Kaoru Maeda, profile picture
Uploaded byKaoru Maeda
PDF, PPTX1,705 views

IETF90 Web関連WG報告 #isocjp

2014/8/25 ISOC-JP主催のIETF報告会90で発表した資料です

Embed presentation

Download as PDF, PPTX
https://lepidum.co.jp/ Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. Web-related WG Report(IETF90) 株式会社レピダム 前田薫(@mad_p) IETF90報告会2014/08/25
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ Agenda 自己紹介 参加の背景・経緯 httpbisWG httpauthWG oauthWG IETF90 Toronto, Canada July 20-25 2
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ 自己紹介 名前 前田薫 所属 株式会社レピダム シニアプログラマ マネージャ コミュニティー活動 Lightweight Language Identity Conference http2勉強会 業務領域 認証・認可、デジタル アイデンティティー、 プライバシー 標準化支援 ソフトウェアセキュリ ティー、脆弱性 3
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ 経緯・背景 「HTTP相互認証プロトコル」の標準化支援 httpauthWG(Sec Area) https://tools.ietf.org/html/draft-oiwa-http-mutualauth (独)産業技術総合研究所様の研究成果 https://www.rcis.aist.go.jp/special/MutualAuth/ IETFや標準化との関わり IETF89から参加 HTTP/Webと認証を中心に 標準化支援や最新動向のコンサルテーション 等をしています 4
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ httpbisWG (Mon Jul 21, Tue Jul 22) Hypertext Transfer Protocol Bis HTTP/2 WGLC秒読み→ 8/1 WGLC 仕様はML上でほぼ固まった プロキシについて議論 HTTP/1.1 update RFC7230-7235 5
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2 HTTP/2 8/1付でWorking Group Last Call 目的 環境を限定しないパフォーマンス改善 ネットワーク資源の効率的な使用 現代的なセキュリティ要件および慣習の反映 いくつかの提案の中からGoogleのSPDYプロトコ ルをスタートポイントに策定を開始 6
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/1.1とHTTP/2の違い HTTPヘッダーのバイナリ化 HTTPヘッダーの効率化(圧縮) 多重化(Multiplexing) 優先制御(Prioritizing) 通信の開始方法 TCPコネクションの利用方針 etc... 7
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2 draftの最近の歴史 8 draft-ietf-httpbis-http2(h2) 日本語訳 http://summerwind.jp/docs/draft-ietf-httpbis-http2-14/ draft-ietf-httpbis-header-compression(HPACK) Date h2 HPACK WG Activity 備考 2014/02/13 10 06 Interim 2014/1 Zurich 2014/04/03 11 07 IETF89 2014/04/23 12 HPACK更新なし 2014/06/17 13 08 Interim 2014/6 New York 2014/07/30 14 09 IETF90 WGLast Call
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2 最新仕様の主な変更点 拡張性が復活 誰でもが使うものでない機能は拡張機能へ content gzip, ALTSVCなど フレームサイズを2**24-1 (16M)まで拡大可能 フレームサイズは3オクテットで表現 pseudo headers(「:」で始まるもの)は最初に HPACK 簡略化: reference setの削除、ヘッダの順序保存 「ヘッダテーブルに追加しない」リテラル 圧縮率観測攻撃の対象になるヘッダで使用、プロキシへの指示 ハフマンテーブルの更新 9
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ HPACK reference set削除 reference setとは 前回のHEADERSの中身を覚えておき、差分だけ送信 同一のヘッダフィールドは送らない まったく同一の場合は空のHEADERSフレームを送る reference setの問題点 最後まで読まないと中身がわからない 接続先(:authority, :scheme)が不明 ヘッダの順番が保たれない 圧縮率に貢献するというデータがない 実装がややこしくなりバグの元 山本和彦さんの指摘により再検討され、削除に至る http2study #5 2014/07/29
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2今後の予定 8月いっぱいWG Last Call 11月中旬、IETF 91 Honolulu http/3の仕様検討? 2014内(?) IETF Last Callをめざす 11
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ プロキシについて HTTP/2でend-to-end TLS encryptionの普及が 進む TLSのALPN拡張によるHTTP/2への切りかえ 暗号化のmandateはされなかった end-to-end暗号化世界でのプロキシの役割 現状分析 Trusted Proxyが使われている例 HTTP/1.1でのプロキシ定義振り返り 12
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ プロキシの現状について HTTP/2におけるプロキシについて(Adam) SPDYでは間にプロキシがあるために接続できな い人がいる コンテンツfilteringはクライアントでやるべき Trusted Proxyとコスト(Peter) ネットが遅い地域ではOpera Miniが普及 サーバー側でTLSをほどき、高圧縮で送信 CDNではラストマイルはサポートできない http2study #5 2014/07/29
