[upki-fed:220] Re: [upki-fed:213] RE: [upki-fed:209] Re: UPKIフェデレーションの属性追加について

[Yasuo Okabe <xxxxx@xxxxxxxxxxxxxxx>]

岡部です。

セキュリティのこと考えていると後ろ向きなことばかりいわなくちゃいけなく
なって自己嫌悪気味なのですが、一応お返事しておきます。

>> 「全国規模の一元的なシステムはやらない方が全体として安全」というご指摘に
>> は同感です。UPKIの最初の頃に日本全体の認証基盤をどういうアーキテクチャに
>> するかいろいろな可能性を考えましたが、少なくともＮＩＩに集中させるような
>> のはあり得ないと確信しました;)
> 
> 確かに情報が集中すると狙われるのは世の常ですので，その判断は理解できます。

言葉足らずだったかもしれませんが、ＮＩＩに集中させるようなのはあり得ない
という判断の下で、情報は各大学が持ち、認証は各大学のIdPで閉じて行った上
で、それを学外機関に開示するかどうかのところのコントロールもその大学側が
持つShibbolethのアーキテクチャを採用した、ということです。

> ただ，Shibbolethのアーキテクチャであれば，情報を持っているのはIdPですから
> 狙われるのはIdP（の後ろにいるLDAP等のデータ）だと考えます。

> 日本全体の認証基盤をNIIに集中させることによる危険性とは
> １．全体のアーキテクチャをShibbolethに（単一に）誘導してしまう
> ２．NIIのDSが侵入される
> という２点でしょうか。

Shibbolethは安全です、というスタンスなのであまりこの話を深く議論したくな
いですが^^;、認証基盤はそれぞれの大学がIdPとして持つShibbolethのアーキテ
クチャであっても、日本全体でShibbolethという共通仕様を使うことによる最大
のリスクとしては、

・Shibbolethそのもの、あるいは学認で推奨した設定に重大な脆弱性が見つかっ
　たときには日本全体が影響を受ける

というようなことかと思います。Shibbolethそのものについては世界レベルの話
でそうそう起きるとは思えませんが、Shibbolethは設定の甘さでいろんなことが
起こりうるので、油断はできません。（別スレッドで書かれている正規表現を使
うやつも、勘違いによる正規表現の書き間違いとかよくやってしまう私として
は、便利な分注意が必要だなと思ってしまいます）

おっしゃるようなNIIのDSが侵入されるようなことが起きても各大学のIdPには直
接は影響は及びませんが、偽IdPに誘導されて、サーバ証明書等を確認しないま
まID/パスワードを入れさせられてしまうと、今度はそのID/パスワードを使って
アクセスすれば正規のアクセスとして処理されます。その先のフェデレーション
に学生証番号を渡すようなSPを使っているとそこでブラウザに学生証番号を書い
たSAMLのチケットが渡るので、攻撃者に学生証番号が渡るリスクはゼロではあり
ません。これを本気で防ぎたければ、IdPでの認証に（UPKIの思想にしたがっ
て）PKIクライアント認証を使うか、またはSAMLチケットに書かれる属性をSAML
暗号で暗号化しておくとかしないと駄目だと思います。

> １．については，ShibbolethのIdPが多くなることで，このIdPが狙われ易くなること
> は想像されますが，これを否定することは学認の存在自体失われると思います。
> ＃それに，学生証番号を持つ，持たないという議論以前の問題ですし。
> 
> ２．について，DSが侵入された結果，IdPの情報が攻撃される可能性があるかどうか。
> メタデータは偽者をIdPやSPに更新させることができるので，攻撃者が仕立てたIdP
> をフェデレーションに参加させることで，SPを不正利用することは可能でしょう。
> ただ，いち利用者としての利用ですから，情報が流出するような事案にはならない
> と思われますし，やはりIdPに学生証番号を持つかどうかには関係ありません。
> 不正なSPが参加した場合も，そのSPに属性を提供しなければ済む話であり，SPをホワ
> イトリスト的に登録していれば大丈夫でしょう。少なくとも学生証番号の属性を無制
> 限に提供する設定をIdPに定義することはないでしょうから大丈夫なのかな，と思いま
> す。

-- 
Yasuo Okabe
Kyoto University
http://www.net.ist.i.kyoto-u.ac.jp