- XMLコンソーシアム

XML Consortium
XMLセキュリティ
ツール/製品調査
2009年1月9日 XMLコンソーシアムDay
セキュリティ部会
林 正樹 (富士通)
宮地直人（ラング・エッジ）
©2008 XML Consortium
1
Security Sig
09-JAN- 2009
XMLセキュリティツール/製品調査
活動の概要
XML Consortium
„ XMLのセキュリティに関するツールや製品を調査する
– 1) XMLを使ったシステムに対するセキュリティ
– 2)セキュリティ技術でXMLを利用するもの
„ 利用に役立つ情報の調査／一覧資料の作成
– 製品版/無償ツールの機能、特徴、使い方、事例など
„ 調査結果を公開
– XMLコンソーシアム Webサイト
– XML開発ガイド
– その他、発表の場があれば公開していく
„ 共有すべき製品情報があればご連絡ください
©2008 XML Consortium
2
Security Sig
09-JAN-2009
活動目的
XML Consortium
„ XMLやWebサービスのセ
キュリティに関する標準規格
がたくさんある
„ 標準でない仕様やツールも
ある
©2008 XML Consortium
– OpenID, OAUTH …
„ 何を使って何ができるのか
„ 何が必要なのか
3
Security Sig
09-JAN-2009
調査方法
XML Consortium
リストアップ
製品版
無償ツール（無償提供版）
セキュリティ部会で調査
セキュリティ部会で調査
基本情報入手 ベンダーに情報提供依頼 セキュリティ部会で調査
事例調査
ベンダーに情報提供依頼
2009年5月
公開目標
使い方の確認
„ 調査対象：対象分野のツール/製品で日本で利用可能なもの
–
–
–
–
XML暗号、XML電子署名、WS-Security
XMLベースの長期署名
XML/SOAPファイアウォール
その他 (随時検討)
©2008 XML Consortium
4
Security Sig
09-JAN-2009
XML Consortium
ツール/製品調査
XML暗号、XML電子署名、
WS-Security (WSS)
©2008 XML Consortium
5
Security Sig
09-JAN- 2009
XML Consortium
セキュリティ対策
XMLデータの保護：WS-Security
SOAP
XML暗号化
XML電子署名
WS-Security
2004/04
OASIS標準
認証基盤
トークン
•Username
•X.509
•SAML
•REL
„ ゴール：SOAPを使った安全なアプリケーション間通信の方法
– 日本語版は、XMLコンソーシアムWebサイト
http://www.xmlconsortium.org
„ 主な内容：
–
–
–
–
©2008 XML Consortium
メッセージ保護メカニズム、ID参照、セキュリティ・ヘッダ
電子署名と暗号化、タイムスタンプ → 主にデータの保護をカバー
セキュリティ・トークンと参照の方法
注意点 （エラー処理、相互接続性、その他)
6
Security Sig
09-JAN-2009
WS-Secrityの目的と機能
Webサービスをセキュアにするための基本プロトコル
SOAPの機能拡張する標準を作り、End-Endの完全性、秘匿性を考慮
XML Consortium
■ メッセージの完全性：XML-Signature
ｾｷｭﾘﾃｨﾄｰｸﾝの使用、Multiple SOAP actors/rolesに対応した複数の署名、署名形式
の拡張を考慮
■ メッセージの秘匿 ：XML Encrypttion
ｾｷｭﾘﾃｨﾄｰｸﾝの使用、Multiple SOAP actors/rolesに対応した暗号化の考慮
送信者認証
セキュリティトークン
(Sender Authentication)
Username/X.509/SAML等
完全性
XML電子署名
(Integrity)
XML-Signature
XML暗号化
秘匿性
(Confidentiality)
©2008 XML Consortium
XML Encryption
7
Security Sig
09-JAN-2009
ヘッダ
WS-Security
ヘッダ
SOAP
XML Consortium
タイムスタンプ
SOAP
ボディ
©2008 XML Consortium
セキュリティ・
トークン
（X509証明書）
WS-Security
のデータ例
暗号化された
鍵情報
電子署名
8
本文（Body)
暗号化済み
„ Timestamp及
びBodyに署名
↓
暗号化
OASIS
Web Services Security:
SOAP Message Security 1.0
OASIS Standard 200401,
March 2004
11章 「拡張例」より
Security Sig
09-JAN-2009
XML暗号、XML電子署名、WS-Security
XML Consortium
製品提供形態
„ アプリケーション・サーバー型
„ ゲートウェイ型
„ ライブラリ型
©2008 XML Consortium
9
Security Sig
09-JAN-2009
調査対象項目の例
XML Consortium
„ 製品が提供している機能の有無
–
–
–
–
XML暗号・復号機能
XML電子署名付与機能
XML電子署名検証機能
WS-Security機能
„ 準拠している標準仕様
„ 使用可能なXML暗号、XML電子署名の暗号アルゴリズム
と鍵長