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ Explicitly Authenticated Proxy(Salvatore) userのexplicitconsent下で動くプロキシ これまでとは別のカテゴリのプロキシ reduce data usage content filtering accessには干渉しないが、optional servicesを提 供するもの Proxy Certificate opt outの必要性 per requestではなくブラウザ設定で http2study #5 2014/07/29
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ そもそもProxyって何だ(mnot) HTTP/1.1ではどう定義されているか explicitly allows transformation and cache explicitly configured by clients HTTPS request is end-to-end これらのプロキシの定義を変えるのは大変 機能追加ではなく現在のコンセンサスの変更である IETFは政治的にはサイドを取らないが、↑を選ぶとサイドを 取ることになる What can we do? publish "proxy problem" draft standardize proxy.pac find other ways to address underlying use cases http2study #5 2014/07/29
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ プロキシのディスカッション MITMプロキシの問題 オリジンサーバーの証明書を渡せない end-2-endセキュリティーではない 「HTTPがMITMを許容」なんて見出し見たいか? 保護の必要なコンテンツの分離 サーバーが秘匿性を表明したい ムービーだから内容は秘密じゃない フレームごと暗号化は考えたけど複雑すぎ トレードオフと選択は選択者によって違う 検閲は分けて考えないといけない アフォーダンスが必要だ。選択肢だけではダメ http2study #5 2014/07/29
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ プロキシディスカッションまとめ Mark HTTPS is inviolate Maybe some interest in opt in to soften that Some interest in adorning TLS Interest in normalizing what an intercepting proxy is Interest in encrypted caching. Open issue on how opportunistic security interacts with a proxy http2study #5 2014/07/29
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2以外の仕様 HTTP/1.1 → RFC7230-7235 RFC2616を分割、6つのRFCになった。http/2ではそのうちの1 つだけを置きかえる(wire format) goals: wire formatとそれ以外を分離 他の仕様にあったものでbase RFCにあるべきだったものを cherry-pickingした RFC7238: 308 permanent redirect expirimental→ proposed standard RFC5987: character set UTF-8だけを要求すればよく、ISO-8859-1 必須はドロップしてよい RFC6266: Use of the Content-Disposition Header Field Proposed Standard → Internet Standard. http2study #5 2014/07/29
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ その他の文書の検討 draft-nakajima-httpbis-http2-interop-survey draft-ietf-httpbis-alt-svc 拡張になったAltSvcのissuesについて draft-ietf-http2-encryption 日和見暗号とHTTP/2の関係 draft-hutton-httpbis-connect-protocol WebRTCがHTTPトンネルを使って送信されてい ることがわかるようにしてほしい→ 炎上 http2study #5 2014/07/29
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ httpauthWG (Mon Jul 21) Hypertext Transport Protocol Authentication 現在の機能の不足や安全性等、課題の多いHTTPプロ トコルの認証機構を、新しく安全にすることを目指 す TLSを用いる方法やHTMLのフォーム認証はスコープ外 新しい認証をExperimental RFCとして策定 現在ある複数の提案を統合したり選んだりするのでは なく相互にレビューする形 仕様と実装とどっちが先かの問題を避ける BasicおよびDigestの国際化、Digestのアルゴリズム更 新もスコープ こちらはStandard Track RFCを目指す 20
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ Basic認証、Digest認証、SCRAM Basic認証、Digest認証はWGLCが近い Digest認証 ユーザ名ハッシュ化: 前回のリベンジ セキュリティーのためではなくプライバシー Basic認証 パラメータ「charset」を追加 拡張パラメータの可能性を検討 ユーザ名、パスワードの国際化 UTF-8 NFCとする realmの国際化はoverkill SCRAM: 1-round-trip reauthenticationなど 21
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ mutual認証 ドラフトはわかりやすさのための修正が中 心 password strengthening function MLで提案が多くあったが、標準でないので見 送った。将来入れることができる NIST curvesでよいのか問題 ここでは難しい tlsWGでの動向を見て合わせる方向 22
