科・法学部 教授 米丸 恒治 氏

              === 昼休み (12:30-13:30) ===

◆第2部 SSL/TLS実装の今とこれから◆

13:30-13:40
【第2部のプログラム紹介】
  セコム株式会社 IS研究所 島岡 政基 氏

13:40-14:15
【講 演】「SSL/TLS生誕20年、脆弱性と対策を振返る」
      講師:富士ゼロックス株式会社 漆嶌 賢二 氏, CISSP

14:20-14:55
【講 演】「Windows, Internet Explorerのセキュリティのいま」
      講師:日本マイクロソフト セキュリティプログラムマネージャー 村木 由梨香 氏

15:00-15:30
【パネルディスカション】 「SSL/TLSの実装が進むべき道を語ろう」
 モデレータ: セコム株式会社 IS研究所 島岡 政基 氏
 パネリスト: 富士ゼロックス株式会社 漆嶌 賢二 氏, CISSP
        日本マイクロソフト セキュリティプログラムマネージャー 村木 由梨香 氏

◆第3部 広がるサイバー空間に対応するPKIの新しい応用領域◆

15:50-16:00
【第3部のプログラム紹介】
  セコム株式会社 IS研究所/PKI相互運用技術WGリーダー 松本 泰 氏

16:00-16:45
【講 演】「RPKIの技術課題と信頼構造」
      講師:一般社団法人日本ネットワークインフォメーションセンター(JPNIC)技術部
          インターネット基盤企画部 セキュリティ事業担当 木村 泰司 氏

16:50-17:40
【講 演】「PKIの新しい活躍の場=繋がる自動車。そこで生まれる恩恵と脅威、それらへの方策」
      − PC/サーバでの10年のセキュリティ経験を踏まえた提案、標準化活動 −
      講師:富士通研究所 R&D戦略本部IPR戦略室シニアエキスパート、博士(工学)、
         TCG理事 小谷 誠剛 氏


(※)予告無く講演内容が変更される場合がございます。予めご了承下さい

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

CRLのアクセスログ

サーバーの入れ替えに伴いウェブサーバのログデータを退避しました。今のウェブサーバーのソフトウェアは2004年10月頃から使っていますが、その辺りからテスト用にCRL(証明書失効リスト)を公開しています。
(途中、サーバーを停止させたりしている時期もありました。)

・2004年度後期 JNSA S/MIME WGのメーラー毎のS/MIME署名メール検証テスト
・2005年度後期 ECOM 2005年度 CAdES/XAdES長期署名相互運用性テスト
・2007年度 ECOM 2007年度 CAdES/XAdES長期署名相互運用性テスト
・実験後、テスト用署名データをECOMサイトで公開

2004年10月からのCRLの月毎のアクセス数をグラフにするとこんな感じ。

CRLアクセスグラフ



ECOMのテストはテストケース毎にCRLファイルを分けていたので、それなりのアクセス数になっています。ECOMのテスト後にテスト用の署名データや証明書などを公開するようにしたので、テスト後もちらほら継続的にアクセスはあったりします。

2004年10月からのCRLのアクセスの国内からの割合はこんな感じ。国内実験がメインなので7割が日本っていうのは当然ですが、国外からも意外にあったりします。

crlipinfo20090331日本とそれ以外グラフ



国外からのアクセスの内訳を見てみるとこんな感じ。

crlipinfo20090331国外内訳グラフ



フランス、スペインはECOMの2007年度の実験に参加してもらっているので、それなりにアクセスがあるのは当然なんですが、トルコ、ハンガリー、スウェーデンなどECOMテストに参加していない国からのアクセスも結構あったりします。ECOMの英語版のページでテスト用長期署名をダウンロードできるようにしてあるんですが、これを観て実際に長期署名検証をしようとしてみてくれてるんだろうと思います。

