5 タイムスタンプに関連した実装
5.5 製品
タイムスタンプ・プロトコルに関する技術調査
タイムスタンプ・プロトコルに関する技術調査
ロードバランサーやクラスタリングなど、負荷分散のための機能 (f) 時刻取得方式
サーバー製品の場合、対応している時刻取得方式。サービスの場合、時刻を提 供もしくは監査している機関等。
(g) HSM
対応もしくは内蔵しているHSM (h) データベース
対応もしくは利用しているデータベース (i) その他
上記以外の特徴
5.5.1 Cryptomathic Time Stamping Authority
Cryptomathic社は、大学からの新規企業(University Spin-Off Companies)、い わゆる学内ベンチャー企業として、1986年に創設された。本社はデンマークにあ り、多くの暗号学者を雇用している。
EUを中心としてセキュリティ関連ソフトウェアの販売、SI及びコンサルテー ションを行っており、その中でTSA製品であるCryptomathic Time Stamping Authority(以下CTSA)を取り扱っている。以下に、このTSAサーバー製品につい て詳細を示す。
(a) 概要
<①TSAサーバー製品(ハードウェア)> Cryptomathic Time Stamping Authority Cryptomathic社(デンマーク)
http://www.cryptomathic.com/products/tsa_index.html (b) 価格
不明
(c) 接続プロトコル TSP over TCP
タイムスタンプ・プロトコルに関する技術調査
(d) 対応OS
サーバー:WindowsNT/2000(サービス)
管理クライアント:WindowsNT/2000(アプリケーション) (e) 負荷分散機能
クラスタリング (f) 時刻取得方式等
GPS時刻サーバー(True Time NTS-150/200)及びNTPに対応 (g) HSM
以下のHSMに対応している。
nCipher nShield F2/F3 IBM4758暗号プロセッサ その他のPKCS#11デバイス (h) データベース
Oracle 8/9
Microsoft SQL Server 7/2000
CTSAには、専用の管理クライアント(administration client)が付属している。
管理クライアントには、CTSAの全ての管理機能を利用できるセキュア管理クラ イアント(secure administration clients)と、日常的なメンテナンスやモニタリン グなどのオペレーションを行うためのリモート管理クライアント(remote
administration clients)がある。 図 5.5-1に、CTSAの利用モデルを示す。
全ての管理クライアントにはスマートカードリーダ(SCR)が接続されており、管 理者が所持するスマートカードをリーダに差し込み、正当なパスワードが入力さ れた時のみ管理コマンドを実行できる仕組みになっている。TSAの運用に大きな 影響を及ぼす可能性のある特に重要なコマンドについては、2人以上の管理者が同 時に操作する必要がある(デュアル・コントロール機能)。そのため、管理クライア ントには2つのスマートカードリーダが接続されている。
CTSAでは、管理者を以下の3種類に分類し、それぞれの権限を規定している。
① セキュリティ管理者(Security Officer, SO)
タイムスタンプ・プロトコルに関する技術調査
TSAの安全な運用管理に関わる操作を行う。
② オペレータ(operator)
日常的なメンテナンスや管理業務を行う。
③ 監査人(auditor)
利用履歴(ログ)を閲覧・監査する。
データセンター等
Cryptomathic TSA
SCR SCR
DB HSM
セキュア管理クライアント
タイムソース
SCR SCR リモート管理クライアント
タイムスタンプ・クライアント図 5.5-1Cryptomathic CTSAの利用モデル 5.5.2 C&A Time Man
イタリアのC&A社(1998年設立)は、これまで暗号や電子署名関連の製品を中心 に開発してきた。同社の提供するTSA製品の詳細を以下に示す。
(a) 概要
<①TSAサーバー製品(ハードウェア)> Time Man(TSA V2.0)
C&A社(イタリア)
http://www.com-and.com/products/tman.html (b) 価格
タイムスタンプ・プロトコルに関する技術調査
6万ユーロ(約780万円、GPSレシーバー付き) (c) 接続プロトコル
TSP over TCP
TSP over HTTP,HTTPS TSP over SMTP
Microsoft Authenticode protocol対応 (d) 対応OS
FreeBSD OSをはじめ、主にフリーソフトウェアを利用して実装されている。
(e) 負荷分散機能
フロントエンドにロードバランサーを設置 (f) 時刻取得方式
