JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

増刊号

vol.20

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2004-06-11━
                       ◆ FROM JPRS 増刊号 vol.20 ◆
━!JP━━━━━━━━━━━━━━━━━━━━━━━━━JPRS━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
                DNSSEC普及のためのワークショップ開催
          ~Building a Road Map for DNSSEC Deployment報告~
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2004年5月23日、米国サンフランシスコにて、DNSSECの普及を図ることを目的
としたワークショップ、「Building a Road Map for DNSSEC Deployment」が
開催されました。本ワークショップはNANOG 31 Meetingに併設の形で開催され、
JPRSからは、JPRSにおけるDNSSECの取り組みと技術研究に関する状況報告、お
よびETJPと連携する形で実施しているDNSSECの実証実験の概要についての発表
を行いました。

DNSSEC(DNS Security Extensions)とは、公開鍵暗号技術を用いてDNSのゾーン
情報に電子署名を行うことにより、DNS情報の正当性を証明することを可能と
する技術です。DNSSECにより、DNS情報の第三者による改ざんや、応答の偽装
を検出することが可能となり、DNS情報の信頼性を高めることが可能となりま
す。

DNSSECは、現在のインターネットにおいて必要不可欠であるDNSをより安全に
利用するための技術として、10年以上にわたりIETFでの標準化活動が行われて
きました。特にここ数年、IETFのdnsext(DNS Extensions)ワーキンググループ
において、プロトコル仕様を構成するインターネットドラフトをもとに、標準
化のための議論が集中的に行われています。

このような標準化作業の進展を受け、「プロトコルの標準化が完了した後に、
実際の名前空間にどのようにDNSSECを適用していくか」について、道筋(ロー
ドマップ)を作成しようという機運が高まってきました。これを受け、米国
Shinkuro社のSteve Crocker氏の呼びかけにより、欧州(オランダ: RIPE 48
Meetingに併設の形で2004年5月3日に開催)と米国で、今回のワークショップ
が開催されることとなりました。

今回のワークショップには、DNSSECプロトコル設計者、DNS実装者、レジスト
リ技術者、ルートサーバオペレータなど、世界各国のDNS技術者・研究者・オ
ペレータが参加し、活発な議論が行われました。また昨年12月にIANA General
Managerに就任したDoug Barton氏も参加し、現在のルートゾーンの管理の仕組
みに即した鍵管理の仕組みの私案が発表されました。

           ◇                     ◇                     ◇

▼DNSSEC普及への道筋

今回のワークショップでは、まずDNSSECの普及は段階的となること、すなわち、

  ・Isolated - 数個の署名済みゾーンが存在する状態
  ・Sparse   - 多くの署名済みゾーンがばらばらに存在する状態
  ・Dense    - 多くの署名済みゾーンが密集して存在する状態
  ・Complete - すべてのゾーンが署名済みになった状態

の4つの状態を経て広まっていくものであり、普及のための重要なポイントと
して次の2点があげられました。

  ・関係者(団体)の明確化
  ・現在の問題の明確化

そして、それぞれの問題に特化した形での小グループを作り、そのうえで普及
のためのロードマップの作成にあたるべき、という、全体のビジョンが示され
ました。

また解決すべき問題点として、

  ・各ゾーン(特にルートゾーン)における鍵の管理・手順・ツール
  ・各エンドシステム(ゾーン)におけるDNSSEC化の手順
  ・DNSオペレータの教育、トレーニング
  ・NSECレコードをたどることによりデータを芋づる式に入手できてしまう問題

があることが示され、上記NSECレコードの問題については特に集中的な議論が
行われました。

▼NSECレコードの問題

DNSSECでは、データの不存在(そのデータがそのゾーン上に存在しないこと)
を証明するために、NSEC(従来のNXT)リソースレコードを使用しています。
しかし、現在のNSECレコードの仕様では、レコードの不存在を証明するために
その前後のレコードを示す必要があり、クライアント側でNSECレコードで示さ
れた名前のチェーンを順番にたどることにより、該当するゾーンの内容をすべ
て入手することが可能となります。このことは、セキュリティやプライバシに
関する問題につながることがあります。

この問題を解決するため、NSEC2リソースレコードという新たなリソースレコー
ドを導入する提案が、本年5月に発表されました。

NSEC2レコードについては今回のワークショップでも多くの時間を割いて議論
が行われました。しかし、プロトコルそのものの取り扱いに関する結論は会場
では得られず、IETFにおける議論に委ねられることになりました。IETFの
dnsextワーキンググループのメーリングリストであるnamedroppersでは、現在
もNSEC/NSEC2レコードに関する活発な議論が続けられています。

▼まとめ

DNSSECはDNSの安全性を高めるための重要なプロトコルです。DNSはそのプロト
コル上、ネットワーク経由で受信したデータの安全性を保証できません。そこ
で、データの安全性を保証するための枠組みが別途必要であるという認識のも
と、IETFにおいて長年にわたり、DNSSECプロトコルの標準化活動が行われてき
ました。現在IETFではDNSSECに関する標準化活動が最終的な段階を迎えつつあ
り、その普及に関する課題が、今回の会議で整理・共有されました。今後、さ
らに安全なDNSの実現を目指し、課題解決に向かって開発者・運用者が具体的
検討・実現を促進していくことになります。

          ◇                     ◇                     ◇

◎関連URI

  - Workshop Announcement: Building a Road Map for DNSSEC Deployment
   (今回の会議のアナウンス・Agenda・発表資料)
    http://www.sdl.sri.com/other/dnssec/DNSSEC04MayUS-Info.html

  - DNSSEC Deployement Working Group(今回の会議の主催者)    
    http://www.sdl.sri.com/other/dnssec/

  - IETF dnsext(DNS Extensions)ワーキンググループ
    http://www.ietf.org/html.charters/dnsext-charter.html

  - ETJP DNSSECテストベッド関連資料
    http://etjp.jp/about/wg/dnssec.html

  - DNSSEC - DNS Security Extensions(DNSSECポータルサイト)
    http://www.dnssec.net/

  - Deployment of Internet Security Infrastructures(RIPE NCCの活動)
    http://www.ripe.net/disi/

━!JP━━━━━━━━━━━━━━━━━━━━━━━━━JPRS━━
              編集・発行:株式会社日本レジストリサービス(JPRS)
                            http://jprs.jp/
                            http://日本レジストリサービス.jp/
                会議報告: http://jpinfo.jp/event/
  メールニュース配信解除: http://jpinfo.jp/mail/
ご意見・ご要望・おたより: from@jprs.jp

当メールマガジンの全文または一部の文章をホームページ、メーリングリスト、
ニュースグループまたは他のメディア等へ許可なく転載することを禁止します。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C), 2004 Japan Registry Service Co., Ltd. 2004年06月11日