Recent Trend in IETF Security Standards 숙명여대정보과학부 이광수 rhee@sookmyung.ac.kr 1
목차 IETF 보안영역작업반현황 주요작업반현황 ipsec, pkix, smime 신설작업반현황 inch, ipseckey, sasl IRTF 보안관련연구반현황 aaa, asrg, gsec 2
IETF 보안영역작업반현황 IETF 영역 IETF 보안영역작업반 최근해체된 IETF 보안영역작업반 3
IETF 보안영역작업반현황 (1) 8 개영역에 131 작업반이편재되어있음 (2003/6) 영역 작업반수 Applications 29 General 1 Internet 15 Operations and Management 22 Routing 13 Security 19 Sub-IP 7 Transport 25 4
IETF 보안영역작업반현황 (2) 약어 이름 #RFC #I-D idwg Intrusion Detection Exchange Format 0 4 inch Extended Incident Handling 0 1 krb-wg Kerberos WG 0 10 ipsec IP Security Protocol 18 23 ipsp IP Security Policy 0 5 ipsra IP Security Remote Access 0 3 kink Kerberized Internet Negotiation of Keys 0 1 msec Multicast Security 0 5 ipseckey IPSEC KEYing information resource record 0 0 pkix Public-Key Infrastructure (X.509) 14 32 5
IETF 보안영역작업반현황 (3) 약어 이름 #RFC #I-D sasl Simple Authentication and Security Layer 0 7 secsh Secure Shell 0 10 openpgp An Open Specification for PGP 2 1 s/mime S/MIME Mail Security 18 16 stime Secure Network Time Protocol 0 1 syslog Security Issues in Network Event Logging 1 3 sacred Securely Available Credentials 1 2 tls Transport Layer Security 4 8 xmldsig XML Digital Signatures 3 0 전체문서수 94 124 6 주요작업반 신설작업반
IETF 보안영역작업반현황 (4) 2002 년해체작업반 약어이름활동기간 #RFC Authenticated Firewall Traversal 1994-2001 3 aft - 간이방화벽프로토콜인 SOCKS의표준화 Common Authentication Technology 1992(?)-2002 13 7 cat otp - MIT의커버로스, DEC사의 DASS 등에기반 - 보안서비스와하부보안메커니즘분리 - 분산보안서비스제공 : 인증및무결성 / 기밀성 / 권한관리 One Time Password Authentication 1995-1998 3 - 벨코어의 S/KEY 시스템에기반 - 패스워드도청공격에대한방어 - 일회성패스워드시스템표준화
주요작업반현황 ipsec pkix smime 8
주요작업반 - ipsec (1) NAT 장비와의충돌문제해결 3편 SNMP를위한 IPsec 장비관련 MIB 6편 알고리즘추가작업 6편 IKE 개정작업 2편 ESP/AH 개정작업 2편 기타 8편 9
주요작업반 - ipsec (2) NAT 장비와의충돌문제해결 NAT: Network Address Translation IP 헤더의주소부분변경으로인해 IPsec 의 AH 프로토콜과충돌 IPsec 패킷을다시 UDP 캡슐화하는방식제안 관련문서 IPsec-NAT Compatibility Requirements Negotiation of NAT-Traversal in the IKE UDP Encapsulation of IPsec Packets 10
주요작업반 - ipsec (3) SNMP를위한 IPsec 장비관련 MIB SNMP: Simple Network Management Protocol MIB: Management Information Base 관련문서 IPSec Monitoring MIB IPsec DOI Textual Conventions MIB ISAKMP DOI-Independent Monitoring MIB Internet Key Exchange (IKE) Monitoring MIB IPsec Flow Monitoring MIB IPsec Flow Monitoring MIB Textual Conventions 11
주요작업반 - ipsec (4) 알고리즘추가작업 AES 알고리즘관련문서 The AES Cipher Algorithms and Their Use With IPsec Using AES Counter Mode With IPsec ESP The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec Using AES CCM Mode With IPsec ESP IKE 를위한추가 DH/ECC 군정의관련문서 More MODP Diffie-Hellman groups for IKE Additional ECC Groups for IKE 12
주요작업반 - ipsec (5) IKE 개정작업 IKE: Internet Key Exchange SA 및키협상프로토콜 복잡성, 비효율성, 보안성등의문제점 전면적개정을지향한 JFK보다 IKE의개선을지향한 IKEv2로귀착 IKEv2 관련문서 Internet Key Exchange (IKEv2) Protocol Understanding IKEv2: Tutorial, and rationale for decisions 13
