DNSSECルート署名セレモニー

ルートDNSゾーンには、トップレベルドメイン(TLD)のネームサーバー(.com、.edu、.org、など)に問い合わせる方法に関する情報が含まれています。これにより、インターネットユーザーが.softwareや.bankのような真新しいものも含め、すべてのTLDのドメイン名にアクセスすることができ、グローバル・インターネットに不可欠な存在となっています。

DNSSECの仕組みで、DNSSECにおける信頼が親ゾーンのDSリソースレコードに由来することを説明しました。しかし、ルートDNSゾーンには親がいないため、その情報の完全性と信頼性をどのように信頼すればよいのでしょうか?

official ceremony photo

写真提供:IANA

ルート署名セレモニーは、ルートDNSゾーンの公開鍵情報に今後数か月間有効な署名を行うという厳格な手続きであり、その目的はここにあります。このプロセスで使用される秘密署名鍵は、文字通りDNSSECで保護されたインターネット全体の鍵になります。DNSSECがグローバルスタンダードとして成功するためには、この鍵にアクセスするための公開、監査、および厳重な管理体制が必要です。

今年8月のセレモニーには、Cloudflareのエンジニアリングマネージャーであり、ICANNの暗号担当者でもあるÓlafur Guðmundsson氏が参加しました。これは、ルート署名セレモニーを振り返った彼の感想です。

DNSSECロゴ

ルート署名鍵はどこにありますか?

ルートKSK(鍵署名鍵)を保護する場所には、カリフォルニア州エル・セグンドとバージニア州カルペパーの2つの地理的に異なる場所があります。どちらも安全な施設であり、鍵が複製されて冗長化されています。セレモニーはエル・セグンドとカルペパーの2か所で交互に行われます。

セレモニー参加者

  • セレモニー管理者
  • 社内の立会人
  • 資格情報用の金庫の管理者
  • 金庫の管理者
  • 暗号担当者 #1
  • 暗号担当者 #2
  • 暗号担当者 #3

それぞれの参加者の実施内容は、セレモニーの特定の部分に限られています。参加者らの役割は、共謀者のグループがルート署名鍵を危険にさらす可能性が百万分の一以下であることを保証するように分担されています。参加者全体のうち個人が不正行為を行う確率を5%(もちろん、仕様に正式に記載されています)と仮定しています。

図:鍵の保持者

このうち最初の4人はICANNのスタッフで、残り3人の暗号担当者はインターネットコミュニティからの信頼できるボランティアです。ベリサインは、セレモニーで署名されるルートゾーン署名鍵の生成に責任を負うルートゾーン維持業者(RZM)であるため、重要な役割を担っています。さらに、手続き全体は、ベリサインまたはICANNのいずれとも関係を持たない4大監査法人の2社によって監査されます。

セレモニーの準備

世界に14名しかいない暗号担当者(7人は各拠点に所属)のうち、少なくとも3人はセレモニーに出席しなければなりません。そこで、まずは暗号担当者にアンケートを取り、4~5人が参加できる2日間の枠を探します。緊急事態や出張などのトラブルでセレモニーが中止になることもあり得るため、通常は最低3名以上の空きがある期間を探すようにしています。

前回のセレモニーは、8月13日にエルセグンドの施設で行われました。施設に入るために、私は政府発行の身分証明書を提示し、カバンの中身を見せなければなりませんでした。ここで、シャツに付ける身分証明書用のストラップをもらいました。そして、ICANNのスタッフが中に案内してくれるのを待ちました。ドアを通過するためには、そのスタッフがアクセスカードをスワイプしてスキャナーに手をかざす必要がありました。

最初に訪れたのは、昼食が提供された場所でもある会議室でした。そこで、他のセレモニー参加者の到着を待つ間、簡単な交流をしました。暗号担当者という立場から、世間話のほとんどは、ルート署名鍵の盗みを試みることを中心に展開されました。30分もあれば、壁に穴を開けて金庫を持ち出すことができると考えました。しかし、それでは地震センサーが作動してしまうので、鍵が盗まれたことが分かってしまいます。

全員が揃ったところで、エントランスの部屋は8人ほどしか入れないため、少人数のグループになりセレモニールームに案内されました。最も重要なセレモニールームへの入室許可を受ける前に、この部屋で記録帳にサインします。エントランスルームへの入室にはICANNスタッフがスマートカードを使用する必要があり、メインルームへの入室にはスタッフの網膜スキャンが必要です。

2つの金庫がある部屋へ入室する男性…

セレモニールームの端には、2つの金庫が入れられたケージがあります。この金庫には、セレモニーで使用するすべての機密資材が保管されています。セレモニー管理者と社内の立会人がその場にいる場合に限り、このケージに入ることができます。これは、2回目の網膜スキャンと、セレモニー管理者と社内の立会人双方からのアクセスカードによって実施されます。