„ サポートしているセキュリティ・トークン（WS-Security機能）
„ 事例調査
など
©2008 XML Consortium
10
Security Sig
09-JAN-2009
XML暗号、XML電子署名、WS-Security
アプリケーション・サーバー型
XML Consortium
„ アプリケーション・サーバ型とは
– Webサービスの実行環境となるアプリケーションサーバ（AppSV)にお
いて、XML暗号、XML電子署名、WS-Securityなどに対応
XML暗号
XML電子署名
AppSV
©2008 XML Consortium
SOAP
<?xml
…
…
FW
WS-Security
アプリ処理・他
11
Security Sig
09-JAN-2009
AppSV
XML暗号、XML電子署名、WS-Security
アプリケーション・サーバー型
XML Consortium
„ 調査予定製品
– 富士通 (Interstage)
– NEC (ActiveGlobe WebOTX)
– 日立 (Cosminexus)
– 日本オラクル (Oracle Application Server、WebLogic
Server)
– 日本IBM (WebSphere Application Server)
– サン・マイクロシステムズ (Sun Java System Application
Server)
– 日本HP (Systinet Server)
– Software AG (webMethods Glue)
©2008 XML Consortium
12
Security Sig
09-JAN-2009
XML暗号、XML電子署名、WS-Security
ゲートウェイ型
XML Consortium
„ XMLゲートウェイ型とは
– XML暗号、XML電子署名、WS-Securityなど、XMLの処理機
能の一部をAppSVからオフロードする
AppSV
©2008 XML Consortium
XML処理の一部をオフロード
SOAP
<?xml
…
…
FW
XML暗号
XML暗号
XML電子署名
XML電子署名
WS-Security
WS-Security
XMLｹﾞｰﾄｳｪｲ
アプリ処理・他
13
13
Security Sig
09-JAN-2009
AppSV
XML暗号、XML電子署名、WS-Security
XML Consortium
XMLゲートウェイの調査リスト
„ 2005年6月7日Week で報告した
”WebServiceSecurity 製品対応状況について
でリストアップした製品を中心に、現在日本で販売されている
製品を対象を精査してアンケートを実施する予定
„ 対象製品
– Cisco (ACE* XML GW)
*Application Control Engine
– IBM DataPower (XS40 XML Security Gateway)
– Intel (Intel SOA Express)
– SOA Software (XML VPN)
– Radware (AppXML)
– Solance Systems (Solance3230 and Solance3260
content router)
– Sonoa Systems
©2008 XML Consortium
14
Security Sig
09-JAN-2009
XML暗号、XML電子署名、WS-Security
XML Consortium
ライブラリ型
„ ライブラリ型とは
ライブラリの形で、 XML暗号、XML電子署名、
WS-Security機能を提供
„ ツール例 (2005年調査より)
– Apache WSS4J (Apache Software Foundation)
– JavaTM Web Services Developer Pack (Java WSDP)
1.5 (Sun Microsystems)
– Oracle Phaos WSS 1.0 (Oracle)
– RSA BSAFE Secure WS-C/J (RSA Security)
– Trust Services Integration Kit 1.10 (VeriSign, Inc.)
– Web Services Enhancements (WSE) 2.0 SP3
(Microsoft)
„ 調査方法は検討中
©2008 XML Consortium
15
Security Sig
09-JAN-2009
XML Consortium
ツール/製品調査
XML/SOAPファイアウォール
©2008 XML Consortium
16
Security Sig
09-JAN- 2009
XML/SOAPファイアウォール
とは何か？
XML Consortium
„ XML firewall
– From Wikipedia, the free encyclopedia 2008/12/31
– First brought to market by Forum Systems[citation
needed], an XML firewall is a specialized firewall used to
provide security for XML messaging such as Web services.
XML firewalls are types of XML appliances that are
separated from internal computer systems and frequently
reside in an organization's DMZ.
