メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ
バナー:KSKロールオーバー
以下の翻訳文は、KSKロールオーバに関する解説文です。 発生しうる問題点を詳しく説明した、 JPNICによる解説を先にご覧ください。


翻訳文

一般社団法人日本ネットワークインフォメーションセンター
最終更新2017年5月31日

この文書は2016年7月22日に公開された
https://www.icann.org/en/system/files/files/ksk-rollover-at-a-glance-22jul16-en.pdf
をJPRSおよびICANNの支援によりJPNICが翻訳したものです。 JPNIC、JPRSおよびICANNは、 ICANN文書の日本語翻訳に関して協力する旨の覚書を2015年6月22日に締結しています。

覚書原文:https://www.nic.ad.jp/ja/materials/icann/icann-jprs-jpnic-mou-22jun15-en.pdf

JPNICはこの翻訳を参考のために提供しますが、 その品質に責任を負いません。

三分でわかるKSKロールオーバー(KSKの更新)

2017年5月31日

KSKの更新について

ICANNは、 Domain Name System Security Extensions (DNSSEC)プロトコルにおける信頼の起点*1となる暗号鍵のペアとして一般的に知られている、 ルートゾーンKSKの更新(変更)を計画しています。 今回はKSKが2010年に初めて生成されて以来、最初の鍵の変更となります。

インターネットユーザにとって定期的なパスワード変更が賢明な処置とされているのと同じく、 これらのDNSSEC鍵の変更は重要なセキュリティのステップです。 ルートゾーンKSKは、秘密鍵と公開鍵で成り立っています。 秘密鍵は、ICANNが安全に保管していますが、 公開鍵は広く配布され多くの機器に設定されており、 その数は数百万にのぼる可能性があります。 KSKの更新に向けた複数の手順を踏んだプロセスでは、 新たな暗号鍵のペアを生成し、 新たな公開鍵を配布する手順が基本的に含まれています。

インターネットサービスプロバイダ、 企業ネットワークの運用者およびその他DNSSECによるバリデーション*2を行っている方は、 自らのユーザがインターネットにトラブルなくアクセスするために、 それぞれのシステムが新たなKSKの公開鍵に更新されていることを担保する必要があります。

Domain Name System(DNS)は、 インターネットにおけるグローバルな電話番号帳に該当しますが、 その情報の完全性を証明するセキュリティ技術であるDNSSECにおいて、 KSKは不可欠な構成要素です。 ルートレベルにおけるこの種の変更は、これまで前例がなく、 そのため通常の運用の妨げにならぬよう、更新に向けて幅広く、 慎重な連携が行われる必要があります。 このような背景から、ICANNは今、更新が実際に行われる前の段階から、 インターネット運用者およびユーザコミュニティに変更を周知しています。

*1 Internet Week 2016 DNS DAY「DNSSEC Update」資料P.39トラストアンカー(TA)の説明参照:https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf
*2 Internet Week 2015 チュートリアル「T5 今日から始めるDNSSECバリデーション」資料参照:https://www.nic.ad.jp/ja/materials/iw/2015/proceedings/t5/

DNSSECにおけるKSKの役割は何ですか?

DNSデータのバリデーションにより、 インターネットユーザをドメイン名ハイジャックから守る重要な役割を、 KSKは担っています。 ドメイン名ハイジャックとはその名の通り、多くの場合は悪意に基づき、 違法に金銭的利益を得ることなどを目的として、 ドメイン名のコントロールを奪うことです。 例えば、銀行の口座情報を取得する試みとして、 IDとパスワードを盗むサイトにユーザをリダイレクトするかもしれません。

図:DNSSEC概念図

なぜKSKの更新が重要なのですか

KSKはDNSSECバリデーションを行っているすべての運用者に広く配布されています。 DNSSECのバリデーションを行っているリゾルバーが、 KSKが更新されたときに新たな鍵をもっていなければ、 これらのリゾルバーに頼っているエンドユーザはエラーに直面し、 インターネットへのアクセスができなくなります。

ルートゾーンのKSKは、バリデーションをするリゾルバーが、 DNSデータの正当性を確認するうえで使用する、 公開鍵の連鎖における最初の鍵です。 ルートKSKから始まる信頼の連鎖におけるそれぞれの鍵は、 次の鍵の有効性を裏付けるものです。 もしルートゾーンのKSKが変更された後にリゾルバーの設定が更新されていない場合、 この信頼の連鎖における初めの鍵がまちがっているものとなり、 信頼の連鎖全体を無効とします。 その結果、DNSSECバリデーションは失敗し、 結果的にユーザのインターネットへのアクセスがエラーとなります。

更新はいつ行われるのですか?

KSKの更新は、単一の出来事ではなく、 一連のプロセスであり、2018年3月に完了する見込みです。 新たな公開鍵は、 https://data.iana.org/root-anchors/での公開が2017年2月に予定されており*3、 DNS上では2017年7月11日に初めて現れます。

更新プロセスにおける主なマイルストーンは以下の通りです。 運用上の考慮のため、これらの日程は変更となる可能性があることをご了承ください:

2016年10月 新たなKSKの生成
2017年2月 新たなKSKのIANAウェブサイトでの公開
2017年7月 DNSにおける新たなKSKの公開
2017年10月 署名のための新たなKSKの利用 (実際の更新)
2018年1月 古いKSKの失効
2018年3月 古いKSKの安全な削除とKSKの更新プロセスの完了
*3 予定通りに公開されています

影響を受ける人数の規模はどれくらいですか?

インターネットユーザの4人に1人、 または7億5千万人がKSKの更新による影響を受ける可能性があると推定されています。 この数値は、 DNSSECバリデーションを行っているリゾルバーを利用しているインターネットユーザの推定数に基づいています。

対応が求められる対象は誰になりますか?

DNSSECバリデーションに対応したソフトウェアの開発者は、 RFC5011自動トラストアンカー更新プロトコルへの対応が強く推奨されます。 コードまたは設定ファイルにルートゾーンKSKを含めているソフトウェア開発者およびディストリビュータは、 新たなKSKが利用されることを担保する必要があります。 これは、新しいKSKが2017年2月に公開された後、 できるだけ早い対応が理想的です。

RFC5011自動トラストアンカー更新プロトコルに依存している運用者は、 更新発生時に、DNSSECバリデーションを行っているリゾルバーが、 自動的にルートゾーントラストアンカーを更新するよう設定されていることを担保する必要*4があります。 DNSSECバリデーションを有効にしているリゾルバーのトラストアンカー設定を手動で更新している運用者は、 2017年10月11日までに新たなルートゾーンKSKの設定を確実に行う必要*5があります。

RFC5011自動トラストアンカー更新プロトコルに正しく従ったDNSSECバリデーションに対応したソフトウェアの開発者、 インテグレータ、ディストリビュータまたは運用者は対応が不要です。

*4 詳細はInternet Week 2015 チュートリアル「T5 今日から始めるDNSSECバリデーション」資料「Root KSK(鍵署名鍵)更新に対応する方法」参照:https://www.nic.ad.jp/ja/materials/iw/2015/proceedings/t5/t5-ishihara.pdf
*5 *4と同資料参照

参考情報

問い合わせ方法
ご質問のある方は"KSK Rollover"とサブジェクトに入れ、 globalsupport@icann.orgへ電子メールをお送りください。
KSKの更新に関するさらなる情報
https://www.icann.org/kskroll
対話に参加
Twitter ハッシュタグ #KeyRollをご利用ください: https://twitter.com/icann

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。