Key Management Interoperability Protocol

出典: フリー百科事典『ウィキペディア(Wikipedia)』

出典: フリー百科事典『ウィキペディア(Wikipedia)』

Key Management Interoperability Protocol (KMIP)は、データ暗号化のための暗号鍵を管理する「鍵管理サーバ」と「クライアント」との通信方式を定める通信プロトコルである。暗号鍵生成と使用方法に関するテンプレートが定められており[1]、複数の鍵を容易に管理できるようになる技術である。

OASIS (組織)のプロジェクトの一つである[1]。OASISは仕様を公開しており[2]、ストレージベンダーはこれに対応した製品を製造、販売できる。

概要[編集]

情報漏えい問題の解決策の一つとして、補助記憶装置 (ストレージ) での暗号化がある。実際に、ハードディスクドライブは自分自身でデータを暗号化出来る[3]。このように暗号化自体は容易になってきた一方で、複数の暗号鍵を管理する事が課題となってきた[4]。暗号鍵の紛失「ロストキー」[5]は、データを読み出せなくなる事を意味する。複数の暗号鍵を一元管理する仕組みが必要とされてきた。KMIPによりクライアントは暗号鍵に直接アクセスせずとも、サーバに暗号化・復号化を依頼できるようになる。

KMIPは2010年に登場し、鍵管理の業界標準となった[6][7]オラクルIBMネットアップ等、複数のハードディスク及びテープライブラリの製造業者が加盟しており[8]、これら企業は毎年開催されるRSA カンファレンスで最新の製品を紹介している[9]

技術詳細[編集]

KMIPサーバは暗号鍵、証明書、パスワード等を保存・管理する[10]。技術詳細は公式ページウィキで公開されている。

管理オブジェクト[編集]

管理オブジェクト (Managed Objects、マネージド・オブジェクト) は、KMIPサーバの管理対象となるデータである[11]。その下位集合 (サブセット) には、実際の暗号鍵、証明書等の情報が含まれる[11]。以下がそのサブセットの一例である:

管理オブジェクトは、その種類に応じて異なるデータの構造を持つ。例えば暗号鍵に分類される共通鍵、公開鍵、秘密鍵は共通して「Key Block」と呼ばれる構造体を持ち、これには暗号鍵本体および周辺情報が含まれている[12]。例えば、鍵本体の情報 (Key Value)、圧縮方式、暗号化方式、暗号長がカプセル化されている。加えて、このKey Valueは更に2つの構造を持ち、鍵本体 (Key Material) とベンダーが自由に定義して良い属性情報 (Attribute)に分かれる[13]

ライフサイクル管理[編集]

それぞれの管理オブジェクトには以下の「状態」を示す情報が付与され、これに基づき鍵のライフサイクル管理 (鍵の生成、登録、取得、削除) が可能となっている[14]。それぞれの状態は以下のとおりである:

  • プリアクティブ状態
  • アクティブ状態
  • 非アクティブ状態
  • コンプロマイズ状態
  • 破壊状態
  • 破壊コンプロマイズ状態

プロトコル[編集]

クライアントはアプリケーションプログラミングインタフェース (API) をKMIPサーバに発行することで管理オブジェクトを制御できる。例えば、「生成」、「登録」、「取得」、「破壊」、「属性の付与・取得・削除」等の命令がある[15]

プロトコルは、TTLV (Tag-Type-Length-Value)と呼ばれる方式を採用している[15]。これは命令をタグ、種類、長さ、値として表現し一つのブロックとして符号化する。「値」の部分は別のTTVLを入れ子にできるため、一つのメッセージで複雑な命令を送信する事ができる。下図は入れ子になったメッセージの一例である:

KMIP Nachricht nach TTLV codiert.png

実装[編集]

通常、ストレージネットワークとは別に鍵専用の回線を設ける。 OASIS KMIP技術委員会が各社実装のリストを作成、公開している[8]

相互運用性[編集]

ベンダーは、自社製品がKMIPの標準に準拠している事を証明するため、技術委員会が主催するイベントにて相互運用性を実証しなくてはならない[16]。これは通常RSA コンファレンスの直前の月に行われる。

クライアントとベンダーの両者は個別テストを行っている。テスト数のトレンドは、OASISのサイトで見ることが出来る。2014年、 SNIAは類似のテスト・プログラムを発表した[17]SSIF KMIP カンファレンス・テスト・プログラムと呼ばれる。

関連項目[編集]

脚注[編集]

  1. ^ a b Key Management Interoperability Protocol を使用した鍵管理”. 2018年1月5日閲覧。
  2. ^ Key Management Interoperability Protocol Specification Version 1.2”. 2018年1月5日閲覧。
  3. ^ 自己暗号化ドライブ”. 2018年1月5日閲覧。
  4. ^ 暗号化のポイントは「インテリジェントな鍵管理」 - Winmagic CTO Simon氏”. 2018年1月5日閲覧。
  5. ^ 暗号鍵の適切な運用・管理に係る課題調査”. 2018年1月5日閲覧。
  6. ^ “A Brief History of KMIP” (英語). https://info.townsendsecurity.com/a-brief-history-of-kmip 2017年3月7日閲覧。 
  7. ^ “The rising danger to data is making KMIP important”. https://gcn.com/articles/2013/06/27/key-management-interoperability-protocol-kmip.aspx 
  8. ^ a b KMIP Implementations known to the KMIP TC”. 2018年1月5日閲覧。
  9. ^ Twelve Companies Demo Interoperability for KMIP”. 2017年2月14日閲覧。
  10. ^ 8.5.4 鍵管理サーバを使用した暗号化鍵の操作”. 2018年1月5日閲覧。
  11. ^ a b Key Management Interoperability Protocol Specification Version 1.2 Managed Object”. 2018年1月5日閲覧。
  12. ^ Key Management Interoperability Protocol Specification Version 1.2 Key Block”. 2018年1月5日閲覧。
  13. ^ Key Management Interoperability Protocol Specification Version 1.2 Attribute”. 2018年1月5日閲覧。
  14. ^ 鍵管理の標準化動向と必要性”. 2018年1月5日閲覧。
  15. ^ a b Addressing the New Complexities in Key Management Interoperability KMIP V.Next”. 2018年1月5日閲覧。
  16. ^ OASIS Key Management Interoperability Protocol (KMIP) TC”. 2018年1月5日閲覧。
  17. ^ SNIA KMIP Test Program Announced”. Official web site. SNIA (2014年2月24日). 2014年3月20日閲覧。