2014-05-02

David W. Chadwick先生のPKIの講演を聞いてきた

仕事がら、たまに証明書関連とかPKIのことに絡むことが多いのだけど、JPNIC主催でKent UniversityのDavid W. Chadwick先生がPKIの講演をするということで行ってきた。彼はX.500で有名な方だよね。

内容としてはX.509の現状とそれの問題点、その問題点をどう解消するか的な話なんだけど、現在だと証明書発行局が信頼できるかどうかなんてのはわからないし、実際いろんなプロセスを通じてブラウザはルート証明書を入れているけど、そのルート証明書を発行した機関は常にセキュアであるかなんてわかりはしない。DigiNotarの件が発生したプロセスを考えても、それを利用者が問題のあるプロセスが存在してたということを知る術がない。知るのは事件が発生した後だ。また問題がある証明書が存在してたとして、それを発行した会社やそのルート証明書を入れたベンダが利用者のリスクを担保してくれるわけでもない。そのため、発行機関等を信頼できるための別のメトリック・プロトコルが必要なのじゃないか的な話を解説してた。それをTrust Brokerという表現で示していた。

Chadwick先生が推奨してるTrust Brokerってモデルも難点があって、それをビジネスとして成り立たない場合にこれを運用することはないんじゃないかということ。個人的にはTrust Broker的なものはGoogleのような巨大なインターネット企業またはブラウザベンダーが用意するしかないような状況になるんじゃないかと考えるけどね

あとは、Web PKI Operation (WPKOPS)の活動についての話が興味をそそる話だった。WPKOPSでWeb PKIの使用状況について、どのように動作してて、また使われているのかを文書化する試みが行われていて、各ベンダーにアンケートを送っているが、クライアント側だとMozillaやComodoは回答済みで、GoogleとMicrosoftは回答作成中だとか、、サーバーベンダだと世界最大の某データベースベンダや、最近話題のOSSな某SSLライブラりは回答拒否だとか。そのため現状をまとめたドキュメントを作成するのがちょっと難しくなってるらしい。

この講演で触れられていたけど、FirefoxはCRLのサポートはすでに切っているので、証明書の取り消しはOCSPをサポートする必要がある。なので、ルート証明書をFirefoxに入れたいと思っているベンダはOCSPのサポートを行う必要がある。また、Chromeは失効リストをGoogleのクローラが集めてChromeに渡しているのでCRLやOCSPをサポートしない (社内のサーバーの場合失効リストを管理できないってこと?)。

authenticationとauthorisationの話とかも面白かったんだけど、まとめきれる内容はない。

という内容の濃い話だったんだけど、ここらに興味がある人が世の中に少ないんだろうなぁ。

0 件のコメント: