XML Consortium XMLセキュリティ ツール/製品調査 2009年1月9日 XMLコンソーシアムDay セキュリティ部会 林 正樹 (富士通) 宮地直人(ラング・エッジ) ©2008 XML Consortium 1 Security Sig 09-JAN- 2009 XMLセキュリティツール/製品調査 活動の概要 XML Consortium XMLのセキュリティに関するツールや製品を調査する – 1) XMLを使ったシステムに対するセキュリティ – 2)セキュリティ技術でXMLを利用するもの 利用に役立つ情報の調査/一覧資料の作成 – 製品版/無償ツールの機能、特徴、使い方、事例など 調査結果を公開 – XMLコンソーシアム Webサイト – XML開発ガイド – その他、発表の場があれば公開していく 共有すべき製品情報があればご連絡ください ©2008 XML Consortium 2 Security Sig 09-JAN-2009 活動目的 XML Consortium XMLやWebサービスのセ キュリティに関する標準規格 がたくさんある 標準でない仕様やツールも ある ©2008 XML Consortium – OpenID, OAUTH … 何を使って何ができるのか 何が必要なのか 3 Security Sig 09-JAN-2009 調査方法 XML Consortium リストアップ 製品版 無償ツール(無償提供版) セキュリティ部会で調査 セキュリティ部会で調査 基本情報入手 ベンダーに情報提供依頼 セキュリティ部会で調査 事例調査 ベンダーに情報提供依頼 2009年5月 公開目標 使い方の確認 調査対象:対象分野のツール/製品で日本で利用可能なもの – – – – XML暗号、XML電子署名、WS-Security XMLベースの長期署名 XML/SOAPファイアウォール その他 (随時検討) ©2008 XML Consortium 4 Security Sig 09-JAN-2009 XML Consortium ツール/製品調査 XML暗号、XML電子署名、 WS-Security (WSS) ©2008 XML Consortium 5 Security Sig 09-JAN- 2009 XML Consortium セキュリティ対策 XMLデータの保護:WS-Security SOAP XML暗号化 XML電子署名 WS-Security 2004/04 OASIS標準 認証基盤 トークン •Username •X.509 •SAML •REL ゴール:SOAPを使った安全なアプリケーション間通信の方法 – 日本語版は、XMLコンソーシアムWebサイト http://www.xmlconsortium.org 主な内容: – – – – ©2008 XML Consortium メッセージ保護メカニズム、ID参照、セキュリティ・ヘッダ 電子署名と暗号化、タイムスタンプ → 主にデータの保護をカバー セキュリティ・トークンと参照の方法 注意点 (エラー処理、相互接続性、その他) 6 Security Sig 09-JAN-2009 WS-Secrityの目的と機能 Webサービスをセキュアにするための基本プロトコル SOAPの機能拡張する標準を作り、End-Endの完全性、秘匿性を考慮 XML Consortium ■ メッセージの完全性:XML-Signature セキュリティトークンの使用、Multiple SOAP actors/rolesに対応した複数の署名、署名形式 の拡張を考慮 ■ メッセージの秘匿 :XML Encrypttion セキュリティトークンの使用、Multiple SOAP actors/rolesに対応した暗号化の考慮 送信者認証 セキュリティトークン (Sender Authentication) Username/X.509/SAML等 完全性 XML電子署名 (Integrity) XML-Signature XML暗号化 秘匿性 (Confidentiality) ©2008 XML Consortium XML Encryption 7 Security Sig 09-JAN-2009 ヘッダ WS-Security ヘッダ SOAP XML Consortium タイムスタンプ SOAP ボディ ©2008 XML Consortium セキュリティ・ トークン (X509証明書) WS-Security のデータ例 暗号化された 鍵情報 電子署名 8 本文(Body) 暗号化済み Timestamp及 びBodyに署名 ↓ 暗号化 OASIS Web Services Security: SOAP Message Security 1.0 OASIS Standard 200401, March 2004 11章 「拡張例」より Security Sig 09-JAN-2009 XML暗号、XML電子署名、WS-Security XML Consortium 製品提供形態 アプリケーション・サーバー型 ゲートウェイ型 ライブラリ型 ©2008 XML Consortium 9 Security Sig 09-JAN-2009 調査対象項目の例 XML Consortium 製品が提供している機能の有無 – – – – XML暗号・復号機能 XML電子署名付与機能 XML電子署名検証機能 WS-Security機能 準拠している標準仕様 使用可能なXML暗号、XML電子署名の暗号アルゴリズム と鍵長 サポートしているセキュリティ・トークン(WS-Security機能) 事例調査 など ©2008 XML Consortium 10 Security Sig 09-JAN-2009 XML暗号、XML電子署名、WS-Security アプリケーション・サーバー型 XML Consortium アプリケーション・サーバ型とは – Webサービスの実行環境となるアプリケーションサーバ(AppSV)にお いて、XML暗号、XML電子署名、WS-Securityなどに対応 XML暗号 XML電子署名 AppSV ©2008 XML Consortium SOAP <?xml … … FW WS-Security アプリ処理・他 11 Security Sig 09-JAN-2009 AppSV XML暗号、XML電子署名、WS-Security アプリケーション・サーバー型 XML Consortium 調査予定製品 – 富士通 (Interstage) – NEC (ActiveGlobe WebOTX) – 日立 (Cosminexus) – 日本オラクル (Oracle Application Server、WebLogic Server) – 日本IBM (WebSphere Application Server) – サン・マイクロシステムズ (Sun Java System Application Server) – 日本HP (Systinet Server) – Software AG (webMethods Glue) ©2008 XML Consortium 12 Security Sig 09-JAN-2009 XML暗号、XML電子署名、WS-Security ゲートウェイ型 XML Consortium XMLゲートウェイ型とは – XML暗号、XML電子署名、WS-Securityなど、XMLの処理機 能の一部をAppSVからオフロードする AppSV ©2008 XML Consortium XML処理の一部をオフロード SOAP <?xml … … FW XML暗号 XML暗号 XML電子署名 XML電子署名 WS-Security WS-Security XMLゲートウェイ アプリ処理・他 13 13 Security Sig 09-JAN-2009 AppSV XML暗号、XML電子署名、WS-Security XML Consortium XMLゲートウェイの調査リスト 2005年6月7日Week で報告した ”WebServiceSecurity 製品対応状況について でリストアップした製品を中心に、現在日本で販売されている 製品を対象を精査してアンケートを実施する予定 対象製品 – Cisco (ACE* XML GW) *Application Control Engine – IBM DataPower (XS40 XML Security Gateway) – Intel (Intel SOA Express) – SOA Software (XML VPN) – Radware (AppXML) – Solance Systems (Solance3230 and Solance3260 content router) – Sonoa Systems ©2008 XML Consortium 14 Security Sig 09-JAN-2009 XML暗号、XML電子署名、WS-Security XML Consortium ライブラリ型 ライブラリ型とは ライブラリの形で、 XML暗号、XML電子署名、 WS-Security機能を提供 ツール例 (2005年調査より) – Apache WSS4J (Apache Software Foundation) – JavaTM Web Services Developer Pack (Java WSDP) 1.5 (Sun Microsystems) – Oracle Phaos WSS 1.0 (Oracle) – RSA BSAFE Secure WS-C/J (RSA Security) – Trust Services Integration Kit 1.10 (VeriSign, Inc.) – Web Services Enhancements (WSE) 2.0 SP3 (Microsoft) 調査方法は検討中 ©2008 XML Consortium 15 Security Sig 09-JAN-2009 XML Consortium ツール/製品調査 XML/SOAPファイアウォール ©2008 XML Consortium 16 Security Sig 09-JAN- 2009 XML/SOAPファイアウォール とは何か? XML Consortium XML firewall – From Wikipedia, the free encyclopedia 2008/12/31 – First brought to market by Forum Systems[citation needed], an XML firewall is a specialized firewall used to provide security for XML messaging such as Web services. XML firewalls are types of XML appliances that are separated from internal computer systems and frequently reside in an organization's DMZ. (XMLファイアウォールとは特殊化したファイアウォールで、Webサービスのよう なXMLメッセージングに対してセキュリティを提供するために使われる。) 