ニュース

インターネット技術の標準化の最新トピックは?〜IETF報告会レポート

 IETF(Internet Engineering Task Force)は、インターネットで使われる通信技術の標準化のための国際団体だ。そのIETFでは年に3回、国際会議を開催している。

 2014年3月2日から7日まで、英国のロンドンにおいて第89回IETF(IETF 89)が開催された。このIETF 89の日本からの参加者がトピックを紹介する「IETF報告会(89thロンドン)」が4月11日、ISOC Japan Chapter(ISOC-JP)と一般社団法人日本ネットワークインフォメーションセンター(JPNIC)の共催で開催された。

1264人が60か国から参加

 IETF 89の全体概況を報告した根本貴弘氏(青山学院大学 情報メディアセンター)によると、1264人(IETF 88より222人増加)が60の国と地域から参加し、日本からの参加者数は3位だった。

 全体会議であるOperations and Administration Plenaryにおける報告では、ソーシャルメディアの活用や、IETF 88のYouTube動画視聴回数の多さ、セキュリティやプライバシーに関するWG(ワークグループ)の増加、HTTP/2やWebRTCの進ちょく、IETF 90の案内などが語られたという。

 また、ISOCのCEOを務めたLynn St. Amour氏の退任レセプションが開かれ、スタンディングオベーションが起こったことも紹介された。

 同じく全体会議であるTechnical Plenaryにおける報告では、人事異動や、IAB(Internet Architecture Board)の新しいIAB、RFCのフォーマットの改訂作業、決済システムやIDのテーマなどが紹介されたという。

 そのほか根本氏からは、会場の建物の構造が複雑で迷った話や、警報の誤作動がよくあってセッション中に警報がよく鳴ったといったエピソードも語られた。

根本貴弘氏(青山学院大学 情報メディアセンター)。IETF 89のTシャツを着ている
IETF 89の参加者数や国別参加者
IETF 88〜89でのソーシャルメディアの活用
IETF 89の主なトピック

 ISOC-JPのChairの藤崎智宏氏も、会期中に開かれたLynn St. Amour氏の送別パーティの模様を紹介した。インターネットの伝説級の人たちが会場やビデオレターで参加したという。

 藤崎氏はまた、IETF 89とは別の話となるが、4月に開かれた「Internet Hall of Fame(インターネットの殿堂)2014」受賞セレモニーについても報告した。日本からは故・平原正樹氏(JPNIC初代運営委員長)が選ばれた。

ISOC-JP Char 藤崎智宏氏
Lynn St. Amour氏の送別パーティにインターネットの伝説級の人たちが集まった
「Internet Hall of Fame 2014」受賞セレモニー

“組織による広範囲な盗聴”への対応に関する議論

 この1年ほどの新しいテーマとしてIETF 89で論議され、報告会でも紹介されたのが、perpass(Handling Pervasive Monitoring in the IETF)の分野だ。Pervasive Monitoring(PM)は「潤沢なリソースを持った組織が行う広範囲な盗聴行為」と定義される。つまり、エドワード・スノーデン氏によって明るみに出されたNSA(アメリカ国家安全保障局)の「PRISM」のような問題を想定している。IETFでそのPMの問題について考える活動がperpassだ。

 IETF 89でのperpassに関するミーティングについて報告した笠松宏平氏(NTTソフトウェア セキュリティ事業部)によると、PMの問題は前回のIETF 88で議題にのぼり、「PMは攻撃であり積極的に対処する」というコンセンサスとなり、PMを考慮した脅威モデルや、認証がない場合でも暗号化すべきという意見が議論されたという。

 今回のIETF 89については、各RFCをPM対策の観点でレビューするための基準作りとレビューの進め方について議論がなされたことが報告された。

 また、各プロトコルの暗号化の方法として、UTA(Using Applications with TLS、さまざまなプロトコルをTLS上に乗せる)やDNSE(Encryption of DNS requests for confidentiality、DNSのクエリの暗号化)が、より強い暗号技術への移行として新しい楕円(だえん)曲線などについて議論されたことが報告された。なお、IETF 89後に、TCP自体の暗号化について考えるtcpcryptのメーリングリストが開設されたという。

 余談となるが、ちょうど報告会と同じ週に、TLSの実装の一つである「OpenSSL」に通信相手からメモリを読み取られる「Heartbleed」脆弱性が発表された。これがNSAに利用されていたとBloombergが報道し、NSAがそれを否認する声明を出している。

