セキュリティ考察

RFC 3161では、TSAサービスを設計した際に確認された、タイムスタンプ・

トークンの有効性や信頼性について影響を持つような、以下の考察について述べ ている。

3.1.4.1 TSA証明書の失効理由

TSAのプライベート鍵が、危殆化せずに使われなくなった時、TSA証明書は失 効されるべき(SHALL)であり、失効されたTSA証明書のCRLエントリ拡張に

reasonCode拡張が存在するならば、以下のいずれかがセットされているべき

(SHALL)である。

unspecified (0)

affiliationChanged (3) superseded (4)

cessationOfOperation (5)

失効以前に生成されたトークンはその後も有効だが、失効以後はいかなる場合 も、対応する鍵で署名されたトークンは無効とみなされる。

失効されたTSA証明書のCRLエントリ拡張にreasonCode拡張が存在しない ならば、対応する鍵によって署名されたあらゆるトークンは無効とみなされるべ き(SHALL)であり、このため、reasonCode拡張の利用が推奨される。

3.1.4.2 TSAプライベート鍵の危殆化

TSAプライベート鍵が危殆化した場合、対応する証明書は失効されるべき (SHALL)であり、失効されたTSA証明書のCRLエントリ拡張にreasonCode拡 張が存在するならば、keyCompromise (1) がセットされているべき(SHALL)であ る。

そのプライベート鍵を用いるTSAが署名したいかなるトークンも、もはや信頼 されない。

このため、TSAプライベート鍵は、危殆化の可能性を最小限にするべき適切な セキュリティによって保護・コントロールされることが不可決である。

3.1.4.3 TSA鍵の有効期間

TSA署名鍵は、十分な有効期間を持つために十分な鍵長でなければならない

(MUST)が、鍵の有効期間は有限である。

TSAが署名されたいかなるトークンも、TSA署名の信頼性を更新するために後 日再びタイムスタンプを行なうか、公証されなければならない(SHOULD)。

タイムスタンプ・トークンの信頼性を維持するために、証拠記録機関(Evidence Recording Authority)[ISONR]

3.1.4.4 man-in-the-middle攻撃に対する注意

ローカル時計を用いずにnonceのみを使うアプリケーションは、レスポンス待 ち時間について注意すべき(SHOULD)である。

遅延をもたらすman-in-the-middle攻撃などがあるため、許容時間よりも長い 時間を要するTimeStampRespについては、疑うべき(SHOULD)である。

RFC 3161が定義している転送プロトコルはそれぞれ異なる遅延条件¹¹を持つた

め、許容時間は他の環境因子と同様転送プロトコルに依存する。

3.1.4.5 同一のTSTが発見された場合の見解

異なるエンティティが、同じハッシュアルゴリズムを使い同じデータオブジェ クトに対するタイムスタンプ・トークンを得た場合、あるいは単一のエンティテ ィが同じオブジェクトに対して複数のタイムスタンプ・トークンを得た場合、生 成されたタイムスタンプ・トークンは、同じmessageImprintを含む。

この結果、これらのタイムスタンプ・トークンにアクセスするタイムスタンプ 検証者¹²は、タイムスタンプが根本的に同じデータを参照するかもしれない、と推 測することができる。

3.1.4.6 タイムスタンプリクエスト・レスポンスがリプレイされる可能性について

同じハッシュアルゴリズムと値を用いたリクエストが、偶然あるいは計画的に リプレイされる場合があり得る。

偶然のリプレイは、介在するネットワーク要素の問題によって、同じリクエス トメッセージの一つ以上のコピーがTSAに送られるような場合に発生する。

計画的なリプレイは、正当なタイムスタンプ・レスポンスを仲介人(middleman) が再生しているような場合に発生する。

RFC 3161ではこれらの状況を検知するための技術をいくつか考察している。

一つは常にリプレイを検知できるnonceであり、RFC 3161ではnonceを使う ことを推奨している。

もう一つはローカル時計とmoving time windowを使った仕組みである。

moving time windowは、タイムスタンプ要求者がその時間枠内に送った全てのハ ッシュを覚えている時間枠である。

11 delay characteristics

12 原文ではobserverだが、本報告書ではタイムスタンプ検証者と意訳した。

この仕組みでは、タイムスタンプ要求者がレスポンスを受けるとき、レスポン スの時刻がその時間枠の範囲であることと、その時間枠内で一度だけのハッシュ 値の発生であることを確認する。もし同じハッシュ値が時間枠内に複数存在する ならば、タイムスタンプ要求者はnonceを使うか、時間枠が、同じハッシュ値が 時間枠内に一度だけ存在するような状態に戻るまで待つ。

messageImprint

要求者 TSA

同じmessageImprint は受け取らない

messageImprint

time window time window

初見のmessageImprint なので受け取る

moving

同じmessageImprintを再度受け取る(再送する)ためには time windowがmovingするまで待たなければならない。

同じmessageImprintを再度受け取る(再送する)ためには time windowがmovingするまで待たなければならない。

ローカル クロック

図 3.1-2moving time window