(XMLファイアウォールとは特殊化したファイアウォールで、Webサービスのよう
なXMLメッセージングに対してセキュリティを提供するために使われる。)
„ 大きく分けて2種類の形態
– XMLゲートウェイで、セキュリティ機能を持つもの
… 重要なWebサービスなど特定のシステムに利用されることが多い
– ファイアウォールで、XML機能を持つもの … AjaxなどXMLを使う部
分もあるWebサイトに利用されることが多い
©2008 XML Consortium
17
Security Sig
09-JAN-2009
XML/SOAPファイアウォール
XML Consortium
調査対象ツール/製品
„
„
„
„
„
Cisco ACE (ゲートウェイ)
IBM DataPower (ゲートウェイ)
Imperva SecureSphere WAF
バラクーダネットワークス Web Site Firewall
シトリックス Application Firewall
©2008 XML Consortium
18
Security Sig
09-JAN-2009
XML Consortium
ツール/製品調査
長期署名XAdES
（XAdES = XML Advanced Electronic Signatures）
©2008 XML Consortium
19
Security Sig
09-JAN- 2009
その前に…長期署名とは？
XML Consortium
○ 現実世界との比較
現実世界
印鑑（ハンコ）
紙に押印した印影
印鑑証明書/住民票等
電子世界
証明書と秘密鍵
電子署名
（XML署名）
検証情報や時刻証明
（失効情報/TST等）
電子署名
---
○
× 含まない
長期署名
---
○
○ 含む
„ 従来の電子署名（XML署名）には有効期限があった。
„ 長期署名（XAdES）では有効期限の延長が可能になる。
©2008 XML Consortium
20
Security Sig
09-JAN-2009
長期署名XAdESの利点
XML Consortium
„ 必要な検証情報を全て含み有効期限の延長が可能。
– 検証に必要な証明書や失効情報等をタイムスタンプにより保護。
– e-文書法やJ-SOXでの電子文書の長期保管に利用が期待される。
„ 「誰が」に加えて「いつ」に関してもタイムスタンプ技術で保証。
– タイムスタンプは電子署名技術の応用により時刻を保証する。
„ XAdESは2008年にJIS化もされた標準規格。
– XAdESは標準のXML署名を拡張した上位互換仕様になっている。
– JIS X 5093:2008 「XML署名利用電子署名(XAdES)の長期署名
プロファイル」。欧州規格「ETSI TS 101 903 V1.3.2」。
– 現在は主に欧州のETSIが中心になって仕様を更新している。
– 日本ではECOMが中心になってJIS化等の標準化を進めている。
©2008 XML Consortium
21
Security Sig
09-JAN-2009
XML Consortium
ECOMにおけるXAdESの歴史
„ 2000年より長期署名の調査や普及啓蒙活動を実施
„ 2005年度 CAdES/XAdES相互運用性テストプロジェクト
– XAdES参加企業は３社、（CAdESは10社）
„ 2006年5月 XAdES JIS原案の作成に着手
„ 2007年度 CAdES/XAdES相互運用性テストプロジェクト
– XAdES参加企業は
8社に増加、（CAdESは14社）
„ 2008年5月 XAdES JIS化
※ 他にも欧州(ETSI)と共同にてPlugTestを数回実施
※ ECOM = 次世代電子商取引推進協議会 http://www.ecom.jp/
©2008 XML Consortium
22
Security Sig
09-JAN-2009
XML Consortium
長期署名XAdESツール調査
„ 2007年度 CAdES/XAdES相互運用性テスト参加企業
を対象にしてアンケート調査を予定（以下50音順）
– エントラストジャパン
– 関電システムソリューションズ
– 大日本印刷
– 東北インフォメーション・システムズ
– 日本電気
– 富士ゼロックス
– 三菱電機
– ラング・エッジ
※ 2007年度相互運用性テスト結果はECOMサイトにて入手可能
http://www.ecom.jp/LongTermStorage/
©2008 XML Consortium
23
Security Sig
09-JAN-2009
XML Consortium
付録：XAdESの構造１
„
„
„
„
„
ES (XAdES) = 電子署名文書。
ES-T (XAdES-T) = ESに署名タイムスタンプ(STS)を追加。- JIS定義
ES-C (XAdES-C) = ES-Tに検証情報リファレンスを追加。
ES-X Long (XAdES-XL) = ES-T/ES-Cに検証情報を追加。