笠松宏平氏(NTTソフトウェア セキュリティ事業部)
各プロトコルに対する検討。各種プロトコルをTLSに乗せるUTAや、DNSのクエリとレスポンスを暗号化するDNSEなど
強い暗号技術への移行の検討。新しい楕円曲線の選定など
今後の動向。IETF 89後に、TCP自体の暗号化について考えるtcpcryptのメーリングリストが開設された

 PMへの対応は、IETF 89開催直前に開かれたIABとW3Cの共同ワークショップ「STRINT workshop(workshop on Strengthening the Internet Against Pervasive Monitoring)」でも扱われた。そこで話しあわれたことを、中島博敬氏(慶應義塾大学、W3C)が、テーマごとに報告した。

 攻撃の区分としては、モニターするだけのPassive Attackerや、攻撃も加えるActive Attacker、漏えいさせる協力者に分け、それぞれの対応が必要とされるという論点を紹介した。通信路の安全性については、HTTPSやSIP、XMPP(などのチャットやメッセージ)、RADIUSのそれぞれの状況が語られた。

 そのほか、技術と政治の両面からのアプローチが必要とされているという話や、Opportunistic Keying(日和見暗号)、接続先などのメタデータの保護、データを暗号化したまま処理できる準同型暗号の活用、証明書の警告のユーザーインターフェイスなどが、論点として紹介された。

中島博敬氏(慶應義塾大学、W3C)
通信経路の安全性
技術と政策の両方からのアプローチが必要、とする論点
そのほか、ユーザーインターフェイスや用語など

 関連して、DNS関連についての藤原和典氏(JPRS)の報告でも、トピックの一つとしてDNSクエリの暗号化の議論が紹介された。

 DNS通信の暗号化提案として、IPsecによる方法(拡張ヘッダや鍵の問題がある)、DTLS(TLSをUDPで使えるようにしたもの)、DNSCurve(公開鍵をDNSサーバー名に埋め込むもの)、DNSCrypto(専用のVPNを張るもの)などが挙げられた。また、DNS暗号化を扱ったdnse BOFの結論として、新しいプロトコルの普及が懸念されることなどが語られた。

 話題は、DNS運用者のdnsop WGに続いた。dnsop WGでは、DNS通信にQUICを使う案や、クエリの情報量を減らす案などが出されたが、まだ議論が必要という結論となったという。

 藤原氏は感想として、性急すぎると語り、さらにルートサーバーなどにおける、運用のためのクエリ情報収集との関係について、論点を示した。

藤原和典氏(JPRS)
DNSプライバシーで問題とされる点
DNSクエリの暗号化のさまざまな提案
藤原氏によるDNSプライバシー問題の感想
ルートサーバーなどにおける運用のためのクエリ情報収集

HTTP/2はラストスパート

 全体会議で同じく主なトピックとして挙げられたHTTP/2およびそのほかのHTTP関連については、前田薫氏(株式会社レピダム)が報告した。

 HTTP/2は最終段階に向けてラストスパートの段階にあるという。名称も「HTTP/2.0」から「HTTP/2」と小数点以下のバージョンを付けない形になり、間に合わなそうなものはHTTP/3に回すなど、早く決めることを優先しているという。8月にIETFのLast Callを目指す。

 IETF 89では、HTTP/2ではTLS(HTTPS)をプロトコル的に必須とするかどうか、仕様のあいまいな部分、HTTP/2開始手順、複数リクエストの優先順位付けなどが議論された。中でも白熱したのが、ヘッダを圧縮することでサイズから内容を推測されてしまう「HPACK脆弱性」の問題で、“このフィールドは圧縮しない”というフラグを追加することで合意したという。

 HTTP/2以外のHTTP関連では、httpauth WGの認証機構の議論も報告された。IETF 89では、Basic認証とダイジェスト認証のプロトコルのあいまいな部分を明確化する、具体的には認証に国際的な文字を使うときのルールを明確化する議論がなされたという。

 また、リソースの制限された、組み込み機器での認証に関するace(Authentication and Authorization for Constrained Environments)BOFについても報告された。例えば、ドアの鍵のようなごく小さなデバイスが通信し認証するというものだ。コンテナに入れた荷物を追跡する例では、コンテナを乗せた乗り物などごとにアクセス制御が必要となり、小さいデバイスで認証と認可の処理が必要となるという。ace BOFでは、アーキテクチャの課題や、いまある技術を適用したときの問題などが議論された。

