インターネット・ドラフト 「マルチドメインPKIの相互運用性に関するメモ」がRFC 5217として公開されました。 (2008/07) NEW!

Challenge PKI Test Suite 2.0で利用可能な、タイムスタンプ・プロトコル(TSP)用のテストケースが公開されました。(2004/7)

Challenge PKI Test Suite 2.0で利用可能な、GPKI、地方公共団体認証基盤(LGPKI)、公的個人認証(JPKI)に対応したテストケースが公開されました。(2004/7)

ユーザビリティ向上、インストール手順の簡素化、タイムスタンプテストに対応した相互運用テストスィートの最新版(Challenge PKI Test Suite 2.0)がリリースされました。(2004/7)

タイムスタンプ・プロトコル(RFC 3161)のオンライン・テストセンター（日本語版）がオープンしました。(2004/7)

UTF8String問題についての注意喚起が公開されました。(2003/12)

各国の電子政府プロジェクトや電子商取引が活発化するなかで、PKI(Public Key Infrastructure)は 安全で安心できる電子社会を実現するための、重要な要素技術となっています。 初期のPKIは、ごく少数のベンダによって提供され、また単一の管理主体（ドメイン）の下で使われていました。 しかし昨今では、PKIを提供・利用する沢山のプレイヤーが存在し、複数のドメインが相互に接続されています。 政府認証基盤（GPKI）や、米国のFederalPKIが代表例です。 我々は、この複雑なPKIのモデルを、「マルチドメイン・マルチベンダPKI」と呼んでいます。

一般に、RFC 3280や X.509などの標準は、こうしたモデルの複雑化にも柔軟に対応できるだけの曖昧性を持っています。 この曖昧性ゆえに、ほとんどの実装は、標準の一部分（サブセット）となっています。 そのため、個々の実装間で相互運用テストを行う試みが繰り返されてきました。 こうしたアプローチは、コストとスピードの面で問題があります。 例えばGPKIと全く同じテスト環境を構築するには莫大な費用と時間が必要です。 我々はこれらの問題を解決するために、オープンな相互運用テストの枠組みである「相互運用テストスィート」を提案します。

オープンなテストスィートによって、あらゆる実装は標準との矛盾をテストすることができます。 そのテストケースは、標準の変化に合わせて更新することが可能です。
PKIの発展はPKIの複雑化をもたらし、今や同時に高度な相互運用性を必要としています。 我々は相互運用テストスィートの継続的な更新を行い、その知見を標準化活動にフィードバックすることで、 PKIの相互運用性確保に貢献することを目指します。

以下で、Challenge PKIの一連のプロジェクトを紹介します。

Challenge PKI Test Suite (CPKI-TS) 2.0

CPKI-TS 2.0は、ChallengePKI2002GPKI及び ChallengePKI2003TSPの成果を統合した最新版の相互運用テストスィートです。 １台のLinuxPC上で、あらゆるマルチドメインPKI環境をシミュレート可能です。 CPKI-TS 2.0はBSDライセンスに基づくオープンソースソフトウェアであり、 テストケースの編集・追加も自由に行うことができます。 CPKI-TS 2.0主要機能 CA同士の相互環境（相互認証証明書の発行） 複数のLDAPリポジトリの実現 複数CA証明書の発行 より進化したWebインタフェースによるテストの設計・構築 あらゆるプロファイルを持つ証明書やCRLの発行（拡張、他言語DN等） OCSPレスポンダと、証明書検証サーバ(CVS)のシミュレーション RFC 3161に基づくタイムスタンプ局(TSA)のシミュレート テストスィート本体 Challenge PKI Test Suite 2.0　オンラインドキュメント cpkits-2.0.2-21.i386.rpm (md5sum:8be64a260c52d780617a4212b737e6b3, 2.10MB) cpkits-2.0.2-21.src.rpm (md5sum:d42d1cbd20566f565c6c7ac05101efb2, 587KB) cpkits-2.0.2-21.tar.gz (md5sum:bce3a0c4d600c67596d61b5294d3f33c, 585KB) 政府認証基盤(GPKI)テストケース Japanese GPKI Test Cases　オンラインドキュメント cpki_testcase_jgpki2_20040709.tar.gz (md5sum:642c00fd3f2d0d6de5672ce78f672130, 849KB) タイムスタンプ(Timestamp)テストケース Timestamp Test Cases　オンラインドキュメント cpki_testcase_tsp2_20040723.tar.gz (md5sum:6d93a7511b32b05e77cba5d242389e3a, 78KB) タイムスタンプ相互運用テストスィートのプロジェクトホームページもご覧下さい。 ※一部の図を閲覧するためには、Adobe SVG Viewerが必要です。

