JPドメイン名におけるDNSSECについて

JPドメイン 名 におけるDNSSECについて JP DPSの 作 成 を 切 り 口 に 森 健 太 郎 <kentaro@jprs.co.jp> 株 式 会 社 日 本 レジストリサービス

本 資 料 について 本 資 料 は 2011 年 7 月 12 日 に 開 催 されたJPNICセミナー 組 織 におけるDNSSECの 姿 ~ICANN 大 久 保 智 史 氏 を 迎 えて ~ の 講 演 資 料 を 一 般 公 開 向 けに 加 筆 修 正 したものである 但 し 加 筆 修 正 は 必 要 最 小 限 とし セミナー 開 催 時 点 を 基 準 とした 記 述 はそのままとした Copyright 2012 株 式 会 社 日 本 レジストリサービス 2

JP DPS JPRSは.jpゾーンにおけるDNSSECサービス(JP DNSSEC サービス)の 開 始 にあわせて サービス 運 用 方 針 を JPドメイ ン 名 におけるDNSSEC 運 用 ステートメント(JP DPS) として 文 書 化 し 公 開 した *1*2 https://jprs.jp/doc/dnssec/jp-dps-jpn.html ( 日 本 語 ) https://jprs.jp/doc/dnssec/jp-dps-eng.html ( 英 語 ) *3 *1:レジストラ 向 けにはサービス 開 始 1カ 月 前 に 先 行 公 開 *2: 署 名 パラメータの 一 部 についてはより 以 前 から 公 開 *3: 参 考 訳 として 公 開 Copyright 2012 株 式 会 社 日 本 レジストリサービス 3

DPSとは(JPRSの 理 解 ) DNSSECサービス 利 用 者 が DNSSEC 運 用 についての 情 報 を 得 ることでサービスを 選 ぶ 際 の 判 断 材 料 とするもの DNSSECサービス 運 用 者 が DNSSECサービスの 安 全 性 や 運 用 の 考 え 方 方 式 手 順 などを 網 羅 的 に 検 討 する 手 段 とし て 活 用 するもの DPSのフレームワークは PKIのCPS(Certification Practice Statement)を 参 考 にしており 本 資 料 執 筆 時 点 で 以 下 のI-D (Internet-Draft)を 用 いて 議 論 されている DNSSEC Policy & Practice Statement Framework (draft-ietf-dnsop-dnssec-dps-framework) Copyright 2012 株 式 会 社 日 本 レジストリサービス 4

参 考 :I-DにおけるDPSのセクション 構 造 1. INTRODUCTION 2. PUBLICATION AND REPOSITORIES 3. REQUIREMENTS FOR DNSSEC PRACTICE 4. FACILITY, MANAGEMENT AND OPERATIONAL CONTROLS 5. TECHNICAL SECURITY CONTROLS 6. ZONE SIGNING 7. COMPLIANCE AUDIT 8. LEGAL MATTERS Copyright 2012 株 式 会 社 日 本 レジストリサービス 5

JPRSが 考 えたDPS 公 開 のメリット サービス 品 質 を 確 認 する 上 で DPSのような 客 観 的 基 準 に 照 らし 合 わせることは 有 用 だろう セキュリティサービスとしてのDNSSECはこれまでのレジストリサー ビスに 比 して 異 質 であるという 認 識 レジストラが 顧 客 にJP DNSSECサービスを 説 明 するための 拠 所 になり 得 る JPドメイン 名 ユーザにJP DNSSECサービスの 仕 様 品 質 を 理 解 して 使 ってもらえる DNSSEC 対 応 を 検 討 している 国 内 事 業 者 が 業 務 設 計 する 際 のヒントになり 得 る Copyright 2012 株 式 会 社 日 本 レジストリサービス 6

JPRSが 考 えたDPS 公 開 のデメリット DPSの 公 開 により 記 載 事 項 への 厳 格 な 遵 守 義 務 が 発 生 す るものと 受 け 取 られ 運 用 的 自 由 度 を 損 なうかもしれない(デ メリット1) DPSの 記 述 レベルが 貧 弱 だと 公 開 することが 逆 効 果 になる かもしれない(デメリット2) Copyright 2012 株 式 会 社 日 本 レジストリサービス 7

JPRSの 判 断 公 開 するデメリットに 対 してメリットの 方 が 大 きい デメリットについては 適 切 に 対 応 すればよい デメリット1に 対 しては JP DPSがサービスに 関 する 契 約 書 ではない ことを 明 示 することにした デメリット2に 対 しては CPS 作 成 経 験 のあるPKI 専 門 家 を 外 部 から 招 聘 し 記 載 内 容 を 検 討 することにした Copyright 2012 株 式 会 社 日 本 レジストリサービス 8

