1. はじめに
本文書、すなわち「JPドメイン名におけるDNSSEC運用ステートメント
(JP DPS)」(以下「JP DPS」という)は、株式会社日本レジストリ
サービス(以下「JPRS」という)が、JPドメイン名におけるDNSSEC運
用の考え方等について記述したものである。
1.1. 概要
JPRSは、JPドメイン名におけるDNSSEC(*1)運用についての情報を提
供するため、JP DPSを公開する。
JP DPSは、JPドメイン名におけるDNSSECサービス(以下「JP DNSSECサー
ビス」という)の安全性や運用の考え方、方式、手順等を網羅的に検
討する目的から、IETF Domain Name System Operations Working
Groupで検討されたDPSフレームワーク(*2)を用いて記述されている。
JP DPSの章立ては以下の通りである。
1. はじめに
2. 情報公開
3. DNSSEC運用における要件
4. 施設、管理および運用コントロール
5. 技術的なセキュリティコントロール
6. ゾーン署名
7. 準拠性監査
8. 法的事項
---------------------------------------------------------------
*1: DNSSEC(DNS Security Extensions)は、DNS問い合わせへの応答
に公開鍵暗号方式による署名を付加することで、応答の出自(正
当な発信元であること)・完全性(改ざんのないこと)を問い合
わせ側で検証可能にする仕組みである。DNSSECの基本仕様は以下
の標準プロトコル(RFC: Request for Comments)により規定され
ており、DNSプロトコルに対してDS、DNSKEY、RRSIG、NSEC等の追
加リソースレコードを定義している。
・RFC 4033
DNS Security Introduction and Requirements
https://www.ietf.org/rfc/rfc4033.txt
・RFC 4034
Resource Records for the DNS Security Extensions
https://www.ietf.org/rfc/rfc4034.txt
・RFC 4035
Protocol Modifications for the DNS Security Extensions
https://www.ietf.org/rfc/rfc4035.txt
*2: DPS(DNSSEC Practice Statement)は、DNSSEC運用者が、その運
用の考え方、方式、手順等を記述する文書である。DPSのフレーム
ワークについては、以下のRFC文書に記されている。
・RFC 6841
A Framework for DNSSEC Policies and DNSSEC Practice
Statements
https://www.ietf.org/rfc/rfc6841.txt
---------------------------------------------------------------
1.2. 文書名とバージョン
文書名 :JPドメイン名におけるDNSSEC運用ステートメント(JP DPS)
バージョン:1.6
公開日 :2022/11/29
実施日 :2022/11/29
1.3. コミュニティと適用性
JP DNSSECサービスにおける関係者とその役割を説明する。
1.3.1. レジストリ
JPドメイン名のレジストリはJPRSである。レジストリは、JPドメイン
名の登録管理とjpゾーンのDNS運用を行う。JP DNSSECサービスにおい
て、レジストリは、jpゾーンの署名鍵(KSK、ZSK)(*3)を生成し、
jpゾーンに署名を行う。更に、ルートゾーンにDSリソースレコードを
登録することで、ルートゾーンのトラストアンカー(*4)を基点にjp
ゾーンのリソースレコードの出自・完全性を検証できるようにする。
---------------------------------------------------------------
*3: 署名鍵は、署名に用いる公開鍵と秘密鍵(私有鍵)のペアである。
KSKは鍵署名鍵(Key Signing Key)、ZSKはゾーン署名鍵(Zone
Signing Key)である。
*4: トラストアンカーは、署名検証を行うリゾルバがDNSSECの信頼の
連鎖(Chain of Trust)を構築するために基点として使用するKSK