Challenge PKI 2003 TSP

タイムスタンプ(timestamp)とは、電子文書の存在時刻を第三者が証明するスキームをいいます。 我々は将来、RFC 3161に代表されるタイムスタンプ技術が、ドメインやベンダを横断して、電子社会において広く使われるようになると考え、 タイムスタンプ・プロトコルの相互運用性をテストするためのテストスィート（タイムスタンプ相互運用テストスィート）を開発しました。 このテストスィートは、RFC 3161に基づいて、任意のタイムスタンプ・トークンやレスポンスを生成することができきます。 またテストスィートには、RFC 3161で MAY, SHALL, SHOULD, MUST, 及びREQUIREDと表現された全ての要求を網羅したテストケースが含まれています。 ユーザはこのテストスィートを用いることで、テスト対象クライアントのRFC 3161への準拠性を評価することができるようになります。 タイムスタンプ関連の調査報告書（IPAのサイト） タイムスタンプ技術と相互運用に関する基礎調査 日本国内における社会ニーズ調査と、タイムスタンプ相互運用テストスィートの開発 ROBOC社の協力により、TSPのオンライン・テストセンターがオープンしました。 詳しくは、Challenge PKI 2003のプロジェクトホームページをご覧下さい。

インターネット・ドラフトの策定

複数のPKIドメインを相互に接続するためには、単にプロトコルやデータ型を定義しただけでは不十分です。 そこで我々は、「マルチドメインPKIの相互運用性に関するメモ（Memorandum for Multi-domain PKI Interoperability）」という インターネット・ドラフトを策定しています。 本ドラフトでは、PKIドメインとPKIのアーキテクチャについて定義し、マルチドメインPKIにおける相互接続性について議論します。 本ドラフトは、2008年7月にRFC 5217として公開されました。 RFC 5217 (HTML版) *注: 過去のインターネット・ドラフトはHTML版から辿れます。

Challenge PKI 2002 GPKI

わが国の政府認証基盤(GPKI)では、ブリッジモデルと呼ばれる信頼モデルを採用しています。 ブリッジモデルでは、様々な認証局（府省、地方公共団体、商業登記、公的個人認証基盤など）が相互に認証されます。 GPKIは複雑なPKIモデルである上に、RFC 3280やX.509などの標準のサブセットとなる、特殊な証明書プロファイルを用いているため、 対応ソフトウェアを開発するには、高度な相互運用技術が要求されます。 将来、GPKIを安全かつ安心して利用できるアプリケーションが広く流通するためには、こうした 特殊なPKI環境を忠実にテストできる環境が不可欠です。 しかしそれはGPKIそのものを模倣することと同等であり、莫大な予算が必要となります。 そこで本プロジェクトでは、GPKIの相互運用テスト環境（CPKI-TS 1.0）を研究・開発しました。CPKI-TS1.0 成果報告書は、IPAのサイトからダウンロードすることができます。 このテストスィートを用いれば、１台のパソコン上に、ブリッジ、府省及び民間の認証局(CA)を擬似的に構築でき、GPKIの環境を低コストに模擬できます。 またテストスィートには、あらかじめ256パターンのテストケースが組み込まれており、 これらによってGPKIで想定されるパス検証の様々なシチュエーションを容易に作り出すことが可能です。 さらにテストスィートには、GPKIアプリケーション開発の参考となるよう、テスト対象アプリケーションとして、 Microsoft CryptoAPI及びJava/JDKの２種類のコンポーネントを利用したサンプル実装も含まれています。 我々は、本プロジェクトから得られた知見をIETFで発表することで、標準化へのフィードバックを続けています。

Challenge PKI 2001

本プロジェクトでは、マルチベンダーCA間での相互接続性を実験・調査しました。 実験には、９つのCA（Entrust, SSH, NEC, RSA, 富士ゼロックス, Microsoft, VeriSign, 名古屋工業大学, WIDE）を用いました。 PKIの信頼モデルとして、階層CA、相互認証、及びブリッジモデルの３種類を構築し、それぞれの信頼モデルにおける マルチベンダーCA間の相互接続性を評価しました。 プロジェクト概要 PKI実装上の問題に関する技術報告資料

国際発表

59th IETF in Seoul, Korea on February 29 - March 5, 2004

58th IETF in Minneapolis, USA on November 9-14, 2003 *
*We have issued an announcement about the RFC 3280 UTF8String problem, which describes about the conclusion of the 58th IETF discussion in Japanese.

57th IETF in Vienna, Austria on July 13-18, 2003 (slide)

56th IETF in San Francisco on March 16-21, 2003 (slide)

55th IETF in Atlanta on November 17-22, 2002 (slide)

54th IETF in Yokohama,Japan on July 14-19, 2002 (slide1, slide2)

国内発表

PKI Day 2007 in Tokyo, Japan on June 25, 2007(PDF)

PKI Day in Tokyo, Japan on October 28, 2005(PDF)

IPAX Winter 2004 in Tokyo, Japan on January 21, 2004

Internet Week 2003 in Yokohama, Japan on December 2-5, 2003

CISCO Wave 2003 in Tokyo, Japan on June 5-6, 2003

RSA Conference / NSF2003 spring in Tokyo, Japan on June 3-4, 2003

Internet Week 2002 in Yokohama, Japan on December 16-20, 2002

ミーティング

ChallengePKIのミーティングは、JNSAの主催により、非定期的に 工学院大学新宿キャンパスで開催しています。 ご連絡をいただければ、どなたでも自由に参加することができます。

コメント、アドバイス、質問、バグ報告などはいつでも大歓迎です！