Embed Size (px)
Citation preview
1
XML ConsortiumXML Consortium
Security Sig09-JAN- 2009©2008 XML Consortium
XMLセキュリティツール/製品調査
2009年1月9日 XMLコンソーシアムDayセキュリティ部会林 正樹 (富士通)宮地直人(ラング・エッジ)
2
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XMLセキュリティツール/製品調査活動の概要
XMLのセキュリティに関するツールや製品を調査する– 1) XMLを使ったシステムに対するセキュリティ– 2)セキュリティ技術でXMLを利用するもの
利用に役立つ情報の調査/一覧資料の作成– 製品版/無償ツールの機能、特徴、使い方、事例など
調査結果を公開– XMLコンソーシアムWebサイト– XML開発ガイド– その他、発表の場があれば公開していく共有すべき製品情報があればご連絡ください
3
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
活動目的
XMLやWebサービスのセキュリティに関する標準規格がたくさんある
標準でない仕様やツールもある– OpenID, OAUTH …
何を使って何ができるのか
何が必要なのか
4
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
調査方法製品版 無償ツール(無償提供版)
リストアップ セキュリティ部会で調査 セキュリティ部会で調査
基本情報入手 ベンダーに情報提供依頼 セキュリティ部会で調査
事例調査 ベンダーに情報提供依頼
使い方の確認
2009年5月公開目標
調査対象:対象分野のツール/製品で日本で利用可能なもの– XML暗号、XML電子署名、WS-Security– XMLベースの長期署名– XML/SOAPファイアウォール– その他 (随時検討)
5
XML ConsortiumXML Consortium
Security Sig09-JAN- 2009©2008 XML Consortium
ツール/製品調査XML暗号、XML電子署名、
WS-Security (WSS)
6
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
セキュリティ対策XMLデータの保護:WS-Security
トークン•Username•X.509•SAML•REL
WS-Security2004/04
OASIS標準XML暗号化XML電子署名
SOAP 認証基盤
ゴール:SOAPを使った安全なアプリケーション間通信の方法– 日本語版は、XMLコンソーシアムWebサイト
http://www.xmlconsortium.org
主な内容:
– メッセージ保護メカニズム、ID参照、セキュリティ・ヘッダ– 電子署名と暗号化、タイムスタンプ → 主にデータの保護をカバー– セキュリティ・トークンと参照の方法– 注意点 (エラー処理、相互接続性、その他)
7
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
WS-Secrityの目的と機能Webサービスをセキュアにするための基本プロトコルSOAPの機能拡張する標準を作り、End-Endの完全性、秘匿性を考慮■メッセージの完全性:XML-Signatureセキュリティトークンの使用、Multiple SOAP actors/rolesに対応した複数の署名、署名形式の拡張を考慮
■メッセージの秘匿 :XML Encrypttionセキュリティトークンの使用、Multiple SOAP actors/rolesに対応した暗号化の考慮
完全性(Integrity)
秘匿性(Confidentiality)
送信者認証(Sender Authentication)
XML電子署名XML-Signature
XML暗号化XML Encryption
セキュリティトークンUsername/X.509/SAML等
8
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
WS-Securityのデータ例
Timestamp及びBodyに署名↓暗号化
WS
WS
-- SecuritySecurity
ヘッダ
ヘッダ
タイムスタンプ
セキュリティ・トークン(X509証明書)
暗号化された
鍵情報
電子署名
本文(Body)暗号化済み
OASISWeb Services Security:SOAP Message Security 1.0OASIS Standard 200401, March 200411章 「拡張例」より
SOA
PSO
AP
ヘッダ
ヘッダ
SOA
PSO
AP
ボディ
ボディ
9
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XML暗号、XML電子署名、WS-Security
製品提供形態
アプリケーション・サーバー型
ゲートウェイ型
ライブラリ型
10
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
調査対象項目の例
製品が提供している機能の有無– XML暗号・復号機能– XML電子署名付与機能– XML電子署名検証機能– WS-Security機能
準拠している標準仕様
使用可能なXML暗号、XML電子署名の暗号アルゴリズムと鍵長
サポートしているセキュリティ・トークン(WS-Security機能)事例調査
など
11
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XML暗号、XML電子署名、WS-Security
アプリケーション・サーバー型
アプリケーション・サーバ型とは– Webサービスの実行環境となるアプリケーションサーバ(AppSV)において、XML暗号、XML電子署名、WS-Securityなどに対応
XML電子署名
XML暗号
WS-Security
アプリ処理・他AppAppSVSV
SOAP<?xml
……
FWFWAppAppSVSV
12
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XML暗号、XML電子署名、WS-Security
アプリケーション・サーバー型
調査予定製品– 富士通 (Interstage)– NEC (ActiveGlobe WebOTX)– 日立 (Cosminexus)– 日本オラクル (Oracle Application Server、WebLogic
Server)– 日本IBM (WebSphere Application Server)– サン・マイクロシステムズ (Sun Java System Application
