Internet Engineering Task Force (IETF) F. Fieau
Request for Comments: 9677 E. Stephan
Category: Standards Track Orange
ISSN: 2070-1721 G. Bichot
C. Neumann
Broadpeak
October 2024
The delivery of content over HTTPS involving multiple Content Delivery Networks (CDNs) raises credential management issues. This document defines metadata in the Content Delivery Network Interconnection (CDNI) Control and Metadata interface to set up HTTPS delegation using delegated credentials from an upstream CDN (uCDN) to a downstream CDN (dCDN).
複数のコンテンツ配信ネットワーク(CDNS)を含むHTTPSを介したコンテンツの配信は、資格管理の問題を引き起こします。このドキュメントでは、コンテンツ配信ネットワーク相互接続(CDNI)コントロールとメタデータインターフェイスのメタデータを定義し、上流CDN(UCDN)から下流CDN(DCDN)までの委任された資格情報を使用してHTTPS委任を設定します。
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 7841のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9677.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9677で取得できます。
Copyright (c) 2024 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2024 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、修正されたBSDライセンスで説明されている保証なしで提供されるように、改訂されたBSDライセンステキストを含める必要があります。
1. Introduction
2. Terminology
3. CDNI Footprint and Capabilities Advertisement Interface (FCI)
Capabilities Object for Delegated Credentials
3.1. FCI.DelegatedCredentials
3.2. Expected Usage of the Property Number of Supported
Delegated Credentials
4. CDNI Metadata Interface (MI) Metadata Object for Delegated
Credentials
5. Delegated Credentials Call Flow
6. IANA Considerations
6.1. CDNI MI.DelegatedCredentials Payload Type
6.2. CDNI FCI.DelegatedCredentials Payload Type
7. Security Considerations
8. Privacy Considerations
9. References
9.1. Normative References
9.2. Informative References
Authors' Addresses
Content delivery over HTTPS utilizing one or more Content Delivery Networks (CDNs) along the delivery path necessitates the management of credentials. This requirement is particularly pertinent when an entity delegates the delivery of content via HTTPS to another trusted entity.
配信パスに沿って1つ以上のコンテンツ配信ネットワーク(CDN)を利用するHTTPSを介したコンテンツ配信には、資格情報の管理が必要です。この要件は、エンティティがHTTPを介して別の信頼できるエンティティにコンテンツの配信を委任する場合に特に適切です。
This document specifies the CDNI Metadata interface for establishing HTTPS delegation through the use of delegated credentials, as defined in [RFC9345], between an upstream CDN (uCDN) and a downstream CDN (dCDN).
このドキュメントは、[RFC9345]で定義されている委任された資格情報を使用して、上流CDN(UCDN)と下流CDN(DCDN)(DCDN)を使用してHTTPS委任を確立するためのCDNIメタデータインターフェイスを指定します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
「必須」、「必要」、「必須」、「shall」、「shall」、「suff」、 "not"、 "becommended"、 "becommented"、 "may"、 "optional「このドキュメントでは、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。
This document uses terminology from the CDNI specifications -- CDNI framework [RFC7336], CDNI requirements [RFC7337], and CDNI Metadata interface [RFC8006].
このドキュメントでは、CDNI仕様(CDNIフレームワーク[RFC7336]、CDNI要件[RFC7337]、およびCDNIメタデータインターフェイス[RFC8006]」の用語を使用しています。
A dCDN should advertise its supported delegation methods using the Footprint and Capabilities Advertisement interface (FCI) as defined in [RFC8008]. The FCI.Metadata object enables a dCDN to communicate its capabilities and the Metadata interface (MI) objects it supports. To indicate support for delegated credentials, the dCDN should announce the support for MI.DelegatedCredentials, as illustrated in the example below.
DCDNは、[RFC8008]で定義されているように、フットプリントおよび機能広告インターフェイス(FCI)を使用して、サポートされている委任方法を宣伝する必要があります。FCI.METADATAオブジェクトにより、DCDNはその機能とサポートするメタデータインターフェイス(MI)オブジェクトを通信できます。委任された資格情報のサポートを示すために、DCDNは、以下の例に示すように、Mi.DelegatedCredentialsのサポートを発表する必要があります。
{
"capabilities": [
{
"capability-type": "FCI.Metadata",
"capability-value": {
"metadata": [
"MI.DelegatedCredentials",
"... other supported MI objects ..."