相当の情報である。
---------------------------------------------------------------
1.3.2. 指定事業者
指定事業者は、JPドメイン名登録申請等の取次に関する契約をレジス
トリと締結した者である。指定事業者は、1.3.3項に示す登録者または
登録しようとしている者からのJPドメイン名およびDSリソースレコー
ドについての各種申請をレジストリに取り次ぐ。
1.3.3. 登録者
登録者はJPドメイン名を登録している者である。登録者は、当該JPド
メイン名にDNSSECを導入する場合、署名鍵を生成し、当該ゾーン(以
下「登録者ゾーン」という)に署名を行う。登録者は、DSリソースレ
コードを指定事業者を通じてレジストリに登録することで、登録者ゾー
ンのリソースレコードの出自・完全性を検証できるようにする。署名
鍵の生成、登録者ゾーンへの署名、DSリソースレコードの生成は、登
録者の指示により、DNSプロバイダー(権威DNSサーバの運用サービス
を行う者)が行うことがある。
1.3.4. 依拠当事者
依拠当事者(Relying Party)は、DNSプロバイダー、キャッシュDNSサー
バ運用者、インターネットユーザー等、JP DNSSECサービスに関わるす
べての存在である。ここで、登録者ゾーンの管理を行うDNSプロバイダー
を登録者ゾーン管理者という。登録者自身が登録者ゾーン管理者であ
ることもある。
1.3.5. 監査人
JP DNSSECサービスがJP DPSに則って運用されているかどうか監査する
者をいう。
1.3.6. 適用範囲
JP DPSが適用される範囲はjpゾーンである。登録者ゾーンにおいては
それぞれの運用方針が適用され、JP DPSの適用範囲外である。DNSユー
ザーは、jpゾーンからのDNS応答の出自・完全性を検証できる。登録者
ゾーンからのDNS応答の出自・完全性の検証は、JP DPSの適用範囲外で
ある。
1.4. JP DPSの作成者および更新手続
1.4.1. 作成者
株式会社日本レジストリサービス(JPRS)
1.4.2. 連絡窓口
株式会社日本レジストリサービス(JPRS)JP DPS担当
電話番号:03-5215-8457
(9:00-18:00 土日祝祭日および12月29日〜1月3日は除く)
電子メールアドレス:info@jprs.jp
1.4.3. 更新手続
JP DPSについては、4.2.1項に示されるDPS管理担当者による年次の定
期見直しを行うほか、適宜見直しを行い、内容の更新を行う。同項に
示されるDNSSEC運営会議により更新内容の承認が行われたのち、2章の
定めに従い、更新されたJP DPSを公開する。
2. 情報公開
2.1. JP DPSの公開
2.1.1. JP DPSの公開に関わる運用組織
JP DPSの公開に関わる運用組織は、レジストリであるJPRSとする。
2.1.2. JP DPSの公開場所
JP DPS(日本語)
https://jprs.jp/doc/dnssec/jp-dps-jpn.html
JP DPS(英語)
https://jprs.jp/doc/dnssec/jp-dps-eng.html
2.1.3. 公開情報に関するアクセスコントロール
レジストリは、JP DPSに関して、読み取り専用の制御以外に特段のア
クセスコントロールを行わない。
2.2. 公開鍵の公開
レジストリは、jpゾーンのDSリソースレコードをルートゾーンに登録
することで、DNSSECの信頼の連鎖を構築可能にする。このため、jpゾー
ンのKSK公開鍵のトラストアンカーとしての公開は行わない。
jpゾーンのKSK公開鍵とZSK公開鍵は、6.4節で示されるロールオーバー
の実施期間中にjpゾーンのDNSKEYリソースレコードへの反映を行い、
公開される。
3. DNSSEC運用における要件
3.1. ドメイン名の意味
jpゾーンにおけるドメイン名登録の目的と意味は下記文書の記述に従
う。
・属性型(組織種別型)・地域型JPドメイン名登録等に関する規則
https://jprs.jp/doc/rule/rule.html
第2条(属性型地域型JPドメイン名登録の目的と意味)
・汎用JPドメイン名登録等に関する規則
https://jprs.jp/doc/rule/rule-wideusejp.html
第2条(汎用JPドメイン名登録の目的と意味)
・都道府県型JPドメイン名登録等に関する規則
