おはようございます!
GMOコネクトの名もなきエンジニアです。
よろしくお願いします! ここ最近は投稿数が落ち着いていて素敵な感じです。
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2025-11-11(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
突然ではありますが、11月11日といえば、ポッキーの日ですね笑
- Internet-Draft: 15件
- RFC: 0件
参照先:
その日のサマリー & Hot Topics
- 2025年11月11日は15件のInternet-Draftが公開されました。暗号技術とセキュリティに関する提案が特に目立ち、SSH関連の更新が4件、耐量子暗号への移行を支援する提案が3件含まれています。その他、ネットワーク管理、クラウド連携、BGP拡張など、インフラストラクチャ技術の進化を示す提案も見られます。各分野で実装レベルでの具体的な標準化作業が進んでいます。
- 耐量子暗号への移行が加速しており、SSHでのML-KEMハイブリッド鍵交換、OpenPGPでの複合方式、単一署名証明書など、実装レベルでの具体的な提案が続いています。SSH関連では、AES-GCMの修正版、Terrapin攻撃への対策、証明書フォーマットと、セキュリティ強化と標準化が同時進行中です。クラウド連携やネットワーク管理の分野でも、実用的なプロトコルの提案が進んでいます。
投稿されたInternet-Draft
YANG Groupings for HTTP Clients and HTTP Servers
このドラフトは、HTTPクライアントとサーバーの設定を標準化するYANG 1.1モジュールを4つ定義しています。ietf-uriモジュールはRFC 3986で定義されたURIのYANGグルーピングを提供し、ietf-http-clientモジュールは最小限のHTTPクライアント設定、ietf-http-serverモジュールは最小限のHTTPサーバー設定を定義します。また、iana-http-versionsモジュールはHTTPプロトコルバージョン用のYANG typedefを提供し、ネットワーク機器のHTTP関連設定を統一的に管理できるようにします。
IPv6 Addresses for Ad Hoc Networks
アドホックネットワークでは、インターフェースの近隣特性が不確定であるため、IPv6アドレッシングに課題があります。このドラフトは、トポロジー指向のアドレス委譲サービスが利用できない、または断続的にしか利用できない環境で、ノードが自律的にローカルユニークでトポロジー非依存なIPv6アドレスを割り当てられるよう、新しいアドレスタイプ「マルチリンクローカルアドレス(MLA)」を導入します。この仕組みにより、アドホックネットワークの運用が容易になります。
BGP Unreachability Information SAFI
このドラフトは、到達不能プレフィックス情報をBGPを通じて伝播させる新しいSAFI「Unreachability Information」を定義します。この仕組みは、ルーティング情報ベース(RIB)やフォワーディング情報ベース(FIB)への経路のインストールや削除に影響を与えることなく、到達不能情報を共有できます。これにより、ネットワーク運用者は、アクティブなルーティングプレーンから完全に分離しながら、監視、デバッグ、調整目的で到達不能プレフィックス情報を共有できるようになります。
Protocol-Specific Profiles for JSContact
このドラフトは、JSContactの要素の名前付きサブセットであるJSContactプロファイルを定義し、そのためのIANAレジストリを確立します。連絡先データ交換プロトコルやその他のユースケースにおいてJSContactを使用する際、すべてのJSContactセマンティクスをサポートすることが不適切な場合があります。このプロファイル定義により、特定のコンテキストに適したJSContactのサブセットを明示的に指定でき、相互運用性が向上します。
One Signature Certificates
このドラフトは、単一の署名操作によって生成されたデジタル署名の検証用に発行される証明書のプロファイルを定義します。各証明書は署名時に作成され、署名されたコンテンツに紐付けられます。関連する署名鍵は生成され、単一のデジタル署名を生成するために使用された後、直ちに破棄されます。証明書は有効期限切れになることも失効することもないため、長期検証が簡素化されます。このアプローチは、タイムスタンプやCRLの管理を不要にし、署名検証プロセスを効率化します。
PQ/T Hybrid Key Exchange with ML-KEM in SSH
このドラフトは、量子耐性を持つModule-Lattice-Based Key-Encapsulation Mechanism(ML-KEM)標準と従来の楕円曲線Diffie-Hellman(ECDH)鍵交換スキームを組み合わせた、耐量子・従来型(PQ/T)ハイブリッド鍵交換方式を定義します。これらの方式はSSHトランスポート層プロトコルで使用するために定義されており、量子コンピュータの脅威に対する準備を進めながら、従来の暗号技術との互換性を維持します。
Open Cloud Mesh
Open Cloud Mesh(OCM)は、受信者にリソースへのアクセス権が付与されたことを通知するために使用されるサーバー連携プロトコルです。OAuthのような認可フローや、ActivityPubや電子メールのようなソーシャルインターネットプロトコルと類似点があります。コアユースケースは、ユーザー(システムA上のAlice)がリソース(ファイルなど)を別のユーザー(システムB上のBob)と共有する際、リソース自体を転送したり、BobがシステムAにログインしたりすることなく実現することです。OCMは受信者がリソースへのアクセスを通知されるまでを処理し、実際のリソースアクセスはWebDAVなどの他のプロトコルで管理されます。
Protocol Numbers for SCHC