]
},
"footprints": [
"Footprint objects"
]
}
]
}
This document also defines an object that informs the uCDN of the number of delegated credentials supported by the dCDN, enabling the uCDN to supply the appropriate number of delegated credentials. To this end, the FCI object, FCI.DelegationCredentials, is introduced.
このドキュメントは、DCDNがサポートする委任された資格情報の数をUCDNに通知するオブジェクトを定義し、UCDNが適切な数の委任された資格情報を提供できるようにします。この目的のために、FCIオブジェクトであるFCI.DELEGATIONCREDENITIALSが導入されます。
The FCI.DelegationCredentials object enables advertising the maximum number of delegated credentials supported by the dCDN. This number typically (but not necessarily) corresponds to the number of servers designated by the dCDN to support delegated credentials.
FCI.DELEGATIONCREDENITIALSオブジェクトは、DCDNによってサポートされている委任された資格情報の最大数を宣伝することを可能にします。この数値は通常(必ずしもそうではありませんが)委任された資格情報をサポートするためにDCDNによって指定されたサーバーの数に対応します。
The property PrivateKeyEncryptionKey contains a public key provided by the dCDN that MUST be used by the uCDN to encrypt private keys whenever such private keys are transmitted to the dCDN using MI.DelegatedCredentials (see Section 4).
プロパティPrivateKeyEncryptionKeyには、DCDNが提供する公開キーが含まれています。これは、そのようなプライベートキーがMi.delegatedCredentialsを使用してDCDNに送信されるたびに、ucdnがプライベートキーを暗号化するために使用する必要があります(セクション4を参照)。
Property:
財産:
number-delegated-certs-supported
番号解釈された洞窟がサポートしました
Description:
説明:
Number of delegated credentials supported by the dCDN.
DCDNがサポートする委任された資格情報の数。
Type:
タイプ:
integer
整数インテジャ
Mandatory-to-Specify:
必須の仕様:
Yes
はい
Property:
財産:
PrivateKeyEncryptionKey
privateKeyEncryptionKey
Description:
説明:
Public key in JSON Web Key (JWK) format [RFC7517] of the dCDN to be used by the uCDN to encrypt private keys.
dcdnのJSON Webキー(JWK)形式[RFC7517]の公開鍵は、ucdnがプライベートキーを暗号化するために使用します。
Type:
タイプ:
string
弦ストリング紐糸筋緒一糸じゅずつなぎひもでつないだもの
Mandatory-to-Specify:
必須の仕様:
No
いいえノー能
The following is an example of the FCI.DelegatedCredentials.
以下は、FCI.DelegatedCredentialsの例です。
{
"capabilities": [
{
"capability-type": "FCI.DelegatedCredentials",
"capability-value": {
"number-delegated-certs-supported": 10
}
"footprints": [
<Footprint objects>
]
}
]
}
The dCDN uses the FCI.DelegatedCredentials object to announce the number of servers that support delegated credentials.
DCDNは、FCI.delegated Scuretentialsオブジェクトを使用して、委任された資格情報をサポートするサーバーの数を発表します。
When the uCDN receives the FCI.DelegatedCredentials object, it can issue the supported number of delegated credentials to the dCDN. When configuring the dCDN, the uCDN MAY decide to provide less than the maximum supported delegated credentials to the dCDN. Note that, within a dCDN, different deployment possibilities of the delegated credentials on the endpoints exist. The dCDN MAY use one single delegated credential and deploy it on multiple endpoints. Alternatively, the dCDN MAY deploy a different delegated credential for each endpoint (provided that the uCDN delivers enough different delegated credentials). This choice is at the discretion of the dCDN and depends on the number of delegated credentials provided by the uCDN.