https://jprs.jp/doc/rule/rule-prefecturejp.html
第2条(都道府県型JPドメイン名登録の目的と意味)
3.2. 登録者ゾーンに関する申請者の本人性確認
登録者ゾーンに関する申請者の本人性確認は、当該JPドメイン名を管
理する指定事業者(以下「管理指定事業者」という)によって行われ
る。レジストリは、所定の指定事業者認証手続を通じて、DSリソース
レコードの登録等の申請が管理指定事業者により行われていることを
確認する。
3.3. DSリソースレコードの登録
jpゾーンに登録者ゾーンのDSリソースレコードを登録することにより、
登録者ゾーンのDNSSECによる検証が可能となる。DSリソースレコード
の仕様は、下記文書の記述に従う。
・属性型(組織種別型)・地域型JPドメイン名登録等に関する技術細
則
https://jprs.jp/doc/rule/saisoku-1.html
3. 属性型・地域型JPドメイン名に設定可能な署名鍵の形式
・汎用JPドメイン名登録等に関する技術細則
https://jprs.jp/doc/rule/saisoku-1-wideusejp.html
5. 汎用JPドメイン名に設定可能な署名鍵の形式
・都道府県型JPドメイン名登録等に関する技術細則
https://jprs.jp/doc/rule/saisoku-1-prefecturejp.html
5.都道府県型JPドメイン名に設定可能な署名鍵の形式
3.3.1. 登録可能者
レジストリは、管理指定事業者からの申請に基づき、登録者ゾーンの
DSリソースレコードをjpゾーンに登録する。管理指定事業者は、登録
申請において登録者の意思を確認する。
3.3.2. 登録手続
登録者は、管理指定事業者にDSリソースレコードの登録を依頼する。
管理指定事業者は登録者の意思に基づき、レジストリ所定の手続を用
いてDSリソースレコードの登録申請を行う。これを受け、レジストリ
はjpゾーンに当該DSリソースレコードを登録する。レジストリにおけ
る登録申請受領からjpゾーンへのDSリソースレコードの登録までに要
する時間はJP DNSの更新スケジュールに準ずる。
登録者ゾーンで使用されている署名鍵に対応するDSリソースレコード
が、レジストリが管理するjpゾーンに登録され、レジストリの署名鍵
で署名されることにより、登録者ゾーンとjpゾーンの信頼の連鎖が構
築される。
3.3.3. 緊急の登録
本文書では、規定しない。
3.4. 秘密鍵保有事実の確認
レジストリは、登録者ゾーン管理者がDSリソースレコードに対応する
秘密鍵を保有することに関する、管理指定事業者の確認要件を規定し
ない。
3.5. DSリソースレコードの削除
jpゾーンから登録者ゾーンのDSリソースレコードを削除することによ
り、登録者ゾーンのDNSSECによる検証は不可となる。
3.5.1. 削除可能者
レジストリは、管理指定事業者からの申請に基づき、登録者ゾーンの
DSリソースレコードをjpゾーンから削除する。管理指定事業者は、削
除申請において登録者の意思を確認する。
3.5.2. 削除手続
登録者は、管理指定事業者にDSリソースレコードの削除を依頼する。
管理指定事業者は登録者の意思に基づき、レジストリ所定の手続を用
いてDSリソースレコードの削除申請を行う。これを受け、レジストリ
はjpゾーンから当該DSリソースレコードを削除する。レジストリにお
ける削除申請受領からjpゾーンからのDSリソースレコードの削除まで
に要する時間はJP DNSの更新スケジュールに準ずる。
3.5.3. 緊急の削除
本文書では、規定しない。
4. 施設、管理および運用コントロール
4.1. 物理的管理
4.1.1. 施設の位置と構造
レジストリは、JP DNSSECサービスに関わる重要な設備・機器(以下
「重要設備」という)を、水害、地震、火災、落雷その他の災害の被
害を容易に受けない場所(以下「重要設備室」という)に設置する。
耐震・耐火および不正侵入防止については建物構造上の対策を行う。
建物の内外には、重要設備室の所在についての表示を行わない。
4.1.2. 物理的なアクセス
レジストリは、重要設備室に関して、事前に定められた本人の特定お
よび入室権限の確認を可能とする入退室管理を行う。レジストリは、
入室権限を有しない者の入室を原則として認めない。やむを得ずこれ
を認める場合は、あらかじめJP DNSSECサービスの管理を行う者の許可
を得て、入室権限者同行のうえでこの者を入室させることとする。
