こんにちは!
GMOコネクトの名もなきエンジニアです。
よろしくお願いします!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2026-01-08(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 24件
- RFC: 2件
この記事でわかること3選:
- ML-KEM/ML-DSAが複数プロトコル(OpenPGP、X.509、EDHOC)で実装段階に到達
- AIシステムの意思決定を検証可能にする新アーキテクチャフレームワーク(VAP)の提案内容
- DetNetの実装基盤がBGP-LS、IGP、MPLSと各レイヤーで整備される動き
参照先:
その日のサマリー & Hot Topics
- PQC実装が本格化しています。OpenPGPへのML-KEM/ML-DSA組み込み、X.509での複合スキーム定義、EDHOCへのKEM認証適用など、多層的な展開が進行中です。AIシステムの証明可能性を扱う新フレームワーク提案も登場し、技術的信頼性確保への関心の高まりを示しています。DetNet関連では、BGP-LS、IGP、MPLSと各レイヤーでの拡張提案が揃い、決定論的ネットワーキングの実装基盤が整いつつあります。今日は26件という大型投稿日で、暗号技術とネットワーク基盤の両面で重要な進展が見られました。
- 電話認証のVerifiable Voice Protocolは、既存のSHAKENやRCDとは異なるアプローチで双方向認証を実現し、国境を越えた展開が容易な設計となっています。BBS署名方式は選択的開示機能を持つゼロ知識証明対応の署名で、プライバシー保護認証への応用が期待されます。WIMSE HTTPシグネチャはWorkload Identity Token(WIT)を使い、TLSプロキシ経由でもエンドツーエンド保護を実現します。マルチパス技術とワークロード認証が注目テーマです。
投稿されたInternet-Draft
Verifiable Voice Protocol
VVP(Verifiable Voice Protocol)は、電話の発信者・受信者双方の認証と認可を実現するプロトコルです。STIRを基盤としてSIP INVITEに暗号証拠をバインドしますが、SHAKENやRCDとは異なる技術・ガバナンス前提で設計されています。VVPは管轄境界を容易に越えられ、より分散的で、導入コストが低く、プライバシー保護に優れ、高保証という特徴を持ちます。既存エコシステムの橋渡しとして機能し、例えばSHAKENのA証明やRCDパスポートを正当化できます。さらにRCSやvConといったテキスト・チャット、非テレコム分野での検証可能性実現にも対応可能な設計となっています。
Draft Link
POSIX Draft ACL support for Network File System Version 4, Minor Version 2
NFSv4.2向けにPOSIX ACL(POSIX 1003.1e draft 17準拠)をサポートする4つの新しいオプションファイル属性を提案しています。POSIX ACLは正式批准されなかったものの、広く展開されたOSで実装されています。従来のNFSv4とPOSIX ACLモデル間のマッピングは意味的な非互換性により失敗していましたが、この新属性によりサーバーがPOSIX ACLを直接公開でき、情報損失のあるマッピングを回避できます。長年の課題に対する実用的な解決策として、既存環境との互換性維持が期待されます。
Draft Link
The BBS Signature Scheme
BBS署名方式は、複数メッセージに対応した安全なデジタル署名プロトコルで、署名を知っていることを証明しつつ、署名済みメッセージの任意のサブセットを選択的に開示できます。複数メッセージに署名しながら単一の定数サイズ署名を生成し、署名保持者はメッセージのサブセットを選択的に開示するゼロ知識証明を作成可能です。ゼロ知識性により、非開示メッセージや署名自体の情報を漏らさず、開示メッセージの真正性と完全性を保証します。プライバシー保護と認証の両立を実現する技術として注目されます。
Draft Link
OSPF YANG Model Augmentations for Additional Features - Release 1
IETF OSPF YANGモデルを拡張し、様々なOSPF拡張と機能をサポートするYANGデータモジュールを定義します。対象にはOSPFv3 TE拡張(RFC 5329)、2部メトリック(RFC 8042)、グレースフルリンクシャットダウン(RFC 8379)、ローカルインターフェースID広告用LLS拡張(RFC 8510)、MSD(RFC 8476)、アプリケーション固有リンク属性(RFC 9492)、Flexible Algorithm(RFC 9350)が含まれます。ネットワーク自動化の基盤として、複数のOSPF機能を統一的に管理できる環境が整備されます。