UCDNがFCI.DELEGATEDCREDENTIALSオブジェクトを受信すると、DCDNに委任された資格情報のサポート数を発行できます。DCDNを構成する場合、UCDNは、最大サポートされている委任された資格情報をDCDNに提供することを決定する場合があります。DCDN内では、エンドポイント上の委任された資格情報のさまざまな展開の可能性が存在することに注意してください。DCDNは、1つの委任された資格情報を1つ使用し、複数のエンドポイントに展開できます。あるいは、DCDNは、各エンドポイントに対して異なる委任された資格情報を展開する場合があります(UCDNが十分な異なる委任された資格情報を配信してください)。この選択はDCDNの裁量であり、UCDNが提供する委任された資格情報の数に依存します。
The FCI.DelegationCredentials object does not address expiry or renewal of delegated credentials. Once the uCDN has provided delegated credentials via the MI, the uCDN SHOULD monitor the provided credentials and their expiry times and SHOULD refresh dCDN credentials via the MI in a timely manner. The uCDN may decide not to monitor the validity period of delegated credentials and not to refresh the credentials, for example, in cases of short-term one-shot deployments or once it has decided to deprovision a dCDN. If the delegated credential is not renewed on time by the uCDN, the servers of the dCDN that only have expired delegated credentials MUST refuse any new TLS connection that requires an up-to-date delegated credential.
FCI.DELEGATIONCREDENTIALSオブジェクトは、委任された資格情報の有効期限または更新に対処しません。UCDNがMIを介して委任された資格情報を提供すると、UCDNは提供された資格情報とその有効期限を監視し、MIを介してタイムリーにDCDN資格情報を更新する必要があります。UCDNは、委任された資格情報の有効期間を監視せず、たとえば短期のワンショット展開の場合、またはDCDNを除去することを決定した場合、資格情報を更新しないことを決定する場合があります。委任された資格がUCDNによって時間通りに更新されない場合、委任された資格情報の期限が切れたDCDNのサーバーは、最新の委任された資格情報を必要とする新しいTLS接続を拒否する必要があります。
As expressed in [RFC9345], when an uCDN has delegated to a dCDN, the dCDN presents the "delegated_credential" (rather than its own certificate) during the TLS handshake [RFC8446] to the User Agent. This implies that the dCDN is also in the possession of the private key corresponding to the public key in DelegatedCredential.cred [RFC9345]. This allows the User Agent to verify the signature in a CertificateVerify message (Section 4.4.3 of [RFC8446]) sent and signed by the dCDN.
[RFC9345]で表現されているように、UCDNがDCDNに委任された場合、DCDNは、TLSハンドシェイク[RFC8446]中にユーザーエージェントに「Delegated_Credential」(独自の証明書ではなく)を提示します。これは、DCDNがDelegatedCredential.cred [RFC9345]の公開鍵に対応する秘密鍵の所有物も所有していることを意味します。これにより、ユーザーエージェントは、DCDNによって送信および署名されたCertimateVerifyメッセージ([RFC8446]のセクション4.4.3)の署名を確認できます。
This section defines the MI.DelegatedCredentials object containing an array of delegated credentials and optionally the corresponding private keys. The CDNI MI [RFC8006] describes the CDNI metadata distribution mechanisms according to which a dCDN can retrieve the MI.DelegatedCredentials object from the uCDN.
このセクションでは、一連の委任された資格情報、およびオプションで対応するプライベートキーを含むMi.DelegatedCredentialsオブジェクトを定義します。CDNI MI [RFC8006]は、DCDNがUCDNからMi.DelegatedCredentialsオブジェクトを取得できるCDNIメタデータ分布メカニズムを説明しています。
The properties of the MI.DelegatedCredentials object are as follows:
Mi.DelegatedCredentialsオブジェクトのプロパティは次のとおりです。
Property:
財産:
delegated-credentials
委任されたクレジンシャル
Description:
説明:
Array of delegated credentials
委任された資格情報の配列
Type:
タイプ:
Array of DelegatedCredentialObject objects
DelegatedCredentialObjectオブジェクトの配列
Mandatory-to-Specify:
必須の仕様:
Yes
はい
The DelegatedCredentialObject object is composed of the following properties:
DelegatedCredentialObjectオブジェクトは、次のプロパティで構成されています。
Property:
財産:
delegated-credential
委任されたクレジンシャル
Description:
説明:
Base64-encoded (as defined in Section 4 of [RFC4648]) version of a CertificateEntry as defined in Section 4.4.2 of [RFC8446]. The CertificateEntry MUST contain a DelegatedCredential structure (as defined in [RFC9345]) using the extension in the CertificateEntry of its end-entity certificate (see Section 4.1.1 of [RFC9345]).