GPS時刻サーバー及びACTS(Automated Computer Time Service、NISTの提 供する時刻同期サービス)モデムによる同期により、誤差1msec を実現可能。なお、
同社のTSAは、NISTやInstitute Galileo Ferrarisから監査を受けたタイムソー スを利用している。
(g) HSM
KeyMan(CC EAL4+High及びFIPS 140-1/2 Level3認定) (h) データベース
不明
Time Manのバージョン1(TSA V1)は2000年6月に、TSAとしては初めて ITSEC E2 High認定を受けた。
5.5.3 nCipher Document Sealing Engine
nCipher社は1996年に設立され、暗号やセキュリティ関連の製品開発を行って
きた。同社の製品であるDocument Sealing Engine (DSE 200)は、TSAの機能を 有している。
タイムスタンプ・プロトコルに関する技術調査
また同社からは、デジタル署名アプリケーションの開発ツールキットである DSE API/SDK(Sun Solaris、Linux及びWindowsに対応)も提供されている。
以下で、DSE 200の仕様をまとめる。
(a) 概要
<①TSAサーバー製品(ハードウェア)>
nCipher Document Sealing Engine nCipher社(英国)
http://www.ncipher.com/dse/index.html (b) 価格
不明
(c) 接続プロトコル RFC 3161
(VeriSignタイムスタンプ証明書に対応) (d) 対応OS
不明
(e) 負荷分散機能
単体で1秒間に125以上のタイムスタンプを作成可能(1024ビットRSA) (f) 時刻取得方式
不明 (g) HSM
内蔵(FIPS 140-2 Level 3 認定) (h) データベース
不明
5.5.4 Symmetricom Trusted Time StampServer
Symmetricom社は、1956年に電子計測機器メーカとして設立された。2002年 にTrueTime社とDatum社を買収し、Trusted Timeという名称でタイムスタン
タイムスタンプ・プロトコルに関する技術調査
プ関連のサービス事業を行っていた。同社の製品は、セイコーインスツルメンツ 株式会社へOEM供給され、また、米国郵政局の電子消印(EPM)サービスに技術提 供された。セイコーインスツルメンツ株式会社のサービスについては5.6.2項で、
EPMについては5.6.1項で詳しく説明する。
2003年10月にはTrusted Time事業がWebStone Technologies社に譲渡され、
現在では同社の時刻検査計測部門(Timing, Test and Measurement Division)が GPS時刻配信サーバーなどの製造を行っている。
以下で、同社の販売していたTSA製品の仕様をまとめる。
(a) 概要
<①TSAサーバー製品(ハードウェア)> Trusted Time StampServer SA100 Symmetricom社(米国)
http://www.trusted-time.com/stampserver_sa100.asp (b) 価格
不明
(c) 接続プロトコル RFC 3161
(d) 対応OS Windows2000 (e) 負荷分散機能
単体で1秒間に75以上のタイムスタンプを作成可能 (f) 時刻取得方式
不明 (g) HSM
IBM4758暗号プロセッサを内蔵(FIPS 140-1 Level 3 or 4認定) (h) データベース
不明
タイムスタンプ・プロトコルに関する技術調査
5.5.5 KSign TSA
KSign社は、1999年の設立当初からPKI関連製品を開発・販売する、韓国の
PKIプロバイダーである。タイムスタンプに関連するラインナップとして、
KSignTSAとKSignDVCSが挙げられる。
KSignTSAは、次のコンポーネントから構成されている。
− KSignTSAサーバー
− KSignTSAクライアント
− KSignTSA管理ツール
− KSignTSAビューア
KSignTSAについての詳細を以下に示す。
(a) 概要
<①TSAサーバー製品(ソフトウェア)> KSignTSA
KSign社(韓国)
http://www.ksign.com/english/products1_4.shtml (b) 価格
不明
(c) 接続プロトコル 不明
(d) 対応OS
<サーバー>
Solaris 5.0
<クライアント>
Windows 9x, Windows 2000, Windows XP,Solaris 5.6, RedHat Linux 6.0など
<管理ツール>
Windows 9x, Windows 2000, Windows XP (e) 負荷分散機能
タイムスタンプ・プロトコルに関する技術調査
不明
(f) 時刻取得方式 不明