大きく分けて2種類の形態 – XMLゲートウェイで、セキュリティ機能を持つもの … 重要なWebサービスなど特定のシステムに利用されることが多い – ファイアウォールで、XML機能を持つもの … AjaxなどXMLを使う部 分もあるWebサイトに利用されることが多い ©2008 XML Consortium 17 Security Sig 09-JAN-2009 XML/SOAPファイアウォール XML Consortium 調査対象ツール/製品 Cisco ACE (ゲートウェイ) IBM DataPower (ゲートウェイ) Imperva SecureSphere WAF バラクーダネットワークス Web Site Firewall シトリックス Application Firewall ©2008 XML Consortium 18 Security Sig 09-JAN-2009 XML Consortium ツール/製品調査 長期署名XAdES (XAdES = XML Advanced Electronic Signatures) ©2008 XML Consortium 19 Security Sig 09-JAN- 2009 その前に…長期署名とは? XML Consortium ○ 現実世界との比較 現実世界 印鑑(ハンコ) 紙に押印した印影 印鑑証明書/住民票等 電子世界 証明書と秘密鍵 電子署名 (XML署名) 検証情報や時刻証明 (失効情報/TST等) 電子署名 --- ○ × 含まない 長期署名 --- ○ ○ 含む 従来の電子署名(XML署名)には有効期限があった。 長期署名(XAdES)では有効期限の延長が可能になる。 ©2008 XML Consortium 20 Security Sig 09-JAN-2009 長期署名XAdESの利点 XML Consortium 必要な検証情報を全て含み有効期限の延長が可能。 – 検証に必要な証明書や失効情報等をタイムスタンプにより保護。 – e-文書法やJ-SOXでの電子文書の長期保管に利用が期待される。 「誰が」に加えて「いつ」に関してもタイムスタンプ技術で保証。 – タイムスタンプは電子署名技術の応用により時刻を保証する。 XAdESは2008年にJIS化もされた標準規格。 – XAdESは標準のXML署名を拡張した上位互換仕様になっている。 – JIS X 5093:2008 「XML署名利用電子署名(XAdES)の長期署名 プロファイル」。欧州規格「ETSI TS 101 903 V1.3.2」。 – 現在は主に欧州のETSIが中心になって仕様を更新している。 – 日本ではECOMが中心になってJIS化等の標準化を進めている。 ©2008 XML Consortium 21 Security Sig 09-JAN-2009 XML Consortium ECOMにおけるXAdESの歴史 2000年より長期署名の調査や普及啓蒙活動を実施 2005年度 CAdES/XAdES相互運用性テストプロジェクト – XAdES参加企業は3社、(CAdESは10社) 2006年5月 XAdES JIS原案の作成に着手 2007年度 CAdES/XAdES相互運用性テストプロジェクト – XAdES参加企業は 8社に増加、(CAdESは14社) 2008年5月 XAdES JIS化 ※ 他にも欧州(ETSI)と共同にてPlugTestを数回実施 ※ ECOM = 次世代電子商取引推進協議会 http://www.ecom.jp/ ©2008 XML Consortium 22 Security Sig 09-JAN-2009 XML Consortium 長期署名XAdESツール調査 2007年度 CAdES/XAdES相互運用性テスト参加企業 を対象にしてアンケート調査を予定(以下50音順) – エントラストジャパン – 関電システムソリューションズ – 大日本印刷 – 東北インフォメーション・システムズ – 日本電気 – 富士ゼロックス – 三菱電機 – ラング・エッジ ※ 2007年度相互運用性テスト結果はECOMサイトにて入手可能 http://www.ecom.jp/LongTermStorage/ ©2008 XML Consortium 23 Security Sig 09-JAN-2009 XML Consortium 付録:XAdESの構造1 ES (XAdES) = 電子署名文書。 ES-T (XAdES-T) = ESに署名タイムスタンプ(STS)を追加。