[RFC8446]のセクション4.4.2で定義されているCertifativeEntryのバージョンのバージョン[RFC8446]で定義されているBase64エンコード([RFC468]のセクション4で定義されています)。certerminceentryには、エンドエンティティ証明書の証明書の拡張機能を使用して、委任されたクレジンシャル構造([RFC9345]で定義されている)を含む必要があります([RFC9345]のセクション4.1.1を参照)。
Type:
タイプ:
string
弦ストリング紐糸筋緒一糸じゅずつなぎひもでつないだもの
Mandatory-to-Specify:
必須の仕様:
Yes
はい
Property:
財産:
private-key
プライベートキー
Description:
説明:
Encrypted private key corresponding to the public key contained in the DelegatedCredential. The envelope format for this property is JSON Web Encryption (JWE) [RFC7516] using the base64 compact serialization (Section 7.1 of [RFC7516]).
DelegatedCredentialに含まれる公開キーに対応する暗号化された秘密鍵。このプロパティのエンベロープ形式は、base64コンパクトシリアル化([RFC7516]のセクション7.1)を使用したJSON Web暗号化(JWE)[RFC7516]です。
Type:
タイプ:
string
弦ストリング紐糸筋緒一糸じゅずつなぎひもでつないだもの
Mandatory-to-Specify:
必須の仕様:
No
いいえノー能
The private-key property is not mandatory. If not specified, it is assumed that the dCDN generated the public-private key pair for the delegated credential itself and provided the public key information with an out-of-band mechanism to the uCDN. See Section 7 for constraints regarding the usage of the private key.
プライベートキープロパティは必須ではありません。指定されていない場合、DCDNは委任された資格情報の官民キーペアを生成し、公開キー情報にUCDNに帯域外のメカニズムを提供したと想定されています。秘密鍵の使用に関する制約については、セクション7を参照してください。
If the private-key property is used, the transported private key MUST be encrypted using the PrivateKeyEncryptionKey specified in FCI.DelegatedCredentials. The envelope format for this property MUST use JWE [RFC7516] using the base64 compact serialization (Section 7.1 of [RFC7516]), whereas the private key is included as JWE Ciphertext in the JWE. The JWE content-type field MAY be used to signal the media type of the encrypted key.
Private-Keyプロパティが使用されている場合、FCI.DelegatedCredentialsで指定されたPrivateKeyEncryptionKeyを使用して、輸送された秘密鍵を暗号化する必要があります。このプロパティのエンベロープ形式は、base64コンパクトシリアル化([RFC7516]のセクション7.1)を使用してJWE [RFC7516]を使用する必要がありますが、秘密鍵はJWEのJWE暗号文として含まれています。JWEコンテンツタイプのフィールドを使用して、暗号化されたキーのメディアタイプを信号することができます。
Below, please see an example of an MI.DelegatedCredentials object.
以下に、Mi.DelegatedCredentialsオブジェクトの例を参照してください。
{
"generic-metadata-type": "MI.DelegatedCredentials",
"generic-metadata-value": {
"delegated-credentials": [
{"delegated-credential":
"cBBfm8KK6pPz/tdgKyedwA...
iXCCIAmzMM0R8FLI3Ba0UQ=="},
{"delegated-credential":
"4pyIGtjFdys1+9y/4sS/Fg...
J+h9lnRY/xgmi65RLGKoRw=="},
{"delegated-credential":
"6PWFO0g2AXvUaULXLObcVA...
HXoldT/qaYCCNEyCc8JM2A=="}
]
}
}
An example call-flow using delegated credentials is depicted in Figure 1. The steps are as follows.
委任された資格情報を使用したコールフローの例を図1に示します。手順は次のとおりです。
1. It is assumed that the uCDN has been provisioned and configured with a certificate. Note that it is out of scope of CDNI and the present document how and from where (e.g., which Content Service Provider) the uCDN acquired its certificate.