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ oauthWG (Thu July 24) Web Authorization Protocol OAuth2.0とその周辺仕様を検討 IETF90でのトピック Dynamic Client Registration Token Introspection Proof-of-Possession Security OAuthSymmetric Proof of Possession for Code Extension Providing User Authentication Information to OAuth2.0 Clients OAuth2.0 Token Exchange Request by JWS ver.1.0 for OAuth2.0 23
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ oauthWGの議論 Dynamic Client Registration 文書構造をリファクタ application_type: nativeの定義を書きたくない management API 人によってめざす方向が違いすぎる→ experimental? Proof-of-PosessionSecurity: 後述 Token Introspection トークン検証をAuthServerに聞くAPI 24
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ oauthWGの議論(cont'd) OAuthSymmetric Proof of Posessionfor Code Extension code interception attack対策 clientでone-time credentialを作成 authorization request とtoken request で送信 ASでは2つのリクエストの送信者が同一であると検証 OAuth2.0 Token Exchange act_as, on_behalf_of関連を表わすため、tokenendpointで別のaccess_tokenに交換してもらう 25
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ oauthWGの議論(cont'd) Request by JWS ver.1.0 for OAuth2.0 Authorization リクエストをJWTで表現 x-www-form-urlencodedの代わりにJSONを使い、JWT にパッケージ JWSで署名またはJWEで暗号化 またはそのJWTのURIを送信 → この方法をHTTPリクエスト一般に拡張すると IoT向けリクエスト署名などに使えそう 26
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ Proof-of-PossessionSecurity http://www.ietf.org/proceedings/90/slides/slides-90-oauth-7.pptx 複数のリクエストにおいて、クライアントが鍵を 持っていることを以て同一であることを証明 例: authorization request 送信者とresourceaccess request 送信者が同一である draft bundle draft-richer-oauth-signed-http-request draft-bradley-oauth-pop-key-distribution draft-hunt-oauth-pop-architecture draft-jones-oauth-proof-of-possession 実装が必要! 27
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ Client Authorization Server Resource Server AS <-> Client Interaction Example: Symmetric Key AS sends access token to Client & symmetric key AS creates PoP-enabled access token 対称鍵を生成 "cnf":{ "jwk": "eyJhbGciOiJSU0ExXzUiLCJlbmMiOiJBMTI4Q0JDLUhTMjU2IiwiY3R5IjoiandrK ..." } 対称鍵を取得 access_token内にクレーム として記述
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ Client Authorization Server Resource Server AS <-> Client Interaction Example: Symmetric Key AS sends access token to Client & Authenticator Authenticator = Keyed Message Digest Computed Over Request. リクエストの対称鍵によるダイジェスト
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ Client Authorization Server Resource Server AS <-> Client Interaction Example: Symmetric Key RS “unwraps” access tokenand obtains symmetric key. RS verifies authenticator. SharedLong Term Key access_token内の対称鍵で ダイジェストを検証
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ 却下された提案 Providing User Authentication Information to OAuth2.0 Clients 「OAuth2認証」→ 必要性不明 OpenIDConnectでいいじゃん 31
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ まとめ HTTP/2 がWGLCに 実装も増え、interopも活発に httpauth Basic, Digest認証の修正がWGLC真近 oauth proof-of-possession, HTTP request signingなどIoT に応用の効く提案も 32
Copyright ©2004-2014 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/ Any Questions? / Please Feedback! https://lepidum.co.jp/ mailto:maeda@lepidum.co.jp / twitter: @mad_p 33