JP DPS 作 成 方 針 I-Dに 準 拠 する JP DNSSECサービスで 行 わないことは 記 述 しない 実 施 予 定 の 事 項 であっても 記 述 せず 実 施 後 にDPSを 更 新 すること で 対 応 する JP DNSSECサービスの 運 用 の 自 由 度 を 担 保 できる 記 述 に する 具 体 的 な 実 装 方 式 (プロダクト 名 など)は 記 述 せず 抽 象 的 表 現 にする 一 方 で 詳 細 を 運 用 マニュアル( 非 公 開 )に 記 述 することでク ロスチェックを 行 い 具 体 性 のない 記 述 がDPSに 残 らないよ うにする 記 述 する 必 要 のないことは 記 述 しない Copyright 2012 株 式 会 社 日 本 レジストリサービス 9

JPRSにおける 作 業 (1/2) JP DPS 検 討 チームの 編 成 サービス 設 計 者 業 務 担 当 者 システム 運 用 者 システム 開 発 者 監 査 人 法 務 担 当 者 PKI 専 門 家 ( 外 部 )をチームに 含 めた DPSのI-D 他 TLD 等 のDPSの 読 み 込 み DNSSEC Policy & Practice Statement Framework (I-D).seゾーンのDPS rootゾーンのdps.netゾーンのdps 国 内 PKI 認 証 局 のCPSの 読 み 込 み JPNICのCPS JP DNSSECサービスパラメータの 決 定 RFC I-Dの 調 査 (RFC 4641, draft-ietf-dnsop-rfc4641bis) 他 TLD 採 用 パラメータの 調 査 Copyright 2012 株 式 会 社 日 本 レジストリサービス 10

JPRSにおける 作 業 (2/2) JP DNSSECサービス 運 用 体 制 の 構 築 JP DPS 本 体 の 記 述 JP DPS 記 載 事 項 に 準 じたより 詳 細 な 運 用 マニュアルの 作 成 JP DPSへの 準 拠 性 を 検 証 するための 内 部 監 査 項 目 の 設 定 Copyright 2012 株 式 会 社 日 本 レジストリサービス 11

参 考 :JP DNSSECサービス 運 営 体 制 (4 章 ) JP DNSSECサービス 運 営 会 議 JP DPS 管 理 責 任 者 JP DNSSEC 署 名 鍵 運 用 責 任 者 JP DNSSEC アクティベーション 立 会 責 任 者 JP DNSSEC 業 務 監 査 人 JP DPS 管 理 担 当 者 JP DNSSEC 署 名 鍵 運 用 担 当 者 JP DNSSEC アクティベーション 立 会 担 当 者 Copyright 2012 株 式 会 社 日 本 レジストリサービス 12

参 考 :JPにおける 署 名 鍵 管 理 (5 章 ) USBメモリ(i) スマートカード(j) ノートPC k 拠 点 実 際 に 利 用 するのはそれぞれ1つで 他 は 予 備 ZSK KSK 公 公 ZSK 秘 i USBストレージを 利 用 してコピー.jpゾーン 管 理 サーバー 暗 号 化 ストレージ ZSK KSK 公 公 ZSK DS 秘 JP DNS CARD KSK 秘 12-03 0123 4567 8901 複 数 の 鍵 で 同 時 に 作 業 しなければ 開 錠 できない j 署 名 鍵 運 用 担 当 者 +アクティベーション 立 会 担 当 者 複 数 人 揃 わなければ USBメモリ スマート カードの 読 み 込 みが できない ZSK KSK 公 公 ZSK 秘 スマートカード 内 の 秘 密 鍵 はコピー 不 可 KSK CARD 秘 12-03 0123 4567 8901 署 名 鍵 運 用 担 当 者 ZSK KSKの 作 成 DSレコードの 作 成 などを ノートPC 上 でおこなう アクティベーション 立 会 担 当 者 ノートPCには ネットワーク 接 続 の 機 能 がない (オフラインで 利 用 ) 作 業 を 監 視 し チェックシート に 記 述 Copyright 2012 株 式 会 社 日 本 レジストリサービス 13