4.1.3. 電力と空調
レジストリは、重要設備の運用のために十分な容量の電源を確保する
とともに、瞬断、停電および電圧・周波数の変動に備えた対策を講ず
る。また空調設備に関して、使用する機器類に悪影響を与えないよう
維持管理する。
4.1.4. 水害および地震対策
レジストリは、重要設備室に防水対策を施し、浸水による被害を最小
限に抑える。また、JP DNSSECサービスに関わる設備・機器を設置する
建物は、耐震構造とし、機器および什器の転倒および落下を防止する
対策を講ずる。
4.1.5. 火災防止対策
レジストリは、重要設備を防火区画内に設置する。また、防火区画内
では電源設備や空調設備の防火措置を講じ、火災報知器および消火設
備の設置を行う。
4.1.6. 媒体保管場所
レジストリは、JP DNSSECサービスに関わる重要なアーカイブデータ、
バックアップデータを含む記録媒体を適切な入退室管理が行われた室
内の保管庫に保管する。
4.1.7. 廃棄処理
レジストリは、JP DNSSECサービスに関わる秘密扱いとする情報を含む
書類・記録媒体について、情報の初期化・裁断等、事前に定められた
方法に従い適切に廃棄処理を行う。
4.1.8. オフサイトでのバックアップ
レジストリは、JP DNSSECサービスに関わる特定の重要情報を、十分に
遠隔な複数拠点に設置した重要設備室内の施錠可能な保管庫に保管す
る。
4.2. 手順の管理
4.2.1. 信頼される役割
JP DNSSECサービスの運用に関わる役割を以下に示す。
---------------------------------------------------------------
役割名称(役割略称)
・役割の説明
---------------------------------------------------------------
DNSSEC運営会議(運営会議)
・JP DNSSECサービス運用の統括
・JP DPS改訂の承認
---------------------------------------------------------------
DPS管理責任者(DPS管理責任者)
・DPS管理担当者の任命
・JP DPS改訂案の確認
---------------------------------------------------------------
DPS管理担当者(DPS管理担当者)
・JP DPS改訂案の作成
---------------------------------------------------------------
DNSSEC署名鍵運用責任者(署名鍵運用責任者)
・DNSSEC署名鍵運用担当者の任命
---------------------------------------------------------------
DNSSEC署名鍵運用担当者(署名鍵運用担当者)
・JP DNSSECサービスに使用するKSKのアクティベーション
・同KSK・ZSKの生成・廃棄
・同KSK・ZSKのロールオーバー(更新)
・同KSK・ZSKによるjpゾーンへの署名作成
・同KSKのルートゾーンへの登録
・同KSKによるオペレーションの記録・保管
・その他、DNSSEC署名鍵運用責任者の指示に基づく運用
---------------------------------------------------------------
DNSSEC金庫鍵管理責任者(金庫鍵管理責任者)
・DNSSEC金庫鍵管理担当者の任命
---------------------------------------------------------------
DNSSEC金庫鍵管理担当者(金庫鍵管理担当者)
・JP DNSSECサービスに使用するKSKのアクティベーションの際の操作
への立ち会い
---------------------------------------------------------------
DNSSECキーセレモニー証跡記録責任者(証跡記録責任者)
・DNSSECキーセレモニー証跡記録担当者の任命
---------------------------------------------------------------
DNSSECキーセレモニー証跡記録担当者(証跡記録担当者)
・DNSSECキーセレモニーの証跡記録
---------------------------------------------------------------