トルコはトルコ政府がETSIのリモートテストにも参加していたりして長期署名に真剣に取り組んでいるみたいですね。

しかし、パキスタンって本当かなぁ、、、ログ取得時期とGeoIPのデータの時期が間違っているのかなぁ、、、本当だとしたらちょっとびっくりですね。

これらのCRLは、ふらっとサイトに来てダウンロードして帰るような代物ではないので、署名の実装があって検証しようとしてみたという所では割と信憑性のある数字なのかな、、、とも思います。

Challenge PKI Test SuiteでMultivalued RDN

Challenge PKI Test SuiteにてDN中の属性名が大文字だとマズイ件 - livedoor Blog(ブログ)


Challenge PKI Test SuiteですっかりMultivalued RDNに対応させた気になっていたのですが、CのASN.1エンコーダは対応していたものの、スクリプト側の方が対応していなかったことに気づき今しがた書き直しました。

Multivalued RDNとは、一つの相対識別名(RDN)に通常一つのところを複数のAttributeTypeAndValueが入るというものです。例えばこんな感じ、、、、

CN=Taro+OU=HR,O=Foo,C=JP


一つの相対識別名CN=TaroとOU=HRの中に二つのAttributeTypeAndValueが入っています。

とあるCA製品ではCNだけだとローマ字が同じ姓名だとかぶってしまい登録できないみたいなことが無いようにCNには姓名ローマ字、serialNumber(注:証明書シリアル番号ではなく属性タイプ)には社員番号などというようにMulti valued RDNで一つのRDNとしています。

CNとserialNumberとを別のRDNにすると、一人のユーザに2つのディレクトリエントリを消費することになり、ディレクトリサーバーがディレクトリ単位で課金されるような場合にはコストがかかるりますが、Multi valued RDNならば1ユーザ1エントリで済みます。

ただ、スマートカードやアプリケーションなど証明書を利用する側でMulti valued RDNに対応していないケースもあり事前に動作検証をしておくとよいでしょう。


Challenge PKI Test SuiteにてDN中の属性名が大文字だとマズイ件

IPA/JNSAのChallnege PKI Test Suiteは2.0以降、証明書等の生成の部分をオリジナルのASN.1エンコーダーに入れ替えたりしているのですが、今日DNを入れて証明書を作ってみようとするとエラーが、、、、証明書中の識別名が
○:ou=Test,c=JP
×:OU=Test,C=JP

のように属性名が小文字だとエラーになり、大文字だとエラーにならないというものです。トホホ、、、急いで修正、、、、

2.2以降だとでる問題なので、公開版には多分影響はありません。

GPKIを見ていた午後

本当はセミナーの準備をしないといけないんですが、WGでもGPKIの話がでていたので随分と久しぶりに政府認証基盤(GPKI)を眺めていました。IPA/JNSA Challnege PKI Test Suite以降あまりチェックしていなかったところ、

・BCAが鍵更新していた(2006年4月)
・官職認証局(Official Status CA)を新設した(2007年11月)
・BCA旧鍵と相互認証しているCAは「12」
・BCA新鍵と相互認証しているCAは「21」
・BCAと相互認証していない府省CAは多分残り1つ
・総務省や防衛省など英語での呼称が変更されたところも識別名は従来のまま

とBCA鍵更新後も影で支えておられる方々のおかげで順調にいっているようです。今後気になるところとしては、恐らく今年LGPKIとJPKI ブリッジCAの鍵更新があるんだと思います。有効期間に従ってそのまま行うとするとJPKI BCAは本当の年末みたいなようです。

国立公文書館サイトで「省庁変遷図」なるものを見つけラッキーと思ったんですがフラッシュで微妙に操作がし辛いのと2001年までで図が終わっちゃってました。更新して欲しいなぁ、、、、


最新記事
Categories
Archives
Twitter
記事Google検索

本ブログ内をGoogle検索
Yahoo!アクセス解析
Travel Advisor
記事検索
QRコード
QRコード
  • ライブドアブログ