[要約] RFC 7169は、NSA(No Secrecy Afforded)証明書拡張に関するものであり、その目的は、証明書の透明性と信頼性を向上させることです。この拡張は、証明書の秘密性を排除し、公開鍵基盤(PKI)のセキュリティを強化するために設計されています。

Independent Submission                                         S. Turner
Request for Comments: 7169                                    IECA, Inc.
Category: Informational                                     1 April 2014
ISSN: 2070-1721

The NSA (No Secrecy Afforded) Certificate Extension

NSA(秘密保持なし)証明書の拡張

Abstract

概要

This document defines the NSA (No Secrecy Afforded) certificate extension appropriate for use in certain PKIX (X.509 Pubic Key Certificates) digital certificates. Historically, clients and servers strived to maintain the privacy of their keys; however, the secrecy of their private keys cannot always be maintained. In certain circumstances, a client or a server might feel that they will be compelled in the future to share their keys with a third party. Some clients and servers also have been compelled to share their keys and wish to indicate to relying parties upon certificate renewal that their keys have in fact been shared with a third party.

このドキュメントは、特定のPKIX(X.509公開鍵証明書)デジタル証明書での使用に適したNSA(No Secrecy Afforded)証明書拡張を定義します。歴史的に、クライアントとサーバーはそれらのキーのプライバシーを維持するために努力しました。ただし、それらの秘密鍵の機密性は常に維持できるわけではありません。特定の状況では、クライアントまたはサーバーは、将来、自分の鍵を第三者と共有することを強いられると感じるかもしれません。一部のクライアントとサーバーは、それらの鍵を共有することを余儀なくされており、証明書の更新時に信頼できる当事者に、それらの鍵が実際には第三者と共有されていることを示したいと考えています。

Status of This Memo

本文書の状態

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。

This is a contribution to the RFC Series, independently of any other RFC stream. The RFC Editor has chosen to publish this document at its discretion and makes no statement about its value for implementation or deployment. Documents approved for publication by the RFC Editor are not a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

これは、他のRFCストリームとは無関係に、RFCシリーズへの貢献です。 RFCエディターは、このドキュメントを独自の裁量で公開することを選択し、実装または展開に対するその価値については何も述べていません。 RFC Editorによって公開が承認されたドキュメントは、どのレベルのインターネット標準の候補にもなりません。 RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7169.

このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7169で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。

1. Introduction
1. はじめに

Insecurity abounds when clients and servers are unable to keep their private keys private. Situations exist nonetheless where client and servers have shared their private keys with a third party. An example of over-sharing might be lawful intercept.

クライアントとサーバーが秘密鍵を秘密にしておくことができないときは、不安がたくさんあります。それにもかかわらず、クライアントとサーバーが第三者と秘密鍵を共有している状況が存在します。過剰共有の例は合法的傍受です。

Just because the private key has been shared does not mean that the private key holder wants to conceal the fact they have shared their private key with a third party. Overtly indicating that the private key may be or has been shared with a third party is the best way to indicate to relying parties that this sharing has occurred. Knowledge is power, after all. Extensions for certificates [RFC5280] offer an excellent mechanism to indicate that the entities key(s) have been shared, and this document specifies one such certificate extension for use by entities that have shared their private key: the NSA (No Secrecy Afforded) certificate extension.

秘密鍵が共有されたからといって、秘密鍵の所有者が秘密鍵を第三者と共有したという事実を隠したいという意味ではありません。秘密鍵が第三者と共有されている可能性があることを明示することは、この共有が行われたことを証明書利用者に示す最良の方法です。結局のところ、知識は力です。証明書の拡張[RFC5280]は、エンティティキーが共有されていることを示す優れたメカニズムを提供します。このドキュメントでは、プライベートキーを共有しているエンティティが使用する証明書拡張の1つであるNSA(秘密保持なし)証明書を指定します拡張。

2. The NSA Certificate Extension
2. NSA証明書拡張

In order to allow entities that have shared their keys with a third party, the NSA certificate extension is defined herein. ASN.1 [X.680] for the extension follows:

鍵を第三者と共有したエンティティを許可するために、NSA証明書拡張がここで定義されます。拡張のASN.1 [X.680]は次のとおりです。 

   ext-KeyUsage EXTENSION ::= { SYNTAX
         BOOLEAN  IDENTIFIED BY id-pe-nsa }
        
   id-pe-nsa OBJECT IDENTIFIER ::=  { id-pe 23 }

Making the boolean TRUE indicates that the key has been shared with a third party, and making the extension FALSE indicates that the key may have also been shared with a third party but the signer does not want to overtly indicate that the key has been shared. This extension is always marked critical.

ブール値をTRUEにすると、キーが第三者と共有されていることを示し、拡張機能をFALSEにすると、キーも第三者と共有されている可能性があるが、署名者はキーが共有されていることをあからさまに示したくないことを示します。この拡張機能は常に重要とマークされています。

3. Security Considerations
3. セキュリティに関する考慮事項

Having to disclose keys is sometimes unavoidable. Explicitly indicating that the keys have been shared is one way to mitigate the risk that the relying party might be unaware of this over share. Whatever the case for having shared the keys, the certificate signer needs to careful consider whether to include this extension.

キーを公開する必要がある場合もあります。鍵が共有されていることを明示的に示すことは、依存パーティが共有されていることを知らない可能性があるリスクを軽減する1つの方法です。鍵を共有した場合はどうであれ、証明書の署名者はこの拡張を含めるかどうかを慎重に検討する必要があります。

Any key with this extension must be trusted with care. Lengthy deliberations about whether to trust the keys is necessary. Rushing a security analysis is never a good thing. Ultimately, the keys need not be trusted. Secrecy is hard.

この拡張子を持つキーは、慎重に信頼する必要があります。キーを信頼するかどうかについては、長い議論が必要です。セキュリティ分析を急ぐことは決して良いことではありません。最終的に、キーは信頼される必要はありません。秘密は難しいです。

4. Normative References
4. 引用文献

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.

[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、2008年5月。

[X.680] ITU-T, "Information technology - Abstract Syntax Notation One (ASN.1): Specification of basic notation", ITU-T Recommendation X.680 (2002) | ISO/IEC 8824-1:2002, 2002.

[X.680] ITU-T、「情報技術-抽象構文記法1(ASN.1):基本記法の仕様」、ITU-T勧告X.680(2002)| ISO / IEC 8824-1:2002、2002。

Author's Address

著者のアドレス

Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA

Sean Turner IECA、Inc. 3057 Nutley Street、Suite 106 Fairfax、VA 22031 USA 

   EMail: turners@ieca.com
   XMPP:  sean.turner@jabber.psg.com