9/02/2016

DNSSECのルートKSKのロールオーバー

10月からDNSSECのルートKSKのロールオーバープロセス(ICANN: ルートゾーンKSKロールオーバー計画)が始まる。DNSSECバリデーションが有効なDNSキャッシュを有するプロバイダは、トラストアンカーの変更が必要になる。推奨は自動更新(RFC 5011)だが、更新が完了するまで長い日数が掛かるため、その手順を確認しておくべきだろう(Root KSK更新に対応する方法)。

  • 2016年10月: 新KSKの生成(セレモニー)
  • 2017年2月: IANAのウェブサイトで新KSKを公表
  • 2017年7月: ルートサーバで新KSKを公表
  • 2017年10月: 新KSKをDNSKEYとRRの署名に使用
  • 2018年1月: 旧KSKを廃止
  • 2018年3月: 旧KSKを安全に抹消、KSKのロールオーバー作業を終了

以下、TechWorldから。

今年の10月に、7人のVIP暗号鍵保持者のグループがカリフォルニアのエルセガンドにあるビルの窓の無いセキュアルームに集まる。このグループの噂を聞いたことが無い人は、彼らがそこへ行く重要性を理解することはできないだろう。それほど知られていないが、インターネットのドメイン名システム(DNS)のセキュリティに極めて重要な会合で、彼らは2010年から1年に4回はこのようなミーティングを行っている。

インターネットの関係機関ICANNによって組織され、10月のこのセレモニーは重要である。2010年に採用されて以来初めて、セキュアなDNSクエリに使われるDNSSECシステムの心臓部に位置するマスター鍵(ルートゾーン鍵に署名する鍵あるいはKSKと呼ばれる)が変更(ロールオーバー)になる。

イベントは注意深く管理されたプロセスではあるが、驚くことに手作業である。7人の暗号役員の一人ひとりが物理的な鍵を使って、スマートカードをホールドしている7つのセキュアな保管箱にアクセスし、DNSSECのマスター鍵を保存するために使われる不正開封防止機能を持つFIPS-140レベル4のハードウェアセキュリティモジュール(HSM)の中にそのスマートカードを挿し込む。少なくとも3つのスマートカードが正しく挿入されれば、新しいマスター鍵を生成するプロセスが開始される。

これはまだ始まりにすぎない。同じセレモニーが本格的にDNSSECが実施される前の2017年初頭に2番目のマスター鍵設備で繰り返され、Q2には3番目が生成される。2017年の10月までに、DNSシステム全体で新しい鍵を使い始める。

大手の通信プロバイダ、ソフトウェアやOSベンダーなどDNSSECを管理あるいは依存している人々は気づいているかどうか分からないが、この一連のセレモニーによって影響があるだろう。

ルートKSK (実際は公開鍵と秘密鍵のペア)が変更されると、2017年10月のカットオフまでに必要となる完全な実装をもって古いKSKは機能を停止する。世界中の管理者はセレモニーで作られるものと同じ新しい鍵ペアを適用する必要があり、DNSがビジネスの顧客に対して混乱させたり動揺させたりしないようしなければならない。

何かまずいことが起こる可能性は小さいが、ICANNとルートゾーンの管理者であるベリサインと米NTIAは、鍵はDNSSECの歴史の中で変更されなかったということ、まだ多くが比較的新しく慣れていない技術なので、必然的に少し神経質になっている。

(続く)

Hacker News