X.500
X.500は、電子ディレクトリサービスを対象とする一連のコンピュータネットワーク標準です。X.500シリーズは、国際電気通信連合(ITU-T)の電気通信標準化セクターによって開発されました。ITU-Tは、以前は国際電話電信諮問委員会(CCITT)として知られていました。X.500は1988年に最初に承認されました。ディレクトリサービスは、X.400電子メール交換と名前検索の要件をサポートするために開発されました。国際標準化機構(ISO)は、標準の開発にそれらを組み込むことで、パートナーだった開放型システム間相互接続のプロトコルのスイートです。ISO / IEC 9594は、対応するISOIDです。
コンテンツ
1 X.500プロトコル
2 トランスポートプロトコル
3 X.500データモデル
4 X.500ディレクトリとX.509v3デジタル証明書の関係
5 X.500シリーズ規格のリスト
6 批判
7 も参照してください
8 参考文献
9 外部リンク
X.500プロトコル
X.500で定義されているプロトコルは次のとおりです。
プロトコル名 説明 仕様の定義*
ディレクトリアクセスプロトコル(DAP) 「DUAとDSAの間の要求と結果の交換を定義します。」 これは、クライアントがディレクトリシステムと対話する方法です。
ITU勧告X.511
ディレクトリシステムプロトコル(DSP) 「2つのDSA間の要求と結果の交換を定義します。」 これは、2つのディレクトリサーバーが相互に作用する方法です。
ITU勧告X.518
ディレクトリ情報シャドウイングプロトコル(DISP) 「シャドウイング契約を確立した2つのDSA間のレプリケーション情報の交換を定義します。」 これは、ディレクトリサーバーが情報を複製する方法です。
ITU勧告X.525
Directory Operational Bindings Management Protocol(DOP) 「2つのDSA間の管理情報の交換を定義して、それらの間の運用上のバインディングを管理します。」 これは、ディレクトリがレプリケーションに関連するものなど、相互間の合意を管理する方法です。
ITU勧告X.501
認証局サブスクリプションプロトコル(CASP)
ITU勧告X.509
承認検証管理プロトコル(AVMP)
ITU勧告X.509
トラストブローカープロトコル(TBP)
ITU勧告X.510
*これらのプロトコルは通常、複数の仕様およびASN.1モジュール全体で段階的に定義されています。上記の「仕様の定義」列は、どの仕様がプロトコルに最も具体的に寄与するかを(主観的に)示しています。
これらのプロトコルはOSIネットワークスタックを使用していたため、インターネットクライアントがTCP / IPネットワークスタックを使用してX.500ディレクトリにアクセスできるようにするためにDAPの代替手段がいくつか開発されました。DAPの最もよく知られている代替手段は、ライトウェイトディレクトリアクセスプロトコル(LDAP)です。DAPおよびその他のX.500プロトコルはTCP / IPネットワークスタックを使用できるようになりましたが、LDAPは依然として人気のあるディレクトリアクセスプロトコルです。
トランスポートプロトコル
X.500プロトコルは、伝統的にOSIネットワークスタックを使用します。ただし、ライトウェイトディレクトリアクセスプロトコル(LDAP)は、トランスポートにTCP / IPを使用します。ITU勧告X.519の新しいバージョンでは、インターネット直接マップ(IDM)プロトコルが導入され、X.500プロトコルデータユニット(PDU)をTCP / IPスタックを介して転送できるようになりました。このトランスポートには、TCPを介したISOトランスポートと、プロトコルデータグラムをフレーム化するための単純なレコードベースのバイナリプロトコルが含まれます。
X.500データモデル
X.500の主要な概念は、単一のディレクトリ情報ツリー(DIT)が存在することです。これは、ディレクトリシステムエージェント(DSA)と呼ばれる1つ以上のサーバーに分散されるエントリの階層構造です。エントリは属性のセットで構成され、各属性には1つ以上の値が各エントリには、相対識別名(RDN)、エントリ自体の1つ以上の属性、およびDITのルートまでの各上位エントリのRDNを組み合わせて形成された一意の識別名がLDAPはX.500と非常によく似たデータモデルを実装しているため、LDAPに関する記事にデータモデルの詳細な説明が