More Related Content

PDF
IETF90 IoT関連WG報告 #isocjp
byKaoru Maeda
 
PPTX
HTTP/2 draft 14 preview and IETF90 httpbis WG Report
byKaoru Maeda
 
PPTX
httpbis WG IETF89レポート
byKaoru Maeda
 
PDF
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
byToru Yamaguchi
 
PPT
Inside mobage platform
byToru Yamaguchi
 
PPTX
SPDYの話
byshigeki_ohtsu
 
PDF
IETF92報告IoT関連
byKaoru Maeda
 
PDF
SSL/TLSの基礎と最新動向
byshigeki_ohtsu
 
IETF90 IoT関連WG報告 #isocjp
byKaoru Maeda
 
HTTP/2 draft 14 preview and IETF90 httpbis WG Report
byKaoru Maeda
 
httpbis WG IETF89レポート
byKaoru Maeda
 
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
byToru Yamaguchi
 
Inside mobage platform
byToru Yamaguchi
 
SPDYの話
byshigeki_ohtsu
 
IETF92報告IoT関連
byKaoru Maeda
 
SSL/TLSの基礎と最新動向
byshigeki_ohtsu
 

What's hot

PPTX
Lpicl300セミナー資料_20170218(鯨井貴博)
byTakahiro Kujirai
 
PPTX
Keycloakの実際・翻訳プロジェクト紹介
byHiroyuki Wada
 
PDF
HTTP/2, QUIC入門
byshigeki_ohtsu
 
PPTX
Elasticsearch as a Distributed System
bySatoyuki Tsukano
 
PDF
Cndt2021 casareal
byCASAREAL, Inc.
 
PDF
これからのアプリ開発はIPv6対応で行こう!(2014/09/20 OSC Hiroshima版)
byv6app
 
PPTX
VIRLとPyATSで実現するネットワークCI
bytetsusat
 
PDF
Domino認証局の作成
byMasahiko Miyo
 
PDF
第4回Linux-HA勉強会資料 Pacemakerの紹介
byksk_ha
 
PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
byJPCERT Coordination Center
 
PDF
Chefのエンタープライズ事例 ossミドルウェアスタックishigakiテンプレートにおける事例-
by賢 秋穂
 
PDF
OSSラボ様講演 OpenStack最新情報セミナー 2014年6月
byVirtualTech Japan Inc.
 
PDF
#mailerstudy 02 メールと暗号 - SSL/TLS -
byTakashi Takizawa
 
PDF
Linux Kernel Seminar in tripodworks
bytripodworks
 
PDF
IETF91 Honolulu httpbis WG Report
byKaoru Maeda
 
PPT
V6prog OSC2013Hokkaido
byKohki Ohhira
 
PDF
Apache Hadoopの新機能Ozoneの現状
byNTT DATA OSS Professional Services
 
Lpicl300セミナー資料_20170218(鯨井貴博)
byTakahiro Kujirai
 
Keycloakの実際・翻訳プロジェクト紹介
byHiroyuki Wada
 
HTTP/2, QUIC入門
byshigeki_ohtsu
 
Elasticsearch as a Distributed System
bySatoyuki Tsukano
 
Cndt2021 casareal
byCASAREAL, Inc.
 
これからのアプリ開発はIPv6対応で行こう!(2014/09/20 OSC Hiroshima版)
byv6app
 
VIRLとPyATSで実現するネットワークCI
bytetsusat
 
Domino認証局の作成
byMasahiko Miyo
 
第4回Linux-HA勉強会資料 Pacemakerの紹介
byksk_ha
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
byJPCERT Coordination Center
 
Chefのエンタープライズ事例 ossミドルウェアスタックishigakiテンプレートにおける事例-
by賢 秋穂
 
OSSラボ様講演 OpenStack最新情報セミナー 2014年6月
byVirtualTech Japan Inc.
 
#mailerstudy 02 メールと暗号 - SSL/TLS -
byTakashi Takizawa
 
Linux Kernel Seminar in tripodworks
bytripodworks
 
IETF91 Honolulu httpbis WG Report
byKaoru Maeda
 
V6prog OSC2013Hokkaido
byKohki Ohhira
 
Apache Hadoopの新機能Ozoneの現状
byNTT DATA OSS Professional Services
 

Similar to IETF90 Web関連WG報告 #isocjp

PDF
Ietf91報告 httpbis-httpauth
byKaoru Maeda
 
PPTX
IETF89 HTTP関連WG報告 #isocjp
byKaoru Maeda
 
PDF
Ietf95 http2
byKaoru Maeda
 
PDF
http2study 20160423 IETF95 Report
byKaoru Maeda
 
PDF
HTTP/2: ぼくたちのWebはどう変わるのか
byKaoru Maeda
 
PDF
IETF96 Update oauth tokbind
byKaoru Maeda
 
PDF
HTTP/2 入門
byYahoo!デベロッパーネットワーク
 
PDF
HTTP/2.0と標準化
byTaketo Takashima
 
PDF
OpenID Connect入門
by土岐 孝平
 
PDF
IETF97 Update oauth tokbind
byKaoru Maeda
 
PPTX
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
byabend_cve_9999_0001
 
PDF
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
PDF
HTTP2 時代の Web - web over http2
byJxck Jxck
 