DNSSEC業務監査人(監査人)
・DNSSEC業務監査の実施
---------------------------------------------------------------
4.2.2. それぞれのタスクに必要な人員数
署名鍵運用担当者による担当タスク遂行の際は、複数人の構成とする。
KSKのアクティベーションを含むタスクを遂行する際は、これに金庫鍵
管理担当者を加えた構成とする。
4.2.3. 個々の役割に対する本人性確認と認証
重要設備を操作する権限は、操作を行う人員ごとに設定される。重要
設備の使用においては、操作を行う人員を認証のうえ、あらかじめ設
定された操作権限が付与される。
4.2.4. 権限の分離
署名鍵運用担当者と金庫鍵管理担当者は、同一人員が任命されること
はない。これにより、署名鍵運用担当者のみによるKSKのアクティベー
ションを不可とする。
4.3. 人員管理
4.3.1. 資格、経験および身分証明の要件
4.2.1項に示す「信頼される役割」を担う者は、レジストリの社員また
はレジストリが特に認めた者とする。
4.3.2. 背景調査手順
本文書では、規定しない。
4.3.3. トレーニング
レジストリは、4.2.1項に示す「信頼される役割」を担う者に対するト
レーニングを次のように行う。
・4.2.1項に示す「信頼される役割」を担う者が役割に就く前に、その
運用に必要なトレーニングを実施する
・運用手順に変更がある場合、運用手順書の必要箇所を遅滞なく変更
し、その変更に関わるトレーニングを実施する
レジストリは、4.2.1項に示す「信頼される役割」を担う者に対する再
トレーニングの必要性を定期的に検証する。また、必要な場合、再ト
レーニングを行う。
4.3.4. 仕事のローテーションの頻度と順序
本文書では、規定しない。
4.3.5. 認められていない行動に対する処罰
本文書では、規定しない。
4.3.6. 独立した契約者の要件
本文書では、規定しない。
4.3.7. 資料の開示
レジストリは、JP DNSSECサービスの運用に必要な文書一式を運用人員
に開示し周知する。
4.4. イベントログ記録手順
4.4.1. 記録されるイベントの種類
JP DNSSECサービスに関わるシステムにおける誤操作・不正操作の検知
および監査における運用の正当性の証明に必要なログ(以下「イベン
トログ」という)として、レジストリは次のイベントについての履歴
を記録する。
・JP DNSSECサービスの設備へのアクセス履歴に関する記録
・署名鍵に関する操作の記録
+ JP DNSSECサービスに使用するKSKのアクティベーション
+ 同KSK・ZSKの生成・廃棄
+ 同KSK・ZSKのロールオーバー
+ 同KSK・ZSKによるjpゾーンへの署名作成
+ 同KSKのルートゾーンへの登録
・イベントログの記録事実の確認
イベントの記録には、日付、時刻、イベントを発生させた主体、イベ
ント内容を含む。
4.4.2. イベントログを処理する頻度
レジストリは、深刻なセキュリティ侵害が発生した場合等に備え、十
分迅速に把握可能な頻度においてイベントログの機械的な確認処理を
行う。この処理において対処すべき記録が検出された場合、適切な人
員に対して即時の通知を行う。
4.4.3. イベントログを保持する期間
レジストリは、イベントログを最低3か月間は迅速にアクセス可能な方
法により保持する。なお、イベントログは最低3年間保持する。
4.4.4. イベントログの保護
レジストリは、イベントログにアクセスできる者を必要な人員のみに
制限し、アクセスを許可されていない者によるイベントログの閲覧、
改変または削除から保護する。
4.4.5. イベントログのバックアップ手続
レジストリは、イベントログを外部記憶媒体に定期的にバックアップ
する。それら媒体は適切な入退室管理が行われている室内の施錠可能
な保管庫に保管される。
4.4.6. イベントログ情報の取得システム
オンラインのイベントログ取得システムはJP DNSSECサービスに用いる
システム(以下「JP DNSSECサービスシステム」という)の一要素であ
り、その存在場所はJP DNSSECサービスシステムと同一である。オフラ
インのイベントログは各々の作業担当者により記録され、レジストリ
管理施設内の安全な保管庫に保管される。
4.4.7. 脆弱性評価
レジストリは、4.4.2項に示す方針に基づき、JP DNSSECサービスシス
テムへのセキュリティ侵害試行等の許可されない行為について確認を