このドラフトは、SCHC(Static Context Header Compression)のためのインターネットプロトコル番号、Ethertype割り当て、CCSDS Encapsulation Number、および既知のポート番号を要求します。SCHCが容易に認識されると、SCHCアーキテクチャ、インスタンス確立、圧縮・展開プロセスが簡素化されます。インターネットプロトコル番号は、SCHCをUDPやESPなどの他のトランスポートに依存せずにIPで使用できるようにするためです。EthertypeとCCSDS Encapsulation Numberは、任意のIEEE 802技術とCCSDSリンク層技術上で、IPおよび非IPプロトコルに対するネイティブSCHCの汎用的な使用をサポートします。
PQ/T Composite Schemes for OpenPGP using NIST and Brainpool Elliptic Curve Domain Parameters
このドラフトは、OpenPGPプロトコル用に、ML-KEMとML-DSAをNISTおよびBrainpoolドメインパラメータを使用したECDHおよびECDSAアルゴリズムと組み合わせた、耐量子・従来型(PQ/T)複合方式を定義します。これにより、OpenPGPユーザーは量子コンピュータの脅威に対する耐性を持ちながら、既存の楕円曲線暗号との互換性を維持できます。NISTとBrainpoolの両方のパラメータをサポートすることで、地域や組織の要件に柔軟に対応します。
An AuthZEN profile for trust registries
トラストレジストリには、ETSIトラストステータスリスト、OpenID Federation、レジャーなど、さまざまな形式があります。このドラフトは、1つ以上のトラストレジストリへのローカルインターフェースを提供する、AuthZENのプロファイルという形式のシンプルなプロトコルを説明します。このプロトコルは、トラストを評価する必要があるアプリケーションのためのローカル抽象化層として使用されることを目的としており、異なるトラストレジストリ実装を統一的に扱えるようにします。
Fixed AES-GCM modes for the SSH protocol
このドラフトは、Secure Shell(SSH)プロトコルにおけるAES-GCM AEADの使用を説明します。RFC5647の基本構造を使用しつつ、ネゴシエーションメカニズムの問題を修正しています。この修正により、SSHでのAES-GCM暗号化がより安全で信頼性の高いものになり、既存の実装における脆弱性や相互運用性の問題が解決されます。
SSH Strict KEX extension
このドラフトは、初期鍵交換に対するいわゆるTerrapin攻撃を修正するための、Secure Shell(SSH)プロトコルへの小さな修正セットを説明します。Terrapin攻撃は、SSHの鍵交換プロセスにおける脆弱性を悪用するもので、この拡張により、鍵交換の完全性がより厳格に保証されます。実装は最小限の変更で済み、既存のSSHインフラストラクチャとの互換性を維持しながらセキュリティを向上させます。
SSH Certificate Format
このドラフトは、Secure Shell(SSH)プロトコルのコンテキストで、ユーザーおよびホスト認証に使用できるシンプルな証明書フォーマットを提示します。このフォーマットにより、SSHキーの管理がより柔軟になり、大規模環境でのユーザーアクセス制御や、ホストの真正性検証が容易になります。証明書ベースの認証は、単純な公開鍵認証と比較して、有効期限の設定や権限の細かい制御が可能になります。
Advertising SID Algorithm Information in BGP
このドラフトは、BGP経由でSRポリシーを配信する際に、SR-MPLS Adjacency-SIDのアルゴリズム情報を提供するための、新しいセグメントタイプとBGP拡張を定義します。これにより、Segment RoutingとBGPを組み合わせたトラフィックエンジニアリングがより柔軟になり、ネットワーク運用者は経路制御をより細かく管理できるようになります。特に、異なるアルゴリズムを使用した経路計算をBGPで広告できることで、マルチベンダー環境での相互運用性が向上します。
A Voucher Artifact for Bootstrapping Protocols
このドラフトは、製造者によって直接または間接的に署名されたアーティファクトを使用して、Pledgeを所有者に安全に割り当てる戦略を定義します。このアーティファクトは「バウチャー」として知られています。YANG定義のJSONまたはCBORドキュメントとして定義され、さまざまな暗号システムを使用して署名されます。バウチャーアーティファクトは通常、Pledgeの製造者(MASA: Manufacturer Authorized Signing Authority)によって生成されます。このドラフトはRFC8366を更新し、多くの望ましい拡張をYANGに含めています。RFC8995で定義されたバウチャーリクエストも、BRSKI/RFC8995のバリアント用の他のYANG拡張とともに、このドラフトに含まれています。
発行されたRFC
(今回は発行されたRFCはありません)
編集後記
- 今回は15件のInternet-Draftが公開され、特に暗号技術とSSHプロトコルの進化が顕著でした。耐量子暗号への移行は、もはや理論的な議論の段階を超え、SSHやOpenPGPといった広く使われているプロトコルでの具体的な実装提案として現れています。単一署名証明書のような新しいアプローチも提案され、暗号技術の実用化において新たな視点が加わっています。
- SSH関連の4件の提案は、セキュリティ強化の多面的なアプローチを示しています。Terrapin攻撃への対策、AES-GCMの修正、証明書フォーマットの標準化、そして耐量子暗号の導入と、既存の脆弱性への対応と将来の脅威への準備が同時進行しています。また、クラウド連携やネットワーク管理の分野でも、実用的なプロトコルが着実に進化しており、インターネットインフラストラクチャ全体の成熟度が高まっていることが感じられます。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。