PDF
Protocol2018
byrung (Hiroki Suezawa)
 
PDF
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
PDF
IETF93 Prague報告Web関連+QUIC
byKaoru Maeda
 
PDF
IETF102 Report Authorization
byKaoru Maeda
 
PPTX
httpbis interim とhttp2.0相互接続試験の話
byshigeki_ohtsu
 
PDF
The Latest Specs of OpenID Connect at #idcon 9
byRyo Ito
 
PDF
なんとなくOAuth怖いって思ってるやつちょっと来い
byRyo Ito
 
Ietf91報告 httpbis-httpauth
byKaoru Maeda
 
IETF89 HTTP関連WG報告 #isocjp
byKaoru Maeda
 
Ietf95 http2
byKaoru Maeda
 
http2study 20160423 IETF95 Report
byKaoru Maeda
 
HTTP/2: ぼくたちのWebはどう変わるのか
byKaoru Maeda
 
IETF96 Update oauth tokbind
byKaoru Maeda
 
HTTP/2 入門
byYahoo!デベロッパーネットワーク
 
HTTP/2.0と標準化
byTaketo Takashima
 
OpenID Connect入門
by土岐 孝平
 
IETF97 Update oauth tokbind
byKaoru Maeda
 
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
byabend_cve_9999_0001
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
HTTP2 時代の Web - web over http2
byJxck Jxck
 
Protocol2018
byrung (Hiroki Suezawa)
 
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
IETF93 Prague報告Web関連+QUIC
byKaoru Maeda
 