図:2つの金庫がある部屋に入室する男性

しかし、セレモニー管理者も社内の立会人も、実際に金庫を開けることはできません。金庫の解錠には金庫の管理者が必要です

資格情報用の金庫

資格情報用の金庫の管理者が1つ目の金庫を開けると、その中に、2つの鍵が必要な貸金庫が複数入れられています。その鍵のうちの一つをセレモニー管理者が持ち、それぞれの箱ごとに暗号担当者がそれぞれ別の鍵を所有します。セレモニー管理者と暗号担当者が一緒に(そして社内の立合人および資格情報の金庫管理者の立会いのもと)、3つの貸金庫を開きます。

図:資格情報用の金庫

各貸金庫には、オペレーターカードと、次章で説明するハードウェア・セキュリティ・モジュール(HSM)のセキュリティパーミッションカードが入っています。HSMのロックを解除するには3枚のオペレーターカードが必要なため、3人の暗号担当者がセレモニーに出席する必要があります。セキュリティパーミッションカードは、ルート署名鍵を譲渡する必要があるときだけ使うため、普段は貸金庫に預けられています。

これらのカードはすべてプラスチックケースに入れられ、不正開封防止袋に入れられます(セレモニーで行われる行為のほとんどは、不正行為の検出を目的としたものです)。このカードは使用するとき以外は金庫に保管されているため、最後に誰かが触ったのは前回のルート署名セレモニーのときということになります。不正開封防止袋を使用することで、その間の改ざんがないことを保証することができます。

また、ある人物によって、不正開封防止袋に針を刺してカードを操作できることが発見されましたが、袋を検査しても必ずしも気づかれないこともあるため、このプラスチックケースも非常に重要な役割を果たします。このような例を経て、セレモニーの進行に関連するセキュリティ対策は都度進化しているのです。

不正開封防止袋

金庫

その後、金庫の管理者が金庫室に入り、改ざん防止機能付きのハードウェア・セキュリティ・モジュール(HSM)が入れられている2つ目の金庫を開けます。HSMは、機密性の高い暗号用具を扱うために特別に設計された物理的な演算装置です。ルート署名鍵を入れるデジタル版の金庫と考えることができます。これには資格情報用の金庫から回収した3枚のオペレーターカードを使用しない限りアクセスができないようになっています。

図:金庫

HSMは外部インタフェースがないと操作できないため、金庫には、HSMにコマンドを送ることができる専用のノートパソコンも入れられています。このノートパソコンには、バッテリーやハードディスクはもちろん、時計用のバックアップバッテリーもないため、一度プラグを抜くと状態を保存することができません。この目的は、セレモニーを終えた後でルート署名の鍵がHSMから盗み出される可能性を排除することです。

これでルート署名セレモニーを行うためのハードウェアが揃いました。なお、セレモニーで使用する資材に物理的にアクセスするためには、7名全員の参加が必要です。ここでも、HSMへのアクセスと、HSMを起動するためのオペレーターカードへのアクセス権を各参加者に分離することで、悪意のある共謀者のリスクを最小限に抑えることが考えられています。

この金庫からは、前回までのセレモニーのログが入ったUSBと、ノートパソコンを起動するためのDVD(いずれも不正開封防止袋に入っている)も取り出されます。

機器の設定

これで実際のルート署名セレモニーを行うための準備が整いました。すべての機器は参加者全員から見えるようにテーブルの上に並べられ、その様子を監査するためのカメラも設置されます。

3人の暗号担当者が1人ずつテーブルに呼び出され、貸金庫から取り出したHSMオペレーターカードを渡すように指示されます。これを行う前に、不正開封防止袋が、前回のセレモニーの終了時に貸金庫に入れたときと同じ状態であることの確認が行われます。渡されたカードは、セレモニー管理者だけが触れることを許されます。

図:装置の設定

セレモニー管理者は、DVDからノートパソコンを起動し、セレモニーログ記録用のUSBを初期化します。ノートパソコンには時計用のバックアップバッテリーがないため、セレモニー用の部屋にある専用の掛け時計を見ながら手動で時間を設定する必要があることに留意してください。この時計は5年前に行われた初回のセレモニーから使用されているものと同じもので、外の世界から完全に隔離されています。若干のズレがあるものの、ログ目的に使用するだけなので問題ありません。

ルート署名セレモニー

セレモニー用の机(機器設置前)

次に、セレモニー管理者は、暗号担当者から集めた3枚のオペレーターカードをマシンにセットし、HSMを起動します。次に、HSMをイーサネットケーブルでノートパソコンに接続します。これで、セレモニー管理者がルート署名鍵にアクセスできるようになります。

ルートDNS鍵の署名

ルートKSK(鍵署名鍵)を保護する場所には、カリフォルニア州エル・セグンドとバージニア州カルペパーの2つの地理的に異なる場所があります。どちらも安全な施設であり、鍵が複製されて冗長化されています。セレモニーはエル・セグンドとカルペパーの2か所で交互に行われます。

図:ルートDNSキーへの署名

ノートパソコン/HSMシステムはエアギャップされており、保護されていない可能性のあるコンピュータネットワーク(例:インターネット)から物理的に隔離されています。USBドライブを経由することのみが、外部からノートパソコン/HSMに情報を移動する唯一の方法です。そのため、鍵の署名要求はUSB経由でノートパソコンに読み込ませます。正規の鍵が署名されていることを確認するために、鍵署名要求のPGPハッシュが計算され、