行うとともに、必要に応じ、システムの脆弱性分析を行う。
4.5. 危殆化と事故・災害
4.5.1. 危殆化と事故・災害への対処
レジストリは、jpゾーンの秘密鍵の危殆化または危殆化のおそれがあ
る場合、署名鍵の緊急ロールオーバーを行う。事故・災害により、JP
DNSSECサービスが中断または停止した場合、JP DNSSECサービスの速や
かな再開に努める。
4.5.2. コンピューター資源の破損
レジストリは、JP DNSSECサービスに関わる重要なハードウェア、ソフ
トウェアまたはデータが破損した場合、事前に定められた復旧計画に
従い、バックアップ用のハードウェア、ソフトウェアまたはデータに
より、速やかな復旧作業に努める。
4.5.3. 秘密鍵が危殆化した場合の手続
レジストリは、jpゾーンのKSKが危殆化した場合、次の手続を行う。
・jpゾーンのKSKの再生成
・jpゾーンの署名鍵への再生成したKSKによる署名
・ルートゾーンに登録しているDSリソースレコードの置き換え
jpゾーンのZSKが危殆化した場合、次の手続を行う。
・jpゾーンのZSKの再生成
・再生成したZSKを含むjpゾーンの署名鍵へのKSKによる署名
・再生成したZSKによるjpゾーンへの署名
4.5.4. 災害後の事業継続能力
レジストリは、災害によりJP DNSSECサービスの設備が被害を受け、運
用を継続できない場合は、あらかじめ構築した遠隔バックアップサイ
トにおいて速やかにサービスの回復に努める。
また、レジストリは、災害等により、DNSSECキーセレモニーが通常の
手順にて実施できない場合、事前に定められた緊急時の手順にて実施
する。
4.6. 組織の閉鎖
レジストリの閉鎖によりJP DNSSECサービスの継続が不能となる場合に
備え、JP DNSSECサービスに必要な情報をエスクロー・エージェントに
預託する。
・JPドメイン名登録管理業務移管契約
https://jprs.co.jp/doc/redelegation/transfer_j.html
レジストリが閉鎖する場合、レジストリが規定する業務終了手続に従
い、JP DNSSECサービスを終了する。
5. 技術的なセキュリティコントロール
5.1. 署名鍵の生成と導入
5.1.1. 署名鍵の生成
JP DNSSECサービスに用いる署名鍵は、重要設備室内に設置したオフラ
インのシステム環境(以下「JP DNSSECサービスオフラインシステム」
という)において、複数人の署名鍵運用担当者により生成される。
KSKは、JP DNSSECサービスオフラインシステムに接続された暗号モジュ
ール内部において専用のソフトウェアを用いて生成される。ZSKは、JP
DNSSECサービスオフラインシステムで生成され、暗号化処理を施した
着脱可能なメディア(以下「暗号化メディア」という)内に格納され
る。
5.1.2. 公開鍵の配布
レジストリは、生成したKSK公開鍵およびZSK秘密鍵・公開鍵を、暗号
化メディアを用いてJP DNSSECサービスシステムに導入する。DNSプロ
トコル以外の手段を用いたKSK公開鍵の依拠当事者への配布は行わない。
5.1.3. 署名鍵パラメータの品質管理
レジストリは、署名鍵の作成において、技術動向に照らし適切なパラ
メータが採用されていることを定期的に確認する。
5.1.4. 署名鍵の使用目的
レジストリは、署名鍵をJP DNSSECサービスにおける署名を生成するた
めに使用し、これ以外のいかなる用途にも使用しない。
5.2. 秘密鍵保護と暗号モジュール管理
5.2.1. 暗号モジュール標準と管理
本文書では、規定しない。
5.2.2. 複数人による秘密鍵管理
KSK秘密鍵の操作は、複数人の署名鍵運用担当者により行う。
5.2.3. 秘密鍵のエスクロー
秘密鍵のエスクローは行わない。
5.2.4. 秘密鍵のバックアップ
署名鍵運用担当者は、KSK秘密鍵のバックアップを暗号モジュールに複
数コピー作成する。この暗号モジュールは、4.1.8項に示されるそれぞ
れの重要設備室内の施錠可能な保管庫に格納される。
5.2.5. 暗号モジュール内の秘密鍵の保管
本文書では、規定しない。
5.2.6. 秘密鍵のアーカイブ
5.2.4項に示すバックアップ以外には、使用を停止した秘密鍵のアーカ
イブは行わない。
5.2.7. 暗号モジュールに対する秘密鍵の導入・取り出し
暗号モジュールへのKSK秘密鍵導入後は、これを取り出すことはできな
い。また、暗号モジュール内のKSK秘密鍵使用の際は、複数人の署名鍵