주요작업반 - ipsec (6) ESP/AH 개정작업 ESP 주요개정사항 : 순서번호 : 32비트에서 64 비트로확장 SPI: 유니캐스트와멀티캐스트구분 TFC( 트래픽흐름기밀성 ) 를위해패딩길이제한없어짐 인증 / 암호화결합형알고리즘지원 AH 주요개정사항 : 순서번호, SPI 관련문서 IP Encapsulating Security Payload (ESP) IP Authentication Header 14
주요작업반 pkix (2) 기타문서 Extended Sequence Number Addendum to IPsec DOI for ISAKMP IKEv2: ECN Requirements for IPsec Tunnels DHCP over IKE Using DHCP server/client backend for DHCP over IKE Using RADIUS backend for DHCP over IKE On the Use of SCTP with IPsec The Internet IP Security PKI Profile of ISAKMP and PKIX A Traffic-Based Method of Detecting Dead IKE Peers 15
주요작업반 pkix (1) 인증서및 CRL에대한프로파일 9편 PKI 운용프로토콜 8편 PKI 관리프로토콜 5편 정책표현 / 처리 3편 시점확인및데이터인증서비스 2편 16
주요작업반 - pkix (2) 인증서및 CRL 에대한프로파일 기본필드들의용법규정 확장필드들의용도및용법규정 인증서프로파일관련문서 Internet X.509 PKI Proxy Certificate Profile Internet X.509 PKI:Qualified Certificates Profile 인증서알고리즘관련문서 Additional Algorithms and Identifiers for RSA Cryptography for use in the Internet X.509 PKI Certificate and CRL Profile NIST Recommended EC Domain Parameters For PKIX 17
주요작업반 - pkix (3) 인증서및 CRL 에대한프로파일 [ 계속 ] 신규확장규정문서 Internet X.509 PKI Permanent Identifier Warranty Certificate Extension Internet X.509 PKI: Logotypes in X.509 certificates Internet X.509 PKI Subject Identification Method (SIM) Certificate Extensions and Attributes Supporting Authentication in PPP and Wireless LAN 18
주요작업반 - pkix (4) PKI 운용프로토콜 인증서및 CRL의분배 CRL 이외의인증서상태정보획득방법 인증서및 CRL의분배관련문서 Internet X.509 PKI LDAP Schema for X.509 CRLs Internet X.509 PKI LDAP Schema for X.509 Attribute Certificates Internet X.509 PKI Repository Locator Service Internet X.509 PKI Operational Protocols: Certificate Store Access via HTTP 19
주요작업반 - pkix (5) PKI 운용프로토콜 [ 계속 ] 기타인증서상태정보획득관련문서 Simple Certificate Validation Protocol (SCVP) X.509 Internet PKI Online Certificate Status Protocol, version 2 Certificate Validation Protocol DPV (Delegated Path Validation) and DPD (Delegated Path Discovery) over OCSP 20
주요작업반 - pkix (6) PKI 관리프로토콜 인증서사용자와관리실체사이의대화 등록, 폐지, 상호인증, 인증서 /CRL 발행, 갱신, 관련문서 Internet X.509 PKI Certificate Management Protocols Internet X.509 PKI Certificate Request Message Format Certificate Management Messages over CMS Attribute Certificate Request Message Format Attribute Certificate Management Messages over CMS 21
주요작업반 - pkix (7) 정책표현및처리 인증서정책및인증업무준칙 관련문서 Internet X.509 PKI Certificate Policy and Certification Practices Framework Policy Requirements for Time-Stamping Authorities Attribute Certificate Policies extension 22
주요작업반 - pkix (8) 시점확인및데이터인증서비스 시점확인서비스 장기보관데이터에대한인증 관련문서 Internet X.509 PKI Time-Stamp Protocol (TSP) Trusted Archive Protocol (TAP) 23
주요작업반 smime (1) 주요프로토콜개정 알고리즘추가작업 기타 X.400과의연동 대칭키를이용한 24