1. UCDNがプロビジョニングされ、証明書で構成されていると想定されています。それはCDNIの範囲外であり、現在の文書は、UCDNがその証明書を取得した方法と場所(例えば、どのコンテンツサービスプロバイダー)を取得したことに注意してください。
2. The uCDN generates a set of delegated credentials (here it is assumed that public keys of the dCDN are known). Note that the uCDN may generate this material at different points in time, e.g., in advance to have a pool of delegated credentials or on demand when the dCDN announces its maximum number of supported delegated credentials.
2. UCDNは、一連の委任された資格情報を生成します(ここでは、DCDNのパブリックキーが既知であると想定されています)。UCDNは、DCDNがサポートされている委任された資格情報の最大数を発表したときに、委任された資格情報のプールまたはオンデマンドのプールを事前に持っている場合、この材料をさまざまな時点で生成する場合があることに注意してください。
3. Using the CDNI FCI [RFC8008], the dCDN advertises MI.DelegatedCredentials capabilities to the uCDN. The dCDN further uses FCI.DelegatedCredentials to advertise the maximum number of supported delegated credentials.
3. DCDNは、CDNI FCI [RFC8008]を使用して、UCDNにMi.DelegatedCredentials機能を宣伝します。DCDNはさらに、FCI.DelegatedCredentialsを使用して、サポートされている委任された資格情報の最大数を宣伝します。
4. Using the CDNI MI [RFC8006], the dCDN acquires the MI.DelegatedCredentials, retrieving an array of delegated credentials.
4. DCDNは、CDNI MI [RFC8006]を使用して、Mi.DelegatedCredentialsを取得し、委任された資格情報の配列を取得します。
5. The client establishes a TLS connection with an endpoint of the dCDN according to [RFC9345] using the delegated credentials retrieved in step 4.
5. クライアントは、ステップ4で取得した委任された資格情報を使用して、[RFC9345]に従ってDCDNのエンドポイントとのTLS接続を確立します。
6. When some delegated credentials are about to expire, the uCDN uses the CDNI MI [RFC8006] to provide new, valid delegated credentials.
6. 一部の委任された資格情報が期限切れになると、UCDNはCDNI MI [RFC8006]を使用して、新しい有効な委任された資格情報を提供します。
User-Agent dCDN uCDN
| | |
| | [1. uCDN acquires its certificate
| | out of scope of CDNI]
| | |
| | [2. generation of
| | delegated credentials]
| | |
| 3. CDNI FCI used to
| advertise support of MI.DelegatedCredentials
| and announce number of delegated credentials
| supported using FCI.DelegatedCredentials
| |-------------------->+
| | |
| 4. CDNI MI used to
| provide the MI.DelegatedCredentials object
| |<--------------------+
| | |
.
.
.
[5. TLS handshake according |
to [RFC9345]] . |
|<------------------->| |
| | |
.
.
.
| 6. Some delegated credentials about to expire.
| CDNI MI used to
| provide new MI.DelegatedCredentials object
| |<--------------------+
| | |
Figure 1: Example Call Flow of Delegated Credentials in CDNI
図1:CDNIの委任された資格情報のコールフローの例
IANA has registered the following payload types in the "CDNI Payload Types" registry in the "Content Delivery Network Interconnection (CDNI) Parameters" registry group.
IANAは、「コンテンツ配信ネットワーク相互接続(CDNI)パラメーター」レジストリグループの「CDNIペイロードタイプ」レジストリに次のペイロードタイプを登録しています。
+==========================+===========+
| Payload Type | Reference |
+==========================+===========+
| MI.DelegatedCredentials | RFC 9677 |
+--------------------------+-----------+
| FCI.DelegatedCredentials | RFC 9677 |
+--------------------------+-----------+
Table 1
Sections 6.1 and 6.2 provide additional necessary information for the registration of those CDNI payload types (see Section 2.2 of [RFC7736]).
セクション6.1および6.2は、これらのCDNIペイロードタイプの登録に追加の必要な情報を提供します([RFC7736]のセクション2.2を参照)。
Purpose:
目的:
The purpose of this payload type is to distinguish delegated credentials MI objects.