IETF102 Report Authorization
byKaoru Maeda
 
httpbis interim とhttp2.0相互接続試験の話
byshigeki_ohtsu
 
The Latest Specs of OpenID Connect at #idcon 9
byRyo Ito
 
なんとなくOAuth怖いって思ってるやつちょっと来い
byRyo Ito
 

More from Kaoru Maeda

PDF
macOSでIME作ってみた ~ 漢字直接入力IME、MacTcodeについて LT ODC2025
byKaoru Maeda
 
PDF
LL2025 キミならどう書く~AI編~ 3つのLLMと3つの言語でパズルソルバーを作成
byKaoru Maeda
 
PPTX
Emacs TypeScript
byKaoru Maeda
 
PDF
IETF103の話題から (HTML5 Conf 2018)
byKaoru Maeda
 
PDF
From an Experience of Vulnerability Reporting
byKaoru Maeda
 
PDF
IETF93プレ勉強会、ARTエリアの歩き方
byKaoru Maeda
 
PDF
Tokbind-fido
byKaoru Maeda
 
PDF
IETF91報告arcmedia-mcic
byKaoru Maeda
 
PDF
HTTP/2 Local activities in Japan
byKaoru Maeda
 
PPTX
HTTP2 最速実装 〜入門編〜
byKaoru Maeda
 
PDF
Rubyコードゴルフ「ぐるぐる渦巻き」に参加してみた
byKaoru Maeda
 
PPTX
Fizzbuzz in Complex Plane
byKaoru Maeda
 
KEY
Lightning Talks日本上陸
byKaoru Maeda
 
macOSでIME作ってみた ~ 漢字直接入力IME、MacTcodeについて LT ODC2025
byKaoru Maeda
 
LL2025 キミならどう書く~AI編~ 3つのLLMと3つの言語でパズルソルバーを作成
byKaoru Maeda
 
Emacs TypeScript
byKaoru Maeda
 
IETF103の話題から (HTML5 Conf 2018)
byKaoru Maeda
 
From an Experience of Vulnerability Reporting
byKaoru Maeda
 
IETF93プレ勉強会、ARTエリアの歩き方
byKaoru Maeda
 
Tokbind-fido
byKaoru Maeda
 
IETF91報告arcmedia-mcic
byKaoru Maeda
 
HTTP/2 Local activities in Japan
byKaoru Maeda
 
HTTP2 最速実装 〜入門編〜
byKaoru Maeda
 
Rubyコードゴルフ「ぐるぐる渦巻き」に参加してみた
byKaoru Maeda
 
Fizzbuzz in Complex Plane
byKaoru Maeda
 
Lightning Talks日本上陸
byKaoru Maeda
 

IETF90 Web関連WG報告 #isocjp

  • 1.
    https://lepidum.co.jp/ Copyright ©2004-2014Lepidum Co. Ltd. All rights reserved. Web-related WG Report(IETF90) 株式会社レピダム 前田薫(@mad_p) IETF90報告会2014/08/25
  • 2.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ Agenda 自己紹介 参加の背景・経緯 httpbisWG httpauthWG oauthWG IETF90 Toronto, Canada July 20-25 2
  • 3.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ 自己紹介 名前 前田薫 所属 株式会社レピダム シニアプログラマ マネージャ コミュニティー活動 Lightweight Language Identity Conference http2勉強会 業務領域 認証・認可、デジタル アイデンティティー、 プライバシー 標準化支援 ソフトウェアセキュリ ティー、脆弱性 3
  • 4.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ 経緯・背景 「HTTP相互認証プロトコル」の標準化支援 httpauthWG(Sec Area) https://tools.ietf.org/html/draft-oiwa-http-mutualauth (独)産業技術総合研究所様の研究成果 https://www.rcis.aist.go.jp/special/MutualAuth/ IETFや標準化との関わり IETF89から参加 HTTP/Webと認証を中心に 標準化支援や最新動向のコンサルテーション 等をしています 4
  • 5.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ httpbisWG (Mon Jul 21, Tue Jul 22) Hypertext Transfer Protocol Bis HTTP/2 WGLC秒読み→ 8/1 WGLC 仕様はML上でほぼ固まった プロキシについて議論 HTTP/1.1 update RFC7230-7235 5
  • 6.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2 HTTP/2 8/1付でWorking Group Last Call 目的 環境を限定しないパフォーマンス改善 ネットワーク資源の効率的な使用 現代的なセキュリティ要件および慣習の反映 いくつかの提案の中からGoogleのSPDYプロトコ ルをスタートポイントに策定を開始 6
  • 7.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/1.1とHTTP/2の違い HTTPヘッダーのバイナリ化 HTTPヘッダーの効率化(圧縮) 多重化(Multiplexing) 優先制御(Prioritizing) 通信の開始方法 TCPコネクションの利用方針 etc... 7
  • 8.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2 draftの最近の歴史 8 draft-ietf-httpbis-http2(h2) 日本語訳 http://summerwind.jp/docs/draft-ietf-httpbis-http2-14/ draft-ietf-httpbis-header-compression(HPACK) Date h2 HPACK WG Activity 備考 2014/02/13 10 06 Interim 2014/1 Zurich 2014/04/03 11 07 IETF89 2014/04/23 12 HPACK更新なし 2014/06/17 13 08 Interim 2014/6 New York 2014/07/30 14 09 IETF90 WGLast Call
  • 9.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2 最新仕様の主な変更点 拡張性が復活 誰でもが使うものでない機能は拡張機能へ content gzip, ALTSVCなど フレームサイズを2**24-1 (16M)まで拡大可能 フレームサイズは3オクテットで表現 pseudo headers(「:」で始まるもの)は最初に HPACK 簡略化: reference setの削除、ヘッダの順序保存 「ヘッダテーブルに追加しない」リテラル 圧縮率観測攻撃の対象になるヘッダで使用、プロキシへの指示 ハフマンテーブルの更新 9