前田薫氏(株式会社レピダム)
IETF 89でのHTTP/2の議論
HTTP/2のHPACK脆弱性の議論
HTTP/2を含むhttpbis WGの予定
http auth WGの議論。ダイジェスト認証とBasic認証の仕様を明確化
リソースの制限された組み込み機器での認証・認可に関するace BOF

ネットワーク機能の仮想化、DNS、IPv6、MIBのwritable廃止

 内藤憲吾氏(NTT ネットワーク基盤技術研究所)は、ネットワーク機能の仮想化に関連する分野で、sfc WGとvnfpool BOFについて報告した。

 SFC(Service Function Chaining)とは、パケットがルータやファイアウォールなどのネットワーク機能(仮想または物理)を通る経路をフローごとに制御するものだ。IETFでは、ブロードバンドネットワークやモバイルネットワーク、データセンターと異なる利用分野ごとにドラフトが出されており、「最初から盛りだくさんに進んでいるという印象」だという。それら異なる要求に合わせてプロトコルやアーキテクチャについて議論しており、「トータルで考えると、まだまだ考えることは多い」という。

 また、vnfpool BOFでは、VNF(Virtualized Network Function、仮想化されたネットワーク機能のノード)の故障時などに余剰リソースのプールから増設するための方法について議論や情報交換がなされた。KDDIやKEC、BTT、Telefonicaらがユースケースを発表したという。

内藤憲吾氏(NTT ネットワーク基盤技術研究所)
SFCとsfc WGの紹介
ユースケースごとのドラフト
sfc WGの状況のまとめ
vnfpool BOFの紹介
vnfpoolのドラフト

 すでにDNSプライバシーで紹介したように、藤原和典氏(JPRS)はIETF 89でのDNS関連について横断的に報告した。DNSプライバシー以外で、DNS運用者のdnsop WGでは、P2Pサービスで使われる疑似トップレベルドメインの扱いや、レビューを再開したもの、アプリケーションからDNSを引くgetdns APIのリリースなどが取り上げられたという。

 またmDNSのようなサービスディスカバリのdnssd WGでは、要求仕様はほぼ合意がとれ候補を考える段階に来たという。DNSにTLSの証明書を載せる仕様のdane WGでは、プロトコルが完成したらWGを閉じるかといった議論がなされたという。

 ドメイン境界について扱うdbound BOFでは、Mozilla Foundationが管理する、サブドメインのどこからが別組織なのかをリストアップした「Public Suffix List」の改善について議論されたという。2014年4月8日時点で8181行あり、そのうちJPが1756行あるという(地域型ドメイン名などによる)。これについてはDNSを使った実装などが提案されたが結論はなく、進展がなかったようだ。

IETF 89でDNSを扱ったWGとBOF
dnsop WGの議論1。疑似トップレベルドメインの扱いなど
dnsop WGの議論2。getdns APIなど
サービスディスカバリのdnsssd WGの議論
DNSにTLSの証明書を載せるdane WGの議論
dbound BOFの議論。Public Suffix Listの扱いについて

 浅井大史氏(東京大学)は、IPv6関連の6man(IPv6 Maintenance)/v6ops(IPv6 Operations)と、opsawg(Operations and Management Area Working Group)について報告した。IPv6関連の1つめは、IPv6のアドレス生成方法に関するプライバシーおよびセキュリティ評価について。IPv6アドレスを自動生成する各種方法とそのプライバシーやセキュリティについての評価のレポートであり、IETF 89からの変更点などが解説された。

 IPv6関連の2つめは、「Efficient ND」。ND(neighbor discovery)プロトコルが定められてから実際に使われるようになって明らかにされた問題について議論が紹介された。特にモバイルにおいて、スリープしてしまうとDAD(重複アドレス検出)に答えられないことや、逆に不必要にスリープから起こして電力を消費させてしまうことが問題になっているという。そのために、ユニキャストとの併用、NDのプロキシ、間隔の調整など、議論されたさまざまな案が紹介された。

 opsawgについては、SNMPのMIBのwritable(書き込み)を廃止するという声明があったことが報告された。報告会では、実際に書き込みを使うことはないが大きな変更という反応で、質問が飛び交った。

浅井大史氏(東京大学)
評価するIPv6のアドレス生成方法
アドレス生成方式と評価基準の組み合わせで見た評価結果
現在のNDがモバイルなどのデバイスで問題になる背景
現在のNDが問題になる点
MIBのwritable(書き込み)廃止の声明

(高橋 正和)