- JIS定義 ES-C (XAdES-C) = ES-Tに検証情報リファレンスを追加。 ES-X Long (XAdES-XL) = ES-T/ES-Cに検証情報を追加。 ES-A (XAdES-A) = ES-X Long に保管タイムスタンプ(ATS)を追加。 - JIS定義 文書 ©2008 XML Consortium 署名属性 検証 情報 リファ レンス STS 署名値 ES ES-T 24 ES-C 検証 情報 ES-XL ATS ATS ES-A ES-A … Security Sig 09-JAN-2009 XML Consortium 付録:XAdESの構造2 <Signature> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> <Reference/> : <Reference URI= #xades /> </SignedInfo> <SignatureValue/> <KeyInfo/> <Object/> <Object> <QualifyingProperties> <SignedProperties Id= xades > <SignedSignatureProperties/> </SignedProperties> <UnsignedProperties> <UnsignedSignatureProperties> <SignatureTimeStamp/> <CertificateValues/> <RevocationValues/> <ArchiveTimeStamp/> : <ArchiveTimeStamp/> </UnsignedSignatureProperties> </UnsignedProperties> </QualifyingProperties> </Object> </Signature> ©2008 XML Consortium // // // // // // // // // // // // // // // // // // // // // // XML署名開始タグ 署名対象要素 署名対象正規化手法指定 署名アルゴリズム指定 署名対象へのURI指定1とオプション変換手法指定 署名対象は複数指定可能 XAdES署名対象へのURI指定 署名対象要素終了 署名値(Base64) 署名者の秘密鍵情報(オプション) 署名対象内包時のオブジェクト要素(オプション) 長期署名用オブジェクト(必須) XAdES要素開始 XAdES署名対象要素(必須:署名対象の1つ) XAdES署名要素(例:<SigningTime>等) ES-BES要素 XAdES署名対象要素終了 XAdES非署名対象要素 XAdES非署名要素 XAdES-T署名タイムスタンプ要素 XAdES-X-Long証明書一覧要素 XAdES-X-Long検証情報一覧要素 XAdES-A保管タイムスタンプ要素(複数回可能) // // // // // // XAdES-A保管タイムスタンプ要素(最終) XAdES非署名要素 XAdES非署名対象要素終了 XAdES要素終了 長期署名用オブジェクト終了タグ XML署名終了タグ 25 ES-BES要素 ES-BES要素 ES-BES要素 ES-T要素 ES-XL要素 ES-XL要素 ES-A要素 ES-A要素 Security Sig 09-JAN-2009 参考:2種類の長期署名フォーマット XML Consortium XAdES ‒ JIS X5093 ‒ ETSI TS 101 903 ◎ ◎ ◎ ◎ ◎ XML署名 利用例: ODF , OOXML , XPS 等 XML(テキスト) CAdES ‒ JIS X5092 ‒ ETSI TS 101 733 ベース電子署名規格 CMS(PKCS#7)形式 ベースフォーマット ASN.1/BER(バイナリ) 日本のPKI業界ではXMLは少数 テキスト形式で可読性が高い XMLの正規化等による冗長性あり 一般的XMLパーサで解析可能 証明書等はASN.1/BER形式の為 結局CMS等の知識も必要になる ◎ ◎ ◎ ◎ ◎ 利用例: PDF , S/MIME 等 PKI業界で昔から使われている 日本ではXAdESよりも実装が多い ファイルサイズが小さい ASN.1/BER対応のパーサが必要 証明書等も全てASN.1/BER形式 長期署名としての要素となる情報や電子署名+タイムスタンプとしての仕様は両方共ほぼ同等。 署名対象となる文書フォーマットやデータフォーマットで使い分けられているケースが多い。 ©2008 XML Consortium 26 Security Sig 09-JAN-2009 XMLセキュリテツール/製品調査 XML Consortium まとめ XMLのセキュリティに関するツールや製品を調査中 2009年5月 最初の結果報告を目標 調査製品分野 – XML暗号、XML電子署名、WS-Security • APサーバー型 • ゲートウェイ型 • ライブラリ型 (対応検討中) – XMLベースの長期署名 – XML/SOAPファイアウォール 共有すべき製品情報があればご連絡ください ©2008 XML Consortium 27 Security Sig 09-JAN-2009
© Copyright 2024 Paperzz