  • 10.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ HPACK reference set削除 reference setとは 前回のHEADERSの中身を覚えておき、差分だけ送信 同一のヘッダフィールドは送らない まったく同一の場合は空のHEADERSフレームを送る reference setの問題点 最後まで読まないと中身がわからない 接続先(:authority, :scheme)が不明 ヘッダの順番が保たれない 圧縮率に貢献するというデータがない 実装がややこしくなりバグの元 山本和彦さんの指摘により再検討され、削除に至る http2study #5 2014/07/29
  • 11.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2今後の予定 8月いっぱいWG Last Call 11月中旬、IETF 91 Honolulu http/3の仕様検討? 2014内(?) IETF Last Callをめざす 11
  • 12.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ プロキシについて HTTP/2でend-to-end TLS encryptionの普及が 進む TLSのALPN拡張によるHTTP/2への切りかえ 暗号化のmandateはされなかった end-to-end暗号化世界でのプロキシの役割 現状分析 Trusted Proxyが使われている例 HTTP/1.1でのプロキシ定義振り返り 12
  • 13.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ プロキシの現状について HTTP/2におけるプロキシについて(Adam) SPDYでは間にプロキシがあるために接続できな い人がいる コンテンツfilteringはクライアントでやるべき Trusted Proxyとコスト(Peter) ネットが遅い地域ではOpera Miniが普及 サーバー側でTLSをほどき、高圧縮で送信 CDNではラストマイルはサポートできない http2study #5 2014/07/29
  • 14.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ Explicitly Authenticated Proxy(Salvatore) userのexplicitconsent下で動くプロキシ これまでとは別のカテゴリのプロキシ reduce data usage content filtering accessには干渉しないが、optional servicesを提 供するもの Proxy Certificate opt outの必要性 per requestではなくブラウザ設定で http2study #5 2014/07/29
  • 15.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ そもそもProxyって何だ(mnot) HTTP/1.1ではどう定義されているか explicitly allows transformation and cache explicitly configured by clients HTTPS request is end-to-end これらのプロキシの定義を変えるのは大変 機能追加ではなく現在のコンセンサスの変更である IETFは政治的にはサイドを取らないが、↑を選ぶとサイドを 取ることになる What can we do? publish "proxy problem" draft standardize proxy.pac find other ways to address underlying use cases http2study #5 2014/07/29
  • 16.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ プロキシのディスカッション MITMプロキシの問題 オリジンサーバーの証明書を渡せない end-2-endセキュリティーではない 「HTTPがMITMを許容」なんて見出し見たいか? 保護の必要なコンテンツの分離 サーバーが秘匿性を表明したい ムービーだから内容は秘密じゃない フレームごと暗号化は考えたけど複雑すぎ トレードオフと選択は選択者によって違う 検閲は分けて考えないといけない アフォーダンスが必要だ。選択肢だけではダメ http2study #5 2014/07/29
  • 17.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ プロキシディスカッションまとめ Mark HTTPS is inviolate Maybe some interest in opt in to soften that Some interest in adorning TLS Interest in normalizing what an intercepting proxy is Interest in encrypted caching. Open issue on how opportunistic security interacts with a proxy http2study #5 2014/07/29
  • 18.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ HTTP/2以外の仕様 HTTP/1.1 → RFC7230-7235 RFC2616を分割、6つのRFCになった。http/2ではそのうちの1 つだけを置きかえる(wire format) goals: wire formatとそれ以外を分離 他の仕様にあったものでbase RFCにあるべきだったものを cherry-pickingした RFC7238: 308 permanent redirect expirimental→ proposed standard RFC5987: character set UTF-8だけを要求すればよく、ISO-8859-1 必須はドロップしてよい RFC6266: Use of the Content-Disposition Header Field Proposed Standard → Internet Standard. http2study #5 2014/07/29
  • 19.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ その他の文書の検討 draft-nakajima-httpbis-http2-interop-survey draft-ietf-httpbis-alt-svc 拡張になったAltSvcのissuesについて draft-ietf-http2-encryption 日和見暗号とHTTP/2の関係 draft-hutton-httpbis-connect-protocol WebRTCがHTTPトンネルを使って送信されてい ることがわかるようにしてほしい→ 炎上 http2study #5 2014/07/29
  • 20.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ httpauthWG (Mon Jul 21) Hypertext Transport Protocol Authentication 現在の機能の不足や安全性等、課題の多いHTTPプロ トコルの認証機構を、新しく安全にすることを目指 す TLSを用いる方法やHTMLのフォーム認証はスコープ外 新しい認証をExperimental RFCとして策定 現在ある複数の提案を統合したり選んだりするのでは なく相互にレビューする形 仕様と実装とどっちが先かの問題を避ける BasicおよびDigestの国際化、Digestのアルゴリズム更 新もスコープ こちらはStandard Track RFCを目指す 20
