ドメイン名関連会議報告
2004年
DNSSEC普及のためのワークショップ開催
~Building a Road Map for DNSSEC Deployment報告~
2004/06/15
2004年5月23日、米国サンフランシスコにて、DNSSECの普及を図ることを目的としたワークショップ、「Building a Road Map for DNSSEC Deployment」が開催されました。本ワークショップはNANOG 31 Meetingに併設の形で開催され、JPRSからは、JPRSにおけるDNSSECの取り組みと技術研究に関する状況報告、およびETJPと連携する形で実施しているDNSSECの実証実験の概要についての発表を行いました。
DNSSEC(DNS Security Extensions)とは、公開鍵暗号技術を用いてDNSのゾーン情報に電子署名を行うことにより、DNS情報の正当性を証明することを可能とする技術です。DNSSECにより、DNS情報の第三者による改ざんや、応答の偽装を検出することが可能となり、DNS情報の信頼性を高めることが可能となります。
DNSSECは、現在のインターネットにおいて必要不可欠であるDNSをより安全に利用するための技術として、10年以上にわたりIETFでの標準化活動が行われてきました。特にここ数年、IETFのdnsext(DNS Extensions)ワーキンググループにおいて、プロトコル仕様を構成するインターネットドラフトをもとに、標準化のための議論が集中的に行われています。
このような標準化作業の進展を受け、「プロトコルの標準化が完了した後に、実際の名前空間にどのようにDNSSECを適用していくか」について、道筋(ロードマップ)を作成しようという機運が高まってきました。これを受け、米国Shinkuro社のSteve Crocker氏の呼びかけにより、欧州(オランダ: RIPE 48 Meetingに併設の形で2004年5月3日に開催)と米国で、今回のワークショップが開催されることとなりました。
今回のワークショップには、DNSSECプロトコル設計者、DNS実装者、レジストリ技術者、ルートサーバオペレータなど、世界各国のDNS技術者・研究者・オペレータが参加し、活発な議論が行われました。また昨年12月にIANA General Managerに就任したDoug Barton氏も参加し、現在のルートゾーンの管理の仕組みに即した鍵管理の仕組みの私案が発表されました。
ワークショップ開催風景
DNSSEC(DNS Security Extensions)とは、公開鍵暗号技術を用いてDNSのゾーン情報に電子署名を行うことにより、DNS情報の正当性を証明することを可能とする技術です。DNSSECにより、DNS情報の第三者による改ざんや、応答の偽装を検出することが可能となり、DNS情報の信頼性を高めることが可能となります。
DNSSECは、現在のインターネットにおいて必要不可欠であるDNSをより安全に利用するための技術として、10年以上にわたりIETFでの標準化活動が行われてきました。特にここ数年、IETFのdnsext(DNS Extensions)ワーキンググループにおいて、プロトコル仕様を構成するインターネットドラフトをもとに、標準化のための議論が集中的に行われています。
このような標準化作業の進展を受け、「プロトコルの標準化が完了した後に、実際の名前空間にどのようにDNSSECを適用していくか」について、道筋(ロードマップ)を作成しようという機運が高まってきました。これを受け、米国Shinkuro社のSteve Crocker氏の呼びかけにより、欧州(オランダ: RIPE 48 Meetingに併設の形で2004年5月3日に開催)と米国で、今回のワークショップが開催されることとなりました。
今回のワークショップには、DNSSECプロトコル設計者、DNS実装者、レジストリ技術者、ルートサーバオペレータなど、世界各国のDNS技術者・研究者・オペレータが参加し、活発な議論が行われました。また昨年12月にIANA General Managerに就任したDoug Barton氏も参加し、現在のルートゾーンの管理の仕組みに即した鍵管理の仕組みの私案が発表されました。
ワークショップ開催風景
DNSSEC普及への道筋
今回のワークショップでは、まずDNSSECの普及は段階的となること、すなわち、
の4つの状態を経て広まっていくものであり、普及のための重要なポイントとして次の2点があげられました。
そして、それぞれの問題に特化した形での小グループを作り、そのうえで普及のためのロードマップの作成にあたるべき、という、全体のビジョンが示されました。
また解決すべき問題点として、
があることが示され、上記NSECレコードの問題については特に集中的な議論が行われました。
- Isolated - 数個の署名済みゾーンが存在する状態