このペイロードタイプの目的は、委任された資格情報MIオブジェクトを区別することです。
Interface:
インタフェース:
MI/FCI
MI/FCI
Encoding:
エンコーディング:
See Section 4.
セクション4を参照してください。
Purpose:
目的:
The purpose of this payload type is to advertise the number of delegated credentials needed (and any associated capability advertisement).
このペイロードタイプの目的は、必要な委任された資格情報の数(および関連する機能広告)を宣伝することです。
Interface:
インタフェース:
FCI
FCI
Encoding:
エンコーディング:
See Section 3.1.
セクション3.1を参照してください。
The extensions defined enable providing delegated credentials to dCDNs. A delegated credential can only be used by a dCDN if it is in possession of the associated private key. Similarly, an attacker requires access to the private key in order to exploit a delegated credential and impersonate dCDN nodes. Thus, leakage of only the delegated credential without the private key represents a limited security risk.
定義された拡張機能により、DCDNSに委任された資格情報を提供できます。委任された資格情報は、関連する秘密鍵を所有している場合にのみ使用できます。同様に、攻撃者は、委任された資格情報を活用し、DCDNノードになりすましているために、秘密鍵へのアクセスを必要とします。したがって、秘密鍵のない委任された資格情報のみのリークは、限られたセキュリティリスクを表します。
Delegated credentials and associated private keys are short-lived (per default, the maximum validity period is set to 7 days in [RFC9345]) and as such a single leaked delegated credential with its private key represents a limited security risk. Still, it is NOT RECOMMENDED to send private keys through the MI. Omitting the private key further limits the possible ways an attacker could exploits the delegated credential.
委任された資格情報と関連するプライベートキーは短命です(デフォルトに従って、最大妥当性期間は[RFC9345]で7日間に設定されています)。それでも、MIを通じてプライベートキーを送信することはお勧めしません。秘密鍵を省略すると、攻撃者が委任された資格情報を悪用する可能性のある方法がさらに制限されます。
If this recommendation is not followed, i.e., the private key is communicated via the MI, the transported private key MUST be encrypted within a JWE envelope using the encryption key (PrivateKeyEncryptionKey) provided within the FCI.DelegatedCredentials by the dCDN. The JWE encryption key (PrivateKeyEncryptionKey) MUST have a strength equal to or larger than the private key it is encrypting for transport. Note that the specified encryption method does not offer forward secrecy. If the dCDN's encryption key becomes compromised in the future, then all encrypted JWEs will become compromised. Due to the short-lived nature of delegated credentials, the impact is limited.
この推奨事項に従わない場合、つまり秘密鍵がMIを介して通信されない場合、輸送された秘密鍵は、DCDNによってFCI.DelegatedCredentials内で提供される暗号化キー(PrivateKeyEncryptionKey)を使用してJWEエンベロープ内で暗号化する必要があります。JWE暗号化キー(PrivateKeyEncryptionKey)には、輸送用に暗号化している秘密キー以上の強度が必要です。指定された暗号化方法では、前方の秘密を提供しないことに注意してください。DCDNの暗号化キーが将来侵害されると、すべての暗号化されたJWEが妥協されます。委任された資格情報の短命の性質により、影響は限られています。
It is also important to ensure that an attacker is not able to systematically retrieve a consecutive or consistent set of delegated credentials and associated private keys. Such an attack would allow the attacker to systematically impersonate dCDN nodes. The MI objects defined in the present document are transferred via the interfaces defined in CDNI [RFC8006]. [RFC8006] describes how to secure these interfaces, protecting the integrity and confidentiality, as well as ensuring the authenticity of the dCDN and uCDN, which should prevent an attacker from systematically retrieving delegated credentials and associated private keys.