ES-A (XAdES-A) = ES-X Long に保管タイムスタンプ(ATS)を追加。 - JIS定義
文書
©2008 XML Consortium
署名属性
検証
情報
リファ
レンス
STS
署名値
ES
ES-T
24
ES-C
検証
情報
ES-XL
ATS
ATS
ES-A
ES-A
…
Security Sig
09-JAN-2009
XML Consortium
付録：XAdESの構造２
<Signature>
<SignedInfo>
<CanonicalizationMethod/>
<SignatureMethod/>
<Reference/>
:
<Reference URI= #xades />
</SignedInfo>
<SignatureValue/>
<KeyInfo/>
<Object/>
<Object>
<QualifyingProperties>
<SignedProperties Id= xades >
<SignedSignatureProperties/>
</SignedProperties>
<UnsignedProperties>
<UnsignedSignatureProperties>
<SignatureTimeStamp/>
<CertificateValues/>
<RevocationValues/>
<ArchiveTimeStamp/>
:
<ArchiveTimeStamp/>
</UnsignedSignatureProperties>
</UnsignedProperties>
</QualifyingProperties>
</Object>
</Signature>
©2008 XML Consortium
//
//
//
//
//
//
//
//
//
//
//
//
//
//
//
//
//
//
//
//
//
//
XML署名開始タグ
署名対象要素
署名対象正規化手法指定
署名アルゴリズム指定
署名対象へのURI指定１とオプション変換手法指定
署名対象は複数指定可能
XAdES署名対象へのURI指定
署名対象要素終了
署名値（Base64）
署名者の秘密鍵情報（オプション）
署名対象内包時のオブジェクト要素（オプション）
長期署名用オブジェクト（必須）
XAdES要素開始
XAdES署名対象要素（必須：署名対象の１つ）
XAdES署名要素（例：<SigningTime>等）
ES-BES要素
XAdES署名対象要素終了
XAdES非署名対象要素
XAdES非署名要素
XAdES-T署名タイムスタンプ要素
XAdES-X-Long証明書一覧要素
XAdES-X-Long検証情報一覧要素
XAdES-A保管タイムスタンプ要素（複数回可能）
//
//
//
//
//
//
XAdES-A保管タイムスタンプ要素（最終）
XAdES非署名要素
XAdES非署名対象要素終了
XAdES要素終了
長期署名用オブジェクト終了タグ
XML署名終了タグ
25
ES-BES要素
ES-BES要素
ES-BES要素
ES-T要素
ES-XL要素
ES-XL要素
ES-A要素
ES-A要素
Security Sig
09-JAN-2009
参考：２種類の長期署名フォーマット
XML Consortium
XAdES ‒ JIS X5093 ‒ ETSI TS 101 903
◎
◎
◎
◎
◎
XML署名
利用例： ODF , OOXML , XPS 等
XML（テキスト）
CAdES ‒ JIS X5092 ‒ ETSI TS 101 733
ベース電子署名規格
CMS（PKCS#7）形式
ベースフォーマット
ASN.1/BER（バイナリ）
日本のPKI業界ではXMLは少数
テキスト形式で可読性が高い
XMLの正規化等による冗長性あり
一般的XMLパーサで解析可能
証明書等はASN.1/BER形式の為
結局CMS等の知識も必要になる
◎
◎
◎
◎
◎
利用例： PDF , S/MIME 等
PKI業界で昔から使われている
日本ではXAdESよりも実装が多い
ファイルサイズが小さい
ASN.1/BER対応のパーサが必要
証明書等も全てASN.1/BER形式
長期署名としての要素となる情報や電子署名＋タイムスタンプとしての仕様は両方共ほぼ同等。
署名対象となる文書フォーマットやデータフォーマットで使い分けられているケースが多い。
©2008 XML Consortium
26
Security Sig
09-JAN-2009
XMLセキュリテツール/製品調査
XML Consortium
まとめ
„ XMLのセキュリティに関するツールや製品を調査中
„ 2009年5月 最初の結果報告を目標
„ 調査製品分野
– XML暗号、XML電子署名、WS-Security
• APサーバー型
• ゲートウェイ型
• ライブラリ型 (対応検討中)
– XMLベースの長期署名
– XML/SOAPファイアウォール
„ 共有すべき製品情報があればご連絡ください
©2008 XML Consortium
27
Security Sig
09-JAN-2009