運用担当者による操作を必要とする。暗号化メディアに対するZSK秘密
鍵の導入については、複数人の署名鍵運用担当者による操作を必要と
する。
5.2.8. 秘密鍵のアクティベーション
KSK秘密鍵は、金庫鍵管理担当者による立ち会いのもと、JP DNSSECサー
ビスオフラインシステムにおいて、複数人の署名鍵運用担当者により
アクティベート(活性化)される。ZSK秘密鍵は、複数人の署名鍵運用
担当者によりアクティベートされる。ZSK秘密鍵のアクティブな状態は
使用を停止するまで継続する。
5.2.9. 秘密鍵のディアクティベーション
KSK秘密鍵は、金庫鍵管理担当者による立ち会いのもと、署名鍵運用担
当者が使用する都度ディアクティベート(不活化)される。
ZSK秘密鍵は、5.3.2項に定義される使用期間を上限として、複数人の
署名鍵運用担当者によりディアクティベートされる。
5.2.10. 秘密鍵の消去
使用期間を過ぎたKSK秘密鍵およびZSK秘密鍵は、署名鍵運用担当者に
より、使用が不可能になるような方法で消去される。
5.3. 署名鍵管理についての補足事項
5.3.1. 署名鍵のライフサイクル
KSKのライフサイクルを以下に示す。
・KSKの生成
・KSKのjpゾーンおよびルートゾーンでの公開
・KSKのルートゾーンおよびjpゾーンからの削除
・KSKの廃棄
ZSKのライフサイクルを以下に示す。
・ZSKの生成
・ZSKのjpゾーンでの公開
・ZSKの有効化
・ZSKの無効化
・ZSKのjpゾーンからの削除
・ZSKの廃棄
5.3.2. 署名鍵の使用期間
KSKの使用期間の上限は1年に適切な併行運用期間を加えたものとする。
ZSKの使用期間の上限は1か月とする。レジストリは、特に必要な場合、
これらの期間を変更することがある。
5.4. アクティベーション情報
5.4.1. アクティベーション情報の生成と導入
アクティベーション情報とは、KSKをアクティベートするために使われ
るパスフレーズのセットをいう。署名鍵運用担当者が個々のパスフレー
ズを生成し、JP DNSSECサービスオフラインシステムに導入する。
5.4.2. アクティベーション情報の保護
それぞれの署名鍵運用担当者は、十分安全な方法によりアクティベー
ション情報を保護する。
5.4.3. アクティベーション情報についての補足事項
署名鍵運用担当者は、緊急の場合に備え、アクティベーション情報の
複製を作成し、タンパ証跡(耐タンパ性)のある封書に封印する。こ
の封印を解く必要がある場合は、署名鍵運用責任者の指揮の下で行う。
5.5. コンピューターのセキュリティ管理
JP DNSSECサービスシステムにおける重要なコンピューター(以下「重
要コンピューター」という)では、レジストリが規定する必要最小限
のソフトウェアのみを稼働させることとする。重要コンピューターに
対して行われた重要な操作については、イベントログが残るよう設定
する。重要コンピューターにアクセスするためのすべての認証情報に
ついて、適切な管理を行う。重要コンピューターに対するリソース監
視を継続的に行い、異常や不正操作を検知した際は、速やかに適切な
対策を実施する。
5.6. ネットワークのセキュリティ管理
JP DNSSECサービスシステムを配置するネットワークにはファイアウォー
ルを適用し、レジストリが規定する必要最小限の通信に制限する。
5.7. タイムスタンプ
レジストリは、JP DNSSECサービスオフラインシステムについて、信頼
できる時刻源から時刻を取得し、時刻同期を行う。JP DNSSECサービス
システムについては、NTP(ネットワークタイムプロトコル)により時
刻を取得し、時刻同期を行う。これらの時刻は、4.4節に示されるイベ
ントログの記録時刻およびRRSIGリソースレコードにおける署名有効期
間の開始時刻と終了時刻として使用される。
5.8. 技術上のライフサイクル管理
5.8.1. システム開発の管理
レジストリは、JP DNSSECサービスシステムの品質およびセキュリティ
を保つために、システム開発時における各工程の管理、導入前のシス
テム評価等を実施する。
5.8.2. システムのセキュリティ管理
レジストリは、JP DNSSECサービスシステムのセキュリティ管理として、
入退室管理、教育を含む要員管理、権限管理等の運用管理、不正侵入
対策、ウイルス対策等のシステム的なセキュリティ対策を実施する。
5.8.3. ライフサイクルのセキュリティ管理