X.520とX.521は一緒になって、DITのエントリとして人と組織を表すために使用される属性とオブジェクトクラスのセットの定義を提供します。これらは、最も広く展開されているホワイトページスキーマの1つです。
認証フレームワークを提供する標準の一部であるX.509は、X.500ディレクトリプロトコル以外でも広く使用されています。公開鍵証明書の標準形式を指定します。
X.500ディレクトリとX.509v3デジタル証明書の関係
Webブラウザに直接ロードされたディレクトリ構造外のX.509v3証明書の現在の使用は、X.500ディレクトリをソースとして必要としない安全なWebベース(SSL / TLS)通信を可能にすることによってeコマースを開発するために必要でした。 X.500(1988)で最初に考案されたデジタル証明書。X.509がWWWの前にX.500を更新するための安全なアクセス方法として設計されているという点で、X.500とX.509の関係を理解するには、X.500とX.509の役割を対比する必要がありますが、Webブラウザーが普及すると、 Webサイトへのトランスポート層の接続を暗号化する簡単な方法。したがって、サポートされている認証局の信頼されたルート証明書は、パーソナルコンピューターまたはデバイスの証明書ストレージ領域に事前に読み込まれています。
追加のセキュリティは、サイバースペースのデジタルIDを保護する2〜3年のプロジェクトであるサイバースペースの信頼できるIDに関する米国の国家戦略の2011年から2014年の予定された実装によって想定されています。
X.509v3のWWWeコマース実装はバイパスされましたが、X.500ディレクトリ内の識別名をバインドする元のISO標準認証メカニズムに取って代わりませんでした。
これらの証明書のパッケージは、エンドユーザーがソフトウェアで追加または削除できますが、継続的な信頼性の観点からMicrosoftとMozillaによってレビューされています。DigiNotarで発生した問題などの問題が発生した場合、ブラウザのセキュリティ専門家は認証局を信頼できないものとしてマークする更新を発行できますが、これはそのCAを「インターネットの信頼」から効果的に大幅に削除します。X.500は、提供されたバンドルの外部で、特定のルート証明書を要求している組織を表示する方法を提供します。これは、ルート証明書が侵害されているかどうかを判断するための別のチェックを追加する「信頼の4コーナーモデル」として機能できます。侵害された証明書を取り消すためのFederalBridgeポリシーを管理するルールは、www.idmanagement.govで入手できます。
このブラウザバンドルアプローチの対照は、X.500またはLDAPでは、属性「caCertificate」をディレクトリエントリに「バインド」して、エンドユーザーが通常気付かないデフォルトのプリロードされた証明書のバンドルに加えてチェックできることです。 SSL警告メッセージが表示されていない限り。
たとえば、SSLを使用するWebサイト、通常はDNSサイト名「www.foobar.com」は、ライブラリを使用するソフトウェアによってブラウザで検証され、証明書がに与えられた信頼されたルート証明書の1つによって署名されているかどうかを確認します。ユーザー。
したがって、HTTPSを介して正しいWebサイトにアクセスしたというユーザーの信頼を作成します。
ただし、ドメイン名以外のものが検証されたことを示すために、より強力なチェックも可能です。これをX.500とは対照的に、証明書はエントリの多くの属性の1つであり、エントリには特定のディレクトリスキーマで許可されているものをすべて含めることができます。したがって、X.500はデジタル証明書を保存しますが、物理アドレス、連絡先の電話番号、電子メールの連絡先など、組織を検証する可能性のある多くの属性の1つです。
CA証明書または認証局証明書は、ブラウザに自動的に読み込まれるか(Microsoftの更新メカニズムの場合)、またはブラウザの新しいバージョンの更新で読み込まれ、ユーザーは、認証局をロードし、OCSP失効サーバーに到達できない場合のブラウザーの動作を決定します。
