JPNIC Blog JPNIC

KSKロールオーバーとRoot Canary Project

tech_team  インターネットの技術

すでにJPNICのWebサイトでご報告していますが、 DNSのルートゾーンにおいて「ルートゾーンKSKロールオーバー」が行われています。 これは、ルートゾーンに含まれるKSKと呼ばれる鍵を更新する作業であり、 2016年10月から2018年3月にかけて実施されます。 ルートゾーンのKSKは、DNSの応答の正しさを検証するDNSSECにおいて、 信頼する鍵(トラストアンカー)として利用されます。

このルートゾーンKSKロールオーバーは2010年のDNSSEC導入以来、 初めてのKSK鍵更新となります。 そのため、 インターネット上でDNSSEC検証を行っているリゾルバに対してどのような影響が発生するかはっきりとは分かっていません。 もちろん、KSKロールオーバーの実施に前だって、 ICANNやルートサーバオペレーター、DNSアプリケーションベンダー、 DNSSECに関する専門家などが綿密に更新計画を作成し、 テストを実施してきました。 テストの結果として問題ないということになりましたが、 インターネットで実際に更新が行われたときに本当に問題がでないかどうかは確実ではありません。

現在発生する可能性のある問題としてあげられるのは、 DNSKEYの応答パケットの増大によるIPフラグメンテーション、 およびTCP port 53での通信失敗によってDNSSECを有効にしているリゾルバが名前解決できなくなることです。 また、鍵の自動更新について、 RFC5011で標準化されている機能が正しくリゾルバで実装されているかどうか、 正しく動作するよう設定されているかどうか、 RFC5011に対応していないリゾルバで手動での鍵更新がされるかどうかなども懸念事項に含まれます。

こうした状況から、SURFnet社は、トゥウェンテ大学、 ノースイースタン大学、NLnet Labs、RIPE NCC、 ICANNと共同でルートゾーンKSKロールオーバーによって起こるさまざまな事象について観測するプロジェクト「Root Canary Project」を開始しました。 Root Canary Projectは、 新しいKSKが追加された2017年7月から現在のKSKが削除される2018年3月まで実施される予定です。 このプロジェクトは二つの目的があり、 一つは「炭鉱のカナリア」のように、 リゾルバが期間を通して問題なくDNSSEC検証が行われるか監視し、 異常があった場合は素早くコミュニティに周知することです。 もう一つは世界中のリゾルバの挙動を広く観測、統計を取っておき、 KSKロールオーバーの終了後に振り返って何が起きたかを分析することです。

Root Canary Projectは始まったばかりですが、 現在までの調査では以下の結果が分かったそうです。

  • 7/11の新しい鍵の公開では特に問題は発生しなかった
  • RIPE Atlasのプローブは、かなりの割合で安定的にDNSSEC検証を行うリゾルバの下に設置されている
  • Google Public DNS は RSAMD5 アルゴリズムを用いた署名に対してSERVFAILを返す
  • ECDSAの P-256と P-384のサポート状況はRSA-SHA256とほぼ同程度までになっている
  • Ed25519 と Ed448 をサポートしているリゾルバはまだ存在しない

今後のプロジェクトの予定として、以下を行うそうです。

  • 観測しているリゾルバの状態をリアルタイムに提供する
  • RIPE AtlasのプローブによるDNSの観測状況が分かるポータルサイトを提供する
  • 次の大きな変更である9/19のDNSKEY応答パケット増大について注視する

ルートゾーンKSKロールオーバーはインターネット上、 初となるイベントであり、またその内容は重要なものとなります。 その状況を正しく把握し、 かつ記録をとっておくことは大変興味深いものとなります。 今後Root Canary Projectで動きがありましたら随時本blogでご紹介します。

Root Canary
https://rootcanary.org/
A Virtual Canary-in-the-Coalmine for the DNSSEC Root Key Rollover
https://blog.surf.nl/en/a-virtual-canary-the-coalmine-for-the-dnssec-root-key-rollover/
KSKロールオーバーについて
https://www.nic.ad.jp/ja/dns/ksk-rollover/
ルートゾーンKSKのロールオーバー
https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja

この記事を評価してください

この記事は役に立ちましたか?
記事の改善点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、 お問い合わせ先 をご利用ください。