주요작업반 smime (2) 주요프로토콜개정 메시지형식및인증서처리명세개정 RSA 알고리즘에대한지원이 MUST로됨 헤더보호의강화 CompressedData CMS 유형의추가 관련문서 S/MIME Version 3.1 Certificate Handling S/MIME Version 3.1 Message Specification 25
주요작업반 smime (3) 알고리즘추가작업 관련문서 Use of the RSAES-OAEP Transport Algorithm in CMS Use of the AES Encryption Algorithm in CMS Use of the Camellia Encryption Algorithm in CMS Use of the PSS Signature Algorithm in CMS Wrapping an HMAC key with a Triple-DES Key or an AES Key 26
주요작업반 smime (4) 기타 X.400 과의연동관련문서 Transporting S/MIME Objects in X.400 Securing X.400 Content with S/MIME S/MIME 메시지예제 Examples of S/MIME Messages 대칭키시스템을이용한키관리및분배 CMS Symmetric Key Management and Distribution 27
신설작업반현황 inch ipseckey sasl 28
신설작업반 inch (1) 작업범위 컴퓨터보안사건의표현양식에대한표준화 CSIRT 사이, 또는 CSIRT와관련당사자사이의정보교환에이용 TERENA의 TF-CSIRT IODEF 작업반의작업에기초 http://www.terena.nl/task-forces/tf-csirt/iodef/ TERENA : Trans-European Research and Education Networking Association CSIRT : Collaboration of Security Incident Response Teams IODEF : Incident Object Description and Exchange Format 29
신설작업반 inch (2) 연혁 51, 52, 53차 IETF 회의기간중 BOF 55차회의에서첫 WG 회의가짐 I-D 문서 The Incident Data Exchange Format Data Model and XML Implementation DTD IODEF Requirements: RFC 3067에대한개정판 Requirements for Format for INcident Report Exchange (FINE) 30
신설작업반 ipseckey (1) 작업범위 DNS IPSECKEY RR(Resource Record) 개발 RFC 2535의 DNS KEY RR의 IPSEC 서브타입대체 RFC 3445는 KEY RR을 DNS 보안용도로제한 DNS 이름과연계된공개키분배방법제시 IPsec에서의 Opportunistic Encryption에특히유용 RFC 2535 (DNS Security Extensions) 는 DNS 보안및 기타보안서비스를위한 DNS 를이용한공개키분배를규정하고있음 Opportunistic Encryption : draft-richardson-ipsec-opportunistic-11.txt 31
신설작업반 ipseckey (2) 연혁 55차 IETF 회의기간중 BOF 56차회의에서첫 WG 회의가짐 I-D 문서 A method for storing IPsec keying material in DNS 32
신설작업반 sasl (1) 작업범위 인증및기타보안서비스를위한메커니즘및프레임워크개발 주요보안서비스 : 무결성, 기밀성 SASL 메커니즘 Anonymous PLAIN DIGEST-MD5 GSS-API 인증 일회성패스워드 DSS 보호패스워드 SecurID PKI, 등등 33
신설작업반 sasl (2) SASL 이용대상프로토콜 응용계층프로토콜 : SMTP, POP3, IMAP, LDAP, HTTP, BEEP 전송계층프로토콜 : TLS 연혁 1996년메일링리스트구축하며활동시작 51차 IETF 회의기간중 BOF 56차회의에서첫 WG 회의가짐 34
신설작업반 sasl (3) I-D 문서 The Anonymous SASL Mechanism: RFC 2245 개정 The Plain SASL Mechanism Using Digest Authentication as a SASL Mechanism: RFC 2831 개정 SASLprep: Stringprep profile for user names and passwords Simple Authentication and Security Layer (SASL): RFC 2222 개정 35
IRTF 보안관련연구반현황 asrg (Anti-Spam Research Group) cfrg (Crypto Forum Research Group) gsec (Group Security) 36
IRTF 연구반 asrg 2002년 7월활동시작 스팸문제의해결을위한통신구조개발 ( 사전및사후 ) 동의에기초한통신구조 시스템구성요소 동의표현컴포넌트 정책집행컴포넌트 발생지추적컴포넌트 37
IRTF 연구반 cfrg 2002년 7월활동시작 네트워크보안및 IETF 일반을위해암호기술을논의하기위한포럼 논의주제사례 AES 기반유사난수함수 SOBER-128 : 인증 + 암호화결합함수 대칭키교환에사용되는공개키암호의강도결정 OpenPGP 보안성분석 38
IRTF 연구반 gsec (1) 2001년 11월활동시작 1998년구성된 SMuG(Secure Multicast Group) 의후신 연계 IETF 작업반 : msec (Multicast Security) 39
IRTF 연구반 gsec (2) 연구주제 그룹정책괸리 분산형그룹키관리 개방그룹및폐쇄그룹을위한보안기술 다중송신자 그룹키관리및구성원관리 비-멀티캐스트보안 ( 애니캐스트, 브로드캐스트등 ) 신뢰성있는멀티캐스트 40