  • 21.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ Basic認証、Digest認証、SCRAM Basic認証、Digest認証はWGLCが近い Digest認証 ユーザ名ハッシュ化: 前回のリベンジ セキュリティーのためではなくプライバシー Basic認証 パラメータ「charset」を追加 拡張パラメータの可能性を検討 ユーザ名、パスワードの国際化 UTF-8 NFCとする realmの国際化はoverkill SCRAM: 1-round-trip reauthenticationなど 21
  • 22.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ mutual認証 ドラフトはわかりやすさのための修正が中 心 password strengthening function MLで提案が多くあったが、標準でないので見 送った。将来入れることができる NIST curvesでよいのか問題 ここでは難しい tlsWGでの動向を見て合わせる方向 22
  • 23.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ oauthWG (Thu July 24) Web Authorization Protocol OAuth2.0とその周辺仕様を検討 IETF90でのトピック Dynamic Client Registration Token Introspection Proof-of-Possession Security OAuthSymmetric Proof of Possession for Code Extension Providing User Authentication Information to OAuth2.0 Clients OAuth2.0 Token Exchange Request by JWS ver.1.0 for OAuth2.0 23
  • 24.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ oauthWGの議論 Dynamic Client Registration 文書構造をリファクタ application_type: nativeの定義を書きたくない management API 人によってめざす方向が違いすぎる→ experimental? Proof-of-PosessionSecurity: 後述 Token Introspection トークン検証をAuthServerに聞くAPI 24
  • 25.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ oauthWGの議論(cont'd) OAuthSymmetric Proof of Posessionfor Code Extension code interception attack対策 clientでone-time credentialを作成 authorization request とtoken request で送信 ASでは2つのリクエストの送信者が同一であると検証 OAuth2.0 Token Exchange act_as, on_behalf_of関連を表わすため、tokenendpointで別のaccess_tokenに交換してもらう 25
  • 26.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ oauthWGの議論(cont'd) Request by JWS ver.1.0 for OAuth2.0 Authorization リクエストをJWTで表現 x-www-form-urlencodedの代わりにJSONを使い、JWT にパッケージ JWSで署名またはJWEで暗号化 またはそのJWTのURIを送信 → この方法をHTTPリクエスト一般に拡張すると IoT向けリクエスト署名などに使えそう 26
  • 27.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ Proof-of-PossessionSecurity http://www.ietf.org/proceedings/90/slides/slides-90-oauth-7.pptx 複数のリクエストにおいて、クライアントが鍵を 持っていることを以て同一であることを証明 例: authorization request 送信者とresourceaccess request 送信者が同一である draft bundle draft-richer-oauth-signed-http-request draft-bradley-oauth-pop-key-distribution draft-hunt-oauth-pop-architecture draft-jones-oauth-proof-of-possession 実装が必要! 27
  • 28.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ Client Authorization Server Resource Server AS <-> Client Interaction Example: Symmetric Key AS sends access token to Client & symmetric key AS creates PoP-enabled access token 対称鍵を生成 "cnf":{ "jwk": "eyJhbGciOiJSU0ExXzUiLCJlbmMiOiJBMTI4Q0JDLUhTMjU2IiwiY3R5IjoiandrK ..." } 対称鍵を取得 access_token内にクレーム として記述
  • 29.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ Client Authorization Server Resource Server AS <-> Client Interaction Example: Symmetric Key AS sends access token to Client & Authenticator Authenticator = Keyed Message Digest Computed Over Request. リクエストの対称鍵によるダイジェスト
  • 30.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ Client Authorization Server Resource Server AS <-> Client Interaction Example: Symmetric Key RS “unwraps” access tokenand obtains symmetric key. RS verifies authenticator. SharedLong Term Key access_token内の対称鍵で ダイジェストを検証
  • 31.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ 却下された提案 Providing User Authentication Information to OAuth2.0 Clients 「OAuth2認証」→ 必要性不明 OpenIDConnectでいいじゃん 31
  • 32.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ まとめ HTTP/2 がWGLCに 実装も増え、interopも活発に httpauth Basic, Digest認証の修正がWGLC真近 oauth proof-of-possession, HTTP request signingなどIoT に応用の効く提案も 32
  • 33.
    Copyright ©2004-2014 LepidumCo. Ltd. All rights reserved. https://lepidum.co.jp/ Any Questions? / Please Feedback! https://lepidum.co.jp/ mailto:maeda@lepidum.co.jp / twitter: @mad_p 33