(g) HSM 不明
(h) データベース Oracle 8.0.0
5.5.6 Entrust Verification Server
Entrust社(米国)は1995年にNortelNetworks社(米国)から独立して誕生した。
日本での総販売元は、エントラスト・ジャパン社(1998年設立)となっている。
Entrust Verification Server7.0は、次の3つのサービスを実現する。
− 電子署名サービス
− XKMS(X-KISS)証明書検証サービス
− タイムスタンプ・サービス
電子署名サービスは、ユーザーの作成したデータに対して、会社などの組織が 署名を付けることを想定したサービスである。Web サービスとして機能し、クラ イアントが送付した文書にサーバーが署名し、Webサービスの応答として署名文 書が返される仕組みとなっている。また、一般のCMS署名に加え、XML署名に も対応している。
次のXKMS(X-KISS)証明書検証サービスは、W3C の標準であるXKMS 2.0の X-KISS Tier2 Validation ServiceをWeb サービスとして提供する。このサービス を利用すると、証明書の検証をサーバー側で行うことができる(図 5.5-2)。
タイムスタンプ・プロトコルに関する技術調査
図 5.5-2Entrust XKMS(X-KISS)証明書検証サービス
最後の、タイムスタンプ・サービスについての詳細を以下に示す。
(a) 概要
<①TSAサーバー製品(ソフトウェア)> Entrust Verification Server7.0
Entrust社(米国)、エントラスト・ジャパン社(日本)
http://www.entrust.co.jp/resources/wp/pdf/02-ValidationServer7.pdf38 (b) 価格
約300万円 (c) 接続プロトコル
RFC 3161準拠TSP over HTTP XML/SOAP over HTTP
(d) 対応OS
Microsoft Windows2000 Server Sun Solaris 8
(e) 負荷分散機能
フロントエンドにロードバランサーを使用可能
タイムスタンプ・プロトコルに関する技術調査
(f) 時刻取得方式
ハードウェア時刻発信モジュール(TrueTime、Brandywineなどの製品)に対応 NTP/SNTPによる同期
ACTS(Automated Computer Time Service)モデムによる同期 GPS
(g) HSM
Chrysalis-ITS Luna CA3 nCipher nFast
(h) データベース 不明
5.5.7 Unizeto CERTUM
Unizeto Sp. z o.o.社(ポーランド)の子会社であるUnizeto CERTUM
Certification Authority社(以下CERTUM)は、WebTrustの認定を受けた認証局 を運用している。
CERTUMによると、同社はEUではじめてタイムスタンプ・サービスを開始し
た。
(a) 概要
<②TSAサービス>
Certum Time-Stamping Authority (Non-Repudiation System) Unizeto CERTUM Certification Authority社(ポーランド) http://www.certum.pl/english/eng/services/ts/index.html (b) 価格
個人、非営利団体、教育機関等は無料で、商用利用に限って以下の価格が適用 される。
10 stampまで 5 zl/stamp (約161円) 100 stampまで 2 zl/stamp (約64円)
タイムスタンプ・プロトコルに関する技術調査
1000 stampまで 1 zl/stamp (約32円) 10000 stampまで 0.5 zl/stamp (約16円) 10000 stamp超 0.2 zl/stamp (約6円)
※zlはポーランドの通貨ズウォティ(zloty)で、1ズウォティ≒32.2円 (c) 接続プロトコル
HTTP (d) 対応OS
不明
(e) 負荷分散機能
単体で1秒間に75以上のタイムスタンプを作成可能 (f) 時刻取得方式
以下のタイムソースと同期(誤差1マイクロ秒以下) 米国海軍観測所(US Naval Observatory,USNO)
スウェーデン国立試験研究所(Swedish National Testing and Research Institute,SP)
(g) HSM
秘密鍵の管理に利用(詳細は不明) (h) データベース
不明
発行されたタイムスタンプ及び付加情報等は、電子公証のために5年間保管さ れる。
Unizeto CERTUMではこの他に、TSA証明書の発行サービスも行っており、
TSA事業者とユーザー向けに、Windows版のTSAサーバーアプリケーションと、
クライアントアプリケーションを無料で配布している。
タイムスタンプ・プロトコルに関する技術調査