Draft Link
CoAP Publish-Subscribe Profile for Authentication and Authorization for Constrained Environments (ACE)
制約環境向け認証・認可(ACE)フレームワークのアプリケーションプロファイルで、CoAP Publish-Subscribe(Pub-Sub)アーキテクチャにおける安全なグループ通信を実現します。PublisherとSubscriberがBroker経由で通信する際、ACEのプロトコル固有トランスポートプロファイルを活用して通信セキュリティ、サーバー認証、OAuth 2.0アクセストークンにバインドされた鍵の所有証明を実現します。Publisher/Subscriberとしての認可情報のプロビジョニングと強制、Broker経由のエンドツーエンド保護用の鍵材料とセキュリティパラメータのプロビジョニングを規定しています。IoT環境でのセキュアなPub-Sub実現に貢献します。
Draft Link
CDNI Logging Extensions
CDNIにおけるトランザクションログ送信のための拡張セットを定義します。プッシュ・プル両方の運用モードをサポートし、新しいログコンテナ形式とログレコード形式、新しいログフィールド、ログレコードフィールドの変換・難読化・暗号化を記述するメタデータを含みます。CDN間でのログ情報交換の標準化により、マルチCDN環境でのトラフィック分析やセキュリティ監視が効率化されます。プライバシー保護とログの有用性のバランスを取る設計となっており、実運用での適用が期待されます。
Draft Link
Path Computation Element Communication Protocol (PCEP) Extensions for Signaling Multipath Information
特定のトラフィックエンジニアリング経路計算問題では、複数のトラフィックパスがまとまって解を構成します。単一パスでは有効な解になりません。この文書は、単一の目的と制約セットに対する複数パスのエンコード機構を定義します。セグメントルーティングポリシー内の候補パスごとに複数のセグメントリストをエンコードできます。新しいPCEP機構は汎用的に設計され、将来的にSRポリシー外での再利用が可能です。ステートレス・ステートフルPCEP双方に適用でき、RFC 8231とRFC 8281を更新して複数セグメントリストのエンコードを可能にします。
Draft Link
Verifiable AI Provenance Framework (VAP): An Architectural Framework for Evidentiary-Grade AI Decision Trails
重要インフラにおけるAIや自動意思決定システムは、独立検証に耐える証拠等級の来歴記録を生成する標準化機構を欠いています。従来のログ記録手法は、規制コンプライアンス、フォレンジック調査、組織横断アカウンタビリティに必要な暗号保証を提供できません。VAP(Verifiable AI Provenance Framework)は、既存のIETFセキュリティ技術を使って検証可能な意思決定トレイルを生成するための要件を定義するアーキテクチャフレームワークです。VAPは新しいプロトコルや暗号プリミティブを定義せず、ドメイン固有プロファイルがSCITT、RATS、COSE等を一貫した方法で活用できるアーキテクチャ調整レイヤーを提供します。AI時代のアカウンタビリティ確保への重要な一歩です。
Draft Link
Path Computation Element Communication Protocol (PCEP) Extensions for Associated Bidirectional Segment Routing (SR) Paths
PCEPは、PCEがPCC要求に応じて経路計算を実行する機構を提供します。セグメントルーティング(SR)はソースルーティングパラダイムを使ってパケットを誘導できます。ステートフルPCEP拡張はPCEがSR TE経路の状態維持・制御・開始を可能にします。PCEPはRSVP-TEシグナリングによる2つの単方向MPLS-TE LSPをアソシエーションでグループ化することをサポートしています。この文書は、2つの単方向SR経路(各方向1つ)を単一の関連双方向SR経路にグループ化するPCEP拡張を定義します。定義される機構はステートレス・ステートフルPCE双方で、PCE開始・PCC開始LSP双方に適用できます。
