3.PKIX(Public-Key Infrastructure(X.509))
ITU-T X.509 証明書を使った公開鍵暗号方式の証明書を、Internet での認証および暗号鍵の配布に使うための枠組みを議論している WG である。
ミーティングは2回行われた。
今回のミーティングでは、
- CertificateとCRL(Certificate Revocation List) のプロファイル
- LDAP WG との連携および要求
- CMP(Certificate Management Protocol)
- CRS(Certificate Request Syntax)
- Time Stamping (TSA) & Notary (NA)
- OCSP(Online Certification Status Protocol)
についての報告があった。
Internet Public Key Infrastructure X.509 Certificate and CRL Prefile として出されているX.509 の証明書のプロファイルについて他のアプリケーションとの整合性をどこまで取るかについての議論が取り交わされた。すでに IESG への提出は終わっているが、いくつかの問題が残っていることが報告された。
- Name の中の Wildcard をどう扱うか?
- ASN.1 として1988年版を使うべきか1993年版を使うべきか?
- キャラクタコードをどうするか? UTF-8 を使うのか?
- 鍵の利用条件を証明書内に持つべきか?
- CRLDistributionPoint を Critical とすべきか否か?
といった問題が残っているとの報告があった。
LDPA v2 の Profile は Last call/IESG への提出も終了している。 現在の PKIX は LDAP v2 をベースとしているので新しいものは v3 に入れることにしたとの報告があった。この後必要である、新しいスキームを導入するときに LDAP WG と連携して行うべきであるとの意見がで、採用された。
キャラクタセットとして何を使うかという問題が残っているとの報告があった。CMPのInternet-Draft は “Internet Public Key Infrastructure Certificate Management Protocols”である。
draft-ietf-pkix-ipki3cmp-07.txt
PKCS7/10との整合性をどうするかという報告があった。
プロポーザルを S/MIME WG へ送り、S/MIME WG のチェアである Schiller氏/Housley氏からは特に反対を受けなかった旨が報告された。 この問題は S/MIME だけに関わる問題ではないことでもあり、一般的な解決を行うには PKIX で 扱うのが良いであろうという判断が行われた。
CRS については、今後も CMP との関係を明確化し RFC とすることが確認された。1998年3月24日付けで、一連の RFC として RSA の PKCS #1/#7/#10が RFC化されたことを付記しておく。
RFC2313 PKCS #1: RSA Encryption Version 1.5
RFC2314 PKCS #10: Certification Request Syntax Version 1.5
RFC2315 PKCS#7: Cryptographic Message Syntax Version 1.5
ICAP で行っているタイムスタンプサービスと同様なことをしようとしていた。
実際に何かを「証明しよう」とするときに「いつのものであるか」を明確に「証明」したいと言う要求はどこにもあるようである。
“Internet-draftsとしてInternet Public Key Infrastructure Pert V:Time Stamp Protocols”が出ている。
draft-ietf-pkix-ipki5tsp-00.txt
Internet-draft (Internet Public Key Infrastructure Online Certificate Status Protocols - OCSP) の状況を Mike Myers が報告した。 次回の Los Angels のミーティングまでにLast call するつもりであると報告された。
draft-ietf-pkix-ocsp-02.txt