これは、属性caCertificateをリストされた認証局に関連付けるディレクトリモデルとは対照的です。
したがって、ブラウザは、受け入れられた証明書のロードされたグループを使用してWebサイトのSSL証明書を確認できます。または、ルート証明書をX.500またはLDAPディレクトリで(またはHTTP / Sを介して)検索し、信頼できるリストにインポートできます。認証局。
「バインドされた」識別名は、ディレクトリエントリと一致する証明書のサブジェクトフィールドにX.509v3には、国際ドメイン名以外の関心のあるコミュニティに応じて、他の拡張機能を含めることができます。広くインターネットで使用するために、RFC-5280 PKIXは、暗号化された電子メールなどのアプリケーションに役立つ可能性のあるフィールドのプロファイルを記述しています。
ブラウザまたは電子メールに提示される証明書の信頼性に依存するエンドユーザーは、提示された偽造証明書(おそらくブラウザの警告をトリガーする)を有効な証明書と比較する簡単な方法がありません。 X.500DITで検索するように設計されたDNまたは識別名。
証明書自体は公開されており、偽造できないと見なされるため、任意の方法で配布できますが、IDへの関連付けられたバインディングはディレクトリで発生します。バインディングは、証明書を、その証明書を使用していると主張するIDにリンクするものです。たとえば、Federal Bridgeを実行するX.500ソフトウェアには、認証局間の信頼を可能にする相互証明書が
ドメイン名の単純な同形異義語の照合により、ドメインが正当であるように見えるがそうではないフィッシング攻撃が発生しました。
X.509v3証明書がディレクトリ内の有効な組織の識別名にバインドされている場合、ブラウザに表示されるものとディレクトリに存在するものを比較することにより、証明書の信頼性に関して簡単なチェックを行うことができます。 。
公証人をチェックして、証明書が最近見られたばかりであり、したがって侵害されている可能性が高いかどうかを確認するためのいくつかのオプションが存在します。証明書が信頼される可能性が高く、ドメイン名がわずかに一致しないために失敗する場合、最初はブラウザーで失敗しますが、公証人の信頼の対象となり、ブラウザーの警告をバイパスできます。
o = FoobarWidgetsなどの有効な組織エントリにも英数字のOIDが関連付けられており、ANSIによって「IDが証明」されており、証明書をIDにバインドすることに関する別の保証レイヤーを提供します。
最近の出来事(2011年)は、証明書を偽造した国民国家の未知の関係者からの脅威を示しています。これは、Web経由でFacebookにアクセスするシリアの政治活動家に対するMITM攻撃を作成するために行われました。これは通常、ブラウザの警告をトリガーしますが、MITM証明書が、ブラウザまたは他のソフトウェアによってすでに信頼されている有効な認証局によって発行された場合はトリガーされません。同様の攻撃がStuxnetによって使用され、ソフトウェアが信頼できるコードを偽装できるようになりました。証明書の透明性のポイントは、証明書が実際に有効であるかどうかを簡単な手順を使用してエンドユーザーが判断できるようにすることです。デフォルトの証明書のバンドルに対してチェックするだけではこれを行うのに十分でない場合があるため、追加のチェックが必要です。証明書の透明性に関するその他の提案も進んでいます。
認証局であるComodoに対して別の攻撃が行われ、その結果、有名な通信Webサイトに向けられた偽造された証明書が作成されました。これには、主要なブラウザへの緊急パッチが必要でした。これらの証明書は実際には信頼できる認証局から発行されたものであるため、偽のWebサイトにアクセスした場合でも、ユーザーは警告を発しませんでした。シリアの事件では、アルトパロをパロに置き換えるなど、証明書が大雑把に偽造されていました。アルト。シリアル番号が正しくありません。