また、攻撃者が委任された資格と関連する委任された資格情報の連続または一貫したセットを体系的に取得できないようにすることも重要です。このような攻撃により、攻撃者はdcdnノードに体系的になりすまします。本文書で定義されているMiオブジェクトは、CDNI [RFC8006]で定義されているインターフェイスを介して転送されます。[RFC8006]は、これらのインターフェイスを保護し、整合性と機密性を保護する方法を説明し、DCDNとUCDNの信ity性を確保するため、攻撃者が委任された資格と関連するプライベートキーを体系的に取得できないようにします。
The FCI and MI objects and the information defined in the present document do not contain any personally identifiable information (PII). As such, this document does not change or alter the confidentiality and privacy considerations outlined in Section 8.2 of [RFC8006] and Section 7 of [RFC8008].
FCIおよびMIオブジェクトと本文書で定義されている情報には、個人を特定できる情報(PII)は含まれていません。そのため、このドキュメントは、[RFC8006]のセクション8.2および[RFC8008]のセクション7で概説されている機密性とプライバシーの考慮事項を変更または変更しません。
A single or systematic retrieval of delegated credentials and associated private keys would allow the attacker to decrypt any data sent by the end user intended for the end service, which may include PII.
委任された資格情報と関連するプライベートキーの単一または体系的な検索により、攻撃者は、PIIを含む可能性のあるエンドサービス向けのエンドユーザーが送信したデータを復号化できます。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119,
DOI 10.17487/RFC2119, March 1997,
<https://www.rfc-editor.org/info/rfc2119>.
[RFC4648] Josefsson, S., "The Base16, Base32, and Base64 Data
Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006,
<https://www.rfc-editor.org/info/rfc4648>.
[RFC7516] Jones, M. and J. Hildebrand, "JSON Web Encryption (JWE)",
RFC 7516, DOI 10.17487/RFC7516, May 2015,
<https://www.rfc-editor.org/info/rfc7516>.
[RFC7517] Jones, M., "JSON Web Key (JWK)", RFC 7517,
DOI 10.17487/RFC7517, May 2015,
<https://www.rfc-editor.org/info/rfc7517>.
[RFC8006] Niven-Jenkins, B., Murray, R., Caulfield, M., and K. Ma,
"Content Delivery Network Interconnection (CDNI)
Metadata", RFC 8006, DOI 10.17487/RFC8006, December 2016,
<https://www.rfc-editor.org/info/rfc8006>.
[RFC8008] Seedorf, J., Peterson, J., Previdi, S., van Brandenburg,
R., and K. Ma, "Content Delivery Network Interconnection
(CDNI) Request Routing: Footprint and Capabilities
Semantics", RFC 8008, DOI 10.17487/RFC8008, December 2016,
<https://www.rfc-editor.org/info/rfc8008>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol
Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018,
<https://www.rfc-editor.org/info/rfc8446>.
[RFC9345] Barnes, R., Iyengar, S., Sullivan, N., and E. Rescorla,
"Delegated Credentials for TLS and DTLS", RFC 9345,
DOI 10.17487/RFC9345, July 2023,
<https://www.rfc-editor.org/info/rfc9345>.
[RFC7336] Peterson, L., Davie, B., and R. van Brandenburg, Ed.,
"Framework for Content Distribution Network
Interconnection (CDNI)", RFC 7336, DOI 10.17487/RFC7336,
August 2014, <https://www.rfc-editor.org/info/rfc7336>.
[RFC7337] Leung, K., Ed. and Y. Lee, Ed., "Content Distribution
Network Interconnection (CDNI) Requirements", RFC 7337,
DOI 10.17487/RFC7337, August 2014,
<https://www.rfc-editor.org/info/rfc7337>.
[RFC7736] Ma, K., "Content Delivery Network Interconnection (CDNI)
Media Type Registration", RFC 7736, DOI 10.17487/RFC7736,
December 2015, <https://www.rfc-editor.org/info/rfc7736>.
Frédéric Fieau
Orange
40-48, avenue de la République
92320 Châtillon
France
Email: frederic.fieau@orange.com
Emile Stephan
Orange
2, avenue Pierre Marzin
22300 Lannion
France
Email: emile.stephan@orange.com
Guillaume Bichot
Broadpeak
3771 Boulevard des Alliés
35510 Cesson-Sévigné
France
Email: guillaume.bichot@broadpeak.tv
Christoph Neumann
Broadpeak
3771 Boulevard des Alliés
35510 Cesson-Sévigné
France
Email: christoph.neumann@broadpeak.tv