- Sparse - 多くの署名済みゾーンがばらばらに存在する状態
- Dense - 多くの署名済みゾーンが密集して存在する状態
- Complete - すべてのゾーンが署名済みになった状態
の4つの状態を経て広まっていくものであり、普及のための重要なポイントとして次の2点があげられました。
- 関係者(団体)の明確化
- 現在の問題の明確化
そして、それぞれの問題に特化した形での小グループを作り、そのうえで普及のためのロードマップの作成にあたるべき、という、全体のビジョンが示されました。
また解決すべき問題点として、
- 各ゾーン(特にルートゾーン)における鍵の管理・手順・ツール
- 各エンドシステム(ゾーン)におけるDNSSEC化の手順
- DNSオペレータの教育、トレーニング
- NSECレコードをたどることによりデータを芋づる式に入手できてしまう問題
があることが示され、上記NSECレコードの問題については特に集中的な議論が行われました。
NSECレコードの問題
DNSSECでは、データの不存在(そのデータがそのゾーン上に存在しないこと)を証明するために、NSEC(従来のNXT)リソースレコードを使用しています。しかし、現在のNSECレコードの仕様では、レコードの不存在を証明するためにその前後のレコードを示す必要があり、クライアント側でNSECレコードで示された名前のチェーンを順番にたどることにより、該当するゾーンの内容をすべて入手することが可能となります。このことは、セキュリティやプライバシに関する問題につながることがあります。
この問題を解決するため、NSEC2リソースレコードという新たなリソースレコードを導入する提案が、本年5月に発表されました。
NSEC2レコードについては今回のワークショップでも多くの時間を割いて議論が行われました。しかし、プロトコルそのものの取り扱いに関する結論は会場では得られず、IETFにおける議論に委ねられることになりました。IETFのdnsextワーキンググループのメーリングリストであるnamedroppersでは、現在もNSEC/NSEC2レコードに関する活発な議論が続けられています。
この問題を解決するため、NSEC2リソースレコードという新たなリソースレコードを導入する提案が、本年5月に発表されました。
NSEC2レコードについては今回のワークショップでも多くの時間を割いて議論が行われました。しかし、プロトコルそのものの取り扱いに関する結論は会場では得られず、IETFにおける議論に委ねられることになりました。IETFのdnsextワーキンググループのメーリングリストであるnamedroppersでは、現在もNSEC/NSEC2レコードに関する活発な議論が続けられています。
まとめ
DNSSECはDNSの安全性を高めるための重要なプロトコルです。DNSはそのプロトコル上、ネットワーク経由で受信したデータの安全性を保証できません。そこで、データの安全性を保証するための枠組みが別途必要であるという認識のもと、IETFにおいて長年にわたり、DNSSECプロトコルの標準化活動が行われてきました。現在IETFではDNSSECに関する標準化活動が最終的な段階を迎えつつあり、その普及に関する課題が、今回の会議で整理・共有されました。今後、さらに安全なDNSの実現を目指し、課題解決に向かって開発者・運用者が具体的検討・実現を促進していくことになります。
本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。
関連URI
- Workshop Announcement: Building a Road Map for DNSSEC Deployment
(今回の会議のアナウンス・Agenda・発表資料)
http://www.sdl.sri.com/other/dnssec/DNSSEC04MayUS-Info.html - DNSSEC Deployement Working Group(今回の会議の主催者)
http://www.sdl.sri.com/other/dnssec/ - IETF dnsext(DNS Extensions)ワーキンググループ
http://www.ietf.org/html.charters/dnsext-charter.html - ETJP DNSSECテストベッド関連資料
http://etjp.jp/about/wg/dnssec.html - DNSSEC - DNS Security Extensions(DNSSECポータルサイト)
http://www.dnssec.net/ - Deployment of Internet Security Infrastructures(RIPE NCCの活動)
http://www.ripe.net/disi/
本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。