PHI、保護された医療情報(HIPAAの機密性が高いと見なされる)を交換するように設計された一部のプロジェクトは、CERT DNSリソースレコードを介して、またはLDAPを介してX.500 ディレクトリにX.509v3証明書を取得する場合が権限のあるバインドの問題は、DNSSECを使用してルートから署名することによって保護されたDNS情報の正確性に関連するRFCで詳しく説明されています。
ルートネームサーバーの概念は、インターネットコミュニティで大きな論争の原因となっていますが、DNSの場合は大部分が解決されています。X.500に関連付けられた名前空間は、伝統的に国の命名機関から始まると考えられてきました。これは、国を代表するグローバルシステムへのISO / ITUアプローチを反映しています。したがって、さまざまな国が独自のX.500サービスを作成します。USX500は、米国政府が既知の政府機関の外部でX.500またはDNS登録を提供しなくなった1998年に民営化されました。
X.500パイロットプロジェクトは商業分野で開発中であり、このテクノロジーは、企業のデータセンター内および米国政府内の認証のために数百万人のユーザーの主要なインストールに引き続き存在します。
X.500シリーズ規格のリスト
ITU-T番号 ISO / IEC番号
標準のタイトル
X.500 ISO / IEC 9594-1 ディレクトリ:概念、モデル、およびサービスの概要
X.501 ISO / IEC 9594-2 ディレクトリ:モデル
X.509 ISO / IEC 9594-8 ディレクトリ:公開鍵および属性証明書フレームワーク
X.511 ISO / IEC 9594-3 ディレクトリ:抽象的なサービス定義
X.518 ISO / IEC 9594-4 ディレクトリ:分散操作の手順
X.519 ISO / IEC 9594-5 ディレクトリ:プロトコル仕様
X.520 ISO / IEC 9594-6 ディレクトリ:選択された属性タイプ
X.521 ISO / IEC 9594-7 ディレクトリ:選択されたオブジェクトクラス
X.525 ISO / IEC 9594-9 ディレクトリ:レプリケーション
X.530 ISO / IEC 9594-10 ディレクトリ:ディレクトリの管理のためのシステム管理の使用
批判
RFC 2693(SPKIに関する)の作成者は、「元のX.500計画が実現する可能性はほとんどありません。ディレクトリエントリのコレクションは、リストを所有している人にとって価値がある、または機密であると見なされており、 X.500ディレクトリサブツリーの形で世界にリリースされました。」また、「識別名(エンティティを参照するときに誰もが使用できる単一のグローバルに一意の名前)というX.500のアイデアも発生する可能性は低いです。」
「X.500は複雑すぎてデスクトップやインターネットでサポートできないため、LDAPはこのサービスを「残りの人々に」提供するために作成されました。」
も参照してください
ISO / IEC JTC 1 / SC 6
参考文献
^ http://www.collectionscanada.gc.ca/iso/ill/document/ill_directory/X_500andLDAP.pdf ^ 「サイバースペースの信頼できるアイデンティティのための国家戦略」。
^ ウェンドランド、ダン; Andersen、David G。; ペリグ、エイドリアン。「展望:マルチパスプロービングによるSSHスタイルのホスト認証の改善」(PDF)。2008 USENIX年次技術会議の議事録:321–334。
^ 「証明書の透明性」。www.certificate-transparency.org。
^ LDAPとは何ですか?。Gracion.com。。
外部リンク
「RFC1485:識別名の文字列表現」。1993 。2021-02-10を取得。多くのOSIアプリケーションは、一般にX.500 として知られているOSIディレクトリで定義されている識別名(DN)を利用します。この仕様は、X.500および識別名の概念に精通していることを前提としています。
チャドウィック、DW(1994)。「X.500を理解する-ディレクトリ」。
X500Standard.com – X.500コミュニティサイト。X.500標準のガイドであり、標準で実行されている既存および新規の作業のリポジトリでもでウェイバックマシン(2019年1月4日アーカイブ)