Draft Link
PQ/T Composite Schemes for OpenPGP using NIST and Brainpool Elliptic Curve Domain Parameters
OpenPGPプロトコル(RFC 9580)向けに、ML-KEMとML-DSAをNISTおよびBrainpoolドメインパラメータを使ったECDHおよびECDSAアルゴリズムと組み合わせたPQ/T(post-quantum/traditional)複合スキームを定義し、draft-ietf-openpgp-pqcを拡張します。OpenPGPへのPQC実装が具体化することで、メール暗号化やコード署名といった広範な用途でポスト量子時代への準備が進みます。NISTとBrainpool両方の楕円曲線パラメータをサポートすることで、異なる規制要件や組織方針にも対応可能です。
Draft Link
On the Relationship Between Remote Attestation and Behavioral Evidence Recording
RATS(Remote ATtestation ProcedureS)ワーキンググループが定義するリモート認証と、行動証拠記録機構の概念的関係について情報提供的な議論を行います。認証と行動証拠記録は根本的に異なる検証質問に対処し、包括的なシステムアカウンタビリティフレームワークにおける補完的レイヤーとして機能できることを観察しています。この文書は純粋に記述的で、RATSアーキテクチャへの変更提案、新しい認証機構の定義、規範的要件の確立は行いません。両技術の適切な使い分けと組み合わせ方を理解するための重要な整理となっています。
Draft Link
The "_for-sale" Underscored and Globally Scoped DNS Node Name
予約済みアンダースコアDNSリーフノード名「_for-sale」を使って親ドメイン名が購入可能であることを示す運用規約を定義します。この規約は既存運用を妨げずに展開でき、ドメイン名が現在活発に使用中であっても適用できます。ドメイン売買市場において、購入可能性を標準化された方法で示せることは、取引の透明性向上に寄与します。実装が簡単で後方互換性も高く、既存のDNSインフラに容易に追加できる実用的な提案です。
Draft Link
Advertising DetNet Resources in BGP Link-State
BGP Link-State(BGP-LS)はネットワークから様々なトポロジ情報の収集を可能にします。この文書は、DetNetスケジューリングリソースのBGP-LSでの広告を規定し、コントローラーがDetNetベースのトラフィックエンジニアリング経路を計算するための基盤を提供します。DetNetの実装に必要なリソース情報を集中管理可能にすることで、決定論的ネットワーキングの実用化が加速されます。BGP-LSを活用することで、既存のネットワーク管理インフラとの統合も容易になり、段階的な導入が可能となります。
Draft Link
HTTP Signature-Key Header
RFC 9421で定義されたHTTPメッセージ署名の検証に使用される公開鍵を配布するためのSignature-Key HTTPヘッダフィールドを定義します。4つの初期鍵配布スキームを定義:仮名インライン鍵(hwk)、JWKS URIディスカバリーを使った識別署名者(jwks_uri)、X.509証明書チェーン(x509)、JWTベース委譲(jwt)。これらのスキームは、プライバシー保護仮名検証からPKIベースのアイデンティティチェーン、水平スケーラブルな委譲認証まで、柔軟な信頼モデルを可能にします。HTTPレベルでの署名検証を実用的にする重要な拡張です。
Draft Link
Dataplane Enhancement Taxonomy
決定論的ネットワーキング向けに現在または将来提案されるデータプレーン拡張ソリューションの理解を促進します。データプレーンソリューションを分類する基準を提供し、各カテゴリの例を必要に応じて理由とともにリストアップします。各カテゴリの強みと制約を記述し、決定論的ネットワーキングの様々なサービスへの適合性にも言及します。ソリューション評価用の参照トポロジも提供します。DetNet実装を検討する際の羅針盤として、技術選択の判断材料を提供する有用なドキュメントです。
Draft Link
CBOR : : Core - CBOR Cross Platform Profile