レジストリは、JP DNSSECサービスシステムの開発が規定された方法に
より管理されているか定期的に評価する。併せて、セキュリティに関
する情報収集を行い、技術動向等を考慮したうえで、システムの評価
および改善を行う。
6. ゾーン署名
6.1. 鍵長、鍵種別とアルゴリズム
jpゾーンで使用する署名鍵の鍵種別は、KSKとZSKの2種とする。KSKで
はRFC 4034で定義されたSEPフラグを設定し、ZSKではSEPフラグを設定
しない。
jpゾーンで使用する署名鍵のアルゴリズムには、標準プロトコルで定
義されるものを用いる。署名鍵のアルゴリズムと鍵長は、使用期間に
対して安全と考えられるものを用いる。KSK、ZSKともにアルゴリズム
をRFC 5702で定義されたRSASHA256とし、KSKの鍵長を2048ビット、ZSK
の鍵長を1024ビットとする。
6.2. 不在証明
jpゾーンの不在証明には、RFC 5155で定義されたNSEC3リソースレコー
ドを用いる方式を採用する。NSEC3の運用においてはオプトアウト方式
を採用し、ハッシュアルゴリズムはSHA-1、繰り返し回数は0回、ソル
トは無指定とする。
6.3. 署名フォーマット
jpゾーンの署名には、RFC 5702で定義されたRSA/SHA-2によるフォーマッ
トを用いる。
6.4. 署名鍵のロールオーバー
6.4.1. ZSKのロールオーバー
jpゾーンでは、ZSKのロールオーバーは月次で行う。更新方式には事前
公開法(Pre-Publish; RFC 6781)を用いる。
6.4.2. KSKのロールオーバー
jpゾーンでは、KSKのロールオーバーは年次で行う。更新方式には二重
署名法(Double Signature; RFC 6781)を用いる。
6.5. 署名の有効期間と再署名頻度
jpゾーンでは、KSKによる署名有効期間をおおむね2か月、ZSKによる署
名有効期間をおおむね1か月とする。KSKによる再署名は1か月ごと、
ZSKによる再署名は1週間ごとに行う。
6.6. リソースレコードの検証
レジストリは、ゾーン公開前にすべてのリソースレコードが標準プロ
トコルに準拠していることを検証する。
6.7. リソースレコードのTTL
jpゾーンでは、DNSKEYおよびこれに対するRRSIGのTTLは86400(1日)
とする。DSおよびこれに対するRRSIGのTTLは7200(2時間)とする。
NSEC3およびこれに対するRRSIGのTTLはjpゾーンのネガティブキャッシュ
値と同じ900(15分)とする。
これらのTTLについては、技術動向等に照らし、より適切と考えられる
値に変更することがある。
7. 準拠性監査
JP DNSSECサービスの運用にあたり、1.3.5項に示す監査人による定期
的な監査を行う。監査結果はレジストリに通達され、レジストリは必
要に応じた運用改善の計画・実施を行う。
8. 法的事項
レジストリは、JP DPSに記述される事項に基づいては、何人に対して
も法的責任は負わないものとする。
レジストリは、JP DNSSECサービスの運用にあたり、日本国法およびレ
ジストリが定める各種ルールに従う。
・JPドメイン名規則一覧
https://jprs.jp/about/dom-rule/doc/
------------------------------------------------------------------------
更新履歴:
2011/01/14 v1.0
・初版公開
2011/09/22 v1.1
・参照文書の記述形式を統一
・NSEC3パラメータ仕様を明確化
・NSEC3PARAMに関する不要な記述を削除
2014/01/17 v1.2
・DPSフレームワーク(RFC 6841)の発行に従い、構成を一部変更
・DSリソースレコードのTTLを86400から7200へ変更
・その他、平仄の修正
2014/10/06 v1.3
・信頼される役割の名称および説明の変更
・その他、一部表記の修正
2015/10/01 v1.4
・資格、経験および身分証明の要件の変更
・その他、一部表記の修正
2021/09/01 v1.5
・信頼される役割の追記
・その他、一部表記の修正
2022/11/29 v1.6
・災害等によりキーセレモニーが実施不可能な場合の対処に関する記載追加
・不在証明として利用するNSEC3パラメータ仕様の修正
------------------------------------------------------------------------
|