参 考 :JP DNSSECサービスのパラメータ(6 章 ) 1 署 名 鍵 の 使 用 期 間 2 署 名 鍵 のビットサイズ DNSレコード (RR) 不 在 証 明 レコード の 生 成 DNSレコード (NSEC3) KSK:1 年 ZSK:1ヶ 月 KSK:2048ビット ZSK:1024ビット RSASHA256 圧 縮 (ハッシュ 化 ) NSEC3 SHA-256(2) SHA-1(1) 6DSレコードのハッシュアルゴリズム 署 名 鍵 (KSK/ZSK) 3 署 名 鍵 のアルゴリズム ハッシュ 値 9 不 在 証 明 方 式 公 開 鍵 のDNS 登 録 4 署 名 鍵 の 更 新 方 法 暗 号 化 ( 署 名 ) SHA-1(1) 10NSEC3(ハッシュアルゴリズム) 11NSEC3(フラグ) 12NSEC3( 繰 り 返 し 回 数 ) 13NSEC3(ソルト) オプトアウト(1) KSK: 二 重 署 名 法 ZSK: 事 前 公 開 法 10 回 以 内 (ランダム 化 ) 数 ~10 桁 程 度 (ランダム 化 ) 5 署 名 鍵 DSのTTL 86400 DNSレコード (DNSKEY) DNSレコード (RRSIG) 圧 縮 (ハッシュ 化 ) 7 署 名 の 有 効 期 間 8 再 署 名 のタイミング (Rootゾーンへ) DNSレコード (DS) 5 署 名 鍵 DSのTTL 86400 KSK: 概 ね2ヶ 月 ZSK: 概 ね1ヶ 月 KSK:1ヵ 月 毎 ZSK:1 週 間 毎 Copyright 2012 株 式 会 社 日 本 レジストリサービス 14

苦 労 譚 新 技 術 (DNSSEC)に 関 する 記 述 を 多 数 含 む 文 書 の 公 開 に おいて 何 をどこまでやればよいかの 判 断 が 難 しかった DPS 文 書 作 成 のみでなく 体 制 構 築 や 運 用 マニュアルの 作 成 を 行 いながらDPS 記 載 事 項 の 裏 づけを 図 ったため 作 業 量 が 増 大 した DPSフレームワークには HSM (Hardware Security Module)の 利 用 を 前 提 に 考 えられているような 部 分 があり HSMを 使 用 しない 場 合 (Smartcard+ 金 庫 )の 記 述 が 難 し かった DNSSECは 既 存 のレジストリサービスの 拡 張 であるため DPSと 既 存 のサービス 文 書 群 との 整 合 性 確 保 や 記 載 事 項 の 切 り 分 けに 苦 労 した Copyright 2012 株 式 会 社 日 本 レジストリサービス 15

各 章 記 載 におけるexperiences(1/2) 1. INTRODUCTION DNSSECとDPSに 関 する 一 般 的 導 入 を 書 いたのみで 比 較 的 容 易 2. PUBLICATION AND REPOSITORIES 文 書 の 公 開 場 所 管 理 方 法 を 書 いたのみで 容 易 3. REQUIREMENTS FOR DNSSEC PRACTICE 既 存 のレジストリサービスから 継 承 される 概 念 が 多 く 既 存 文 書 との 整 合 性 確 保 にやや 苦 慮 4. FACILITY, MANAGEMENT AND OPERATIONAL CONTROLS PKI 的 概 念 が 多 く 専 門 家 の 協 力 を 得 なければ 難 しかった 業 務 体 制 の 記 述 など 実 際 の 体 制 構 築 を 伴 うものがあり 労 力 がか かった 既 存 のレジストリサービスから 継 承 される 概 念 があり 既 存 文 書 との 整 合 性 確 保 にやや 苦 慮 Copyright 2012 株 式 会 社 日 本 レジストリサービス 16

各 章 記 載 におけるexperiences(2/2) 5. TECHNICAL SECURITY CONTROLS システム 設 計 作 業 と 同 時 並 行 的 に 記 載 したため 調 整 に 労 力 がか かった 6. ZONE SIGNING RFCや 他 TLDの 運 用 状 況 が 参 考 になり 比 較 的 容 易 7. COMPLIANCE AUDIT DPSは 契 約 書 ではないというスタンス 準 拠 性 に 関 する 取 扱 いは 既 存 のレジストリ 契 約 文 書 ( ICANN-JPRS- 政 府 )において 言 及 されて いるとの 考 えから あえて 詳 細 を 書 かないことに このため 比 較 的 容 易 8. LEGAL MATTERS DPSは 契 約 書 ではないというスタンス 法 的 事 項 に 関 する 取 扱 いは 既 存 のレジストリ 契 約 文 書 (JPRS-レジストラ- 登 録 者 )において 言 及 されているとの 考 えから あえて 詳 細 を 書 かないことに このため 比 較 的 容 易 Copyright 2012 株 式 会 社 日 本 レジストリサービス 17

所 感 記 載 の 前 提 となる 体 制 などを 整 備 することを 含 めれば DPS の 記 述 は 決 して 容 易 ではない しかし 客 観 的 なフレームワークにより 自 らのサービスを 確 認 することは 特 にDNSSECのようなセキュリティサービス の 導 入 においては 有 用 である 多 くの 組 織 がDPSを 公 開 し 業 界 全 体 にDNSSEC 運 用 情 報 が 蓄 積 することで よりよいプラクティスの 考 案 発 見 につな がることを 期 待 する Copyright 2012 株 式 会 社 日 本 レジストリサービス 18

Copyright 2012 株 式 会 社 日 本 レジストリサービス 19