CBOR::Coreは、インターネットブラウザ、モバイルフォン、Webサーバーといった計算能力の高いシステムにおいてJSONの実用的な代替として機能することを意図した、CBOR(RFC 8949)のプラットフォーム非依存プロファイルです。厳格性の強化と、署名やハッシュといった暗号手法を「生」(非ラップ)CBORデータにオプション適用可能にするため、決定論的エンコーディングが必須となっています。さらに、CBORデータを安全に操作するためのAPI機能の概要も示しています。主にCBORツール開発者を対象とし、相互運用性の高い実装を促進します。
Draft Link
Path Computation Element Communication Protocol (PCEP) Extensions for Topology Filter
経路計算中にトポロジフィルタをサポートするためのPCEP拡張セットを提案します。特定のトポロジ要素を経路計算から除外または優先することで、より柔軟で効率的なトラフィックエンジニアリングが実現できます。大規模ネットワークにおいて、計算対象を絞り込むことでPCEの負荷を軽減しつつ、ポリシーベースのルーティングを実現する有用な機能です。メンテナンス時のトラフィック迂回やセキュリティポリシーに基づく経路制御など、実運用での活用シーンが豊富にあります。
Draft Link
WIMSE Workload-to-Workload Authentication with HTTP Signatures
WIMSEアーキテクチャは、最も基本的な環境から複雑なマルチサービス・マルチクラウド・マルチテナント展開まで、様々なランタイム環境におけるソフトウェアワークロードの認証と認可を定義します。この文書は、HTTPシグネチャを使ったワークロード認証機構の1つを定義します。HTTPトラフィックにのみ適用可能ですが、TLSプロキシやロードバランサーが使用され、サービストラフィックがエンドツーエンドで暗号化されていない場合でも、リクエスト(オプションでレスポンス)のエンドツーエンド保護を提供します。認証はWorkload Identity Token(WIT)に基づいています。クラウドネイティブ環境でのゼロトラスト実現に貢献します。
Draft Link
IGP Extensions for Deterministic Traffic Engineering
決定論的ルーティングのトラフィックエンジニアリング(TE)をサポートするIGP拡張を記述します。ルーターが近隣の広告に配置できる新しい情報を規定し、決定論的トラフィックエンジニアリング経路計算に有用なネットワーク状態に関する追加詳細を記述します。DetNetの実現に必要なネットワーク情報をIGPレベルで配布することで、分散型の経路計算が可能になります。OSPFやIS-ISといった既存のIGPプロトコルを活用することで、新たなプロトコルを導入することなくDetNet対応が進められます。
Draft Link
KEM-based Authentication for EDHOC in Initiator-Known Responder (IKR) Scenarios
EDHOC(Ephemeral Diffie-Hellman Over COSE)軽量プロトコル向けのKEM(Key Encapsulation Mechanism)ベース認証手法のより効率的なバリアントを規定します。InitiatorがResponderの認証情報を事前に知っている特定シナリオ向けで、制約環境でよく見られます。「KEM-based Authentication for EDHOC」で記述されたアプローチを改良し、必須の3メッセージハンドシェイクのみを使用して、NIST標準化されたML-KEMのようなPQC KEMを使用する際に署名なしのポスト量子認証を実現しつつ、相互認証、前方秘匿性、一定レベルのアイデンティティ保護を提供します。IoTデバイスでのPQC実装の現実解として期待されます。
Draft Link
編集後記
- 今日は26件という大量の投稿があり、正直読み込むだけで3時間以上かかってしまいました。PQCの実装展開とAIシステムの信頼性確保という2つの大きなトレンドが見えたのが収穫です。特にML-KEM/ML-DSAがOpenPGP、X.509、EDHOCと複数プロトコルで実装段階に入っており、「もう実装しないと」という空気を感じます。
- 個人的に最も興味深かったのはAIの証明可能性フレームワーク(VAP)です。AIシステムが社会インフラ化する中で、意思決定の透明性と検証可能性の確保は避けて通れない課題ですが、既存のIETF技術を組み合わせてアーキテクチャレイヤーで解決しようとするアプローチは現実的で、今後の議論の展開が楽しみです。DetNet関連の提案も各レイヤーで揃ってきており、実ネットワークでの展開が近づいている印象を受けました。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。