Server)– 日本HP (Systinet Server)– Software AG (webMethods Glue)
13
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XML暗号、XML電子署名、WS-Security
ゲートウェイ型
XMLゲートウェイ型とは– XML暗号、XML電子署名、WS-Securityなど、XMLの処理機能の一部をAppSVからオフロードする
XML処理の一部をオフロード
AppAppSVSV
XML電子署名
XML暗号
WS-Security
XML電子署名
XML暗号
WS-Security
アプリ処理・他FWFW XMLXMLゲートウェイゲートウェイ
SOAP<?xml
……
AppAppSVSV
13
14
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XML暗号、XML電子署名、WS-SecurityXMLゲートウェイの調査リスト
2005年6月7日Week で報告した”WebServiceSecurity 製品対応状況について“でリストアップした製品を中心に、現在日本で販売されている製品を対象を精査してアンケートを実施する予定対象製品– Cisco (ACE* XML GW)
*Application Control Engine– IBM DataPower (XS40 XML Security Gateway)– Intel (Intel SOA Express)– SOA Software (XML VPN)– Radware (AppXML)– Solance Systems (Solance3230 and Solance3260
content router)– Sonoa Systems
15
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XML暗号、XML電子署名、WS-Security
ライブラリ型
ライブラリ型とは
ライブラリの形で、 XML暗号、XML電子署名、WS-Security機能を提供ツール例 (2005年調査より)– Apache WSS4J (Apache Software Foundation)– JavaTM Web Services Developer Pack (Java WSDP)
1.5 (Sun Microsystems)– Oracle Phaos WSS 1.0 (Oracle)– RSA BSAFE Secure WS-C/J (RSA Security)– Trust Services Integration Kit 1.10 (VeriSign, Inc.)– Web Services Enhancements (WSE) 2.0 SP3
(Microsoft)
調査方法は検討中
16
XML ConsortiumXML Consortium
Security Sig09-JAN- 2009©2008 XML Consortium
ツール/製品調査XML/SOAPファイアウォール
17
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XML/SOAPファイアウォールとは何か?
XML firewall– From Wikipedia, the free encyclopedia 2008/12/31– First brought to market by Forum Systems[citation
needed], an XML firewall is a specialized firewall used to provide security for XML messaging such as Web services. XML firewalls are types of XML appliances that are separated from internal computer systems and frequently reside in an organization's DMZ.(XMLファイアウォールとは特殊化したファイアウォールで、WebサービスのようなXMLメッセージングに対してセキュリティを提供するために使われる。)
大きく分けて2種類の形態– XMLゲートウェイで、セキュリティ機能を持つもの
…重要なWebサービスなど特定のシステムに利用されることが多い– ファイアウォールで、XML機能を持つもの… AjaxなどXMLを使う部分もあるWebサイトに利用されることが多い
18
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XML/SOAPファイアウォール調査対象ツール/製品
Cisco ACE (ゲートウェイ)IBM DataPower (ゲートウェイ)Imperva SecureSphere WAFバラクーダネットワークスWeb Site Firewallシトリックス Application Firewall
19
XML ConsortiumXML Consortium
Security Sig09-JAN- 2009©2008 XML Consortium
ツール/製品調査長期署名XAdES
(XAdES = XML Advanced Electronic Signatures)
20
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
その前に…長期署名とは?○ 現実世界との比較
現実世界
印鑑(ハンコ) 紙に押印した印影 印鑑証明書/住民票等
電子世界 証明書と秘密鍵電子署名(XML署名)
検証情報や時刻証明(失効情報/TST等)
電子署名 --- ○ × 含まない
長期署名 --- ○ ○ 含む
従来の電子署名(XML署名)には有効期限があった。長期署名(XAdES)では有効期限の延長が可能になる。
21
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
長期署名XAdESの利点必要な検証情報を全て含み有効期限の延長が可能。– 検証に必要な証明書や失効情報等をタイムスタンプにより保護。– e-文書法やJ-SOXでの電子文書の長期保管に利用が期待される。
「誰が」に加えて「いつ」に関してもタイムスタンプ技術で保証。– タイムスタンプは電子署名技術の応用により時刻を保証する。
XAdESは2008年にJIS化もされた標準規格。– XAdESは標準のXML署名を拡張した上位互換仕様になっている。– JIS X 5093:2008 「XML署名利用電子署名(XAdES)の長期署名プロファイル」。欧州規格「ETSI TS 101 903 V1.3.2」。
– 現在は主に欧州のETSIが中心になって仕様を更新している。– 日本ではECOMが中心になってJIS化等の標準化を進めている。
22
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
ECOMにおけるXAdESの歴史2000年より長期署名の調査や普及啓蒙活動を実施2005年度 CAdES/XAdES相互運用性テストプロジェクト– XAdES参加企業は3社、(CAdESは10社)
2006年5月 XAdES JIS原案の作成に着手2007年度 CAdES/XAdES相互運用性テストプロジェクト
– XAdES参加企業は8社に増加、(CAdESは14社)
2008年5月 XAdES JIS化
※他にも欧州(ETSI)と共同にてPlugTestを数回実施※ ECOM = 次世代電子商取引推進協議会 http://www.ecom.jp/
23
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
長期署名XAdESツール調査2007年度 CAdES/XAdES相互運用性テスト参加企業を対象にしてアンケート調査を予定(以下50音順)– エントラストジャパン– 関電システムソリューションズ– 大日本印刷– 東北インフォメーション・システムズ– 日本電気– 富士ゼロックス– 三菱電機– ラング・エッジ
※ 2007年度相互運用性テスト結果はECOMサイトにて入手可能http://www.ecom.jp/LongTermStorage/
24
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
付録:XAdESの構造1ES (XAdES) = 電子署名文書。ES-T (XAdES-T) = ESに署名タイムスタンプ(STS)を追加。- JIS定義ES-C (XAdES-C) = ES-Tに検証情報リファレンスを追加。ES-X Long (XAdES-XL) = ES-T/ES-Cに検証情報を追加。ES-A (XAdES-A) = ES-X Long に保管タイムスタンプ(ATS)を追加。 - JIS定義
ES-A…ES-AES-XLES-CES-TES
署名値
文書 署名属性STS
検証情報リファレンス
検証情報
ATS ATS
25
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
付録:XAdESの構造2<Signature> // XML署名開始タグ<SignedInfo> // 署名対象要素 ES-BES要素<CanonicalizationMethod/> // 署名対象正規化手法指定<SignatureMethod/> // 署名アルゴリズム指定<Reference/> // 署名対象へのURI指定1とオプション変換手法指定: // 署名対象は複数指定可能
<Reference URI=”#xades”/> // XAdES署名対象へのURI指定</SignedInfo> // 署名対象要素終了<SignatureValue/> // 署名値(Base64) ES-BES要素<KeyInfo/> // 署名者の秘密鍵情報(オプション) ES-BES要素<Object/> // 署名対象内包時のオブジェクト要素(オプション)<Object> // 長期署名用オブジェクト(必須)<QualifyingProperties> // XAdES要素開始<SignedProperties Id=”xades”> // XAdES署名対象要素(必須:署名対象の1つ)<SignedSignatureProperties/> // XAdES署名要素(例:<SigningTime>等) ES-BES要素
</SignedProperties> // XAdES署名対象要素終了<UnsignedProperties> // XAdES非署名対象要素<UnsignedSignatureProperties> // XAdES非署名要素<SignatureTimeStamp/> // XAdES-T署名タイムスタンプ要素 ES-T要素<CertificateValues/> // XAdES-X-Long証明書一覧要素 ES-XL要素<RevocationValues/> // XAdES-X-Long検証情報一覧要素 ES-XL要素<ArchiveTimeStamp/> // XAdES-A保管タイムスタンプ要素(複数回可能) ES-A要素:
<ArchiveTimeStamp/> // XAdES-A保管タイムスタンプ要素(最終) ES-A要素</UnsignedSignatureProperties> // XAdES非署名要素
</UnsignedProperties> // XAdES非署名対象要素終了</QualifyingProperties> // XAdES要素終了
</Object> // 長期署名用オブジェクト終了タグ</Signature> // XML署名終了タグ
26
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
参考:2種類の長期署名フォーマット
XAdES ‒ JIS X5093 ‒ ETSI TS 101 903
◎ 日本のPKI業界ではXMLは少数◎ テキスト形式で可読性が高い◎ XMLの正規化等による冗長性あり◎ 一般的XMLパーサで解析可能◎ 証明書等はASN.1/BER形式の為結局CMS等の知識も必要になる
CAdES ‒ JIS X5092 ‒ ETSI TS 101 733
◎ PKI業界で昔から使われている◎ 日本ではXAdESよりも実装が多い◎ ファイルサイズが小さい◎ ASN.1/BER対応のパーサが必要◎ 証明書等も全てASN.1/BER形式
ベースフォーマットXML(テキスト) ASN.1/BER(バイナリ)
ベース電子署名規格XML署名利用例: ODF , OOXML , XPS 等
CMS(PKCS#7)形式利用例: PDF , S/MIME 等
長期署名としての要素となる情報や電子署名+タイムスタンプとしての仕様は両方共ほぼ同等。署名対象となる文書フォーマットやデータフォーマットで使い分けられているケースが多い。
27
XM
L C
onso
rtiu
mX
ML
Con
sort
ium
©2008 XML ConsortiumSecurity Sig09-JAN-2009
XMLセキュリテツール/製品調査
まとめ
XMLのセキュリティに関するツールや製品を調査中2009年5月最初の結果報告を目標調査製品分野– XML暗号、XML電子署名、WS-Security
• APサーバー型• ゲートウェイ型• ライブラリ型 (対応検討中)
– XMLベースの長期署名– XML/SOAPファイアウォール
共有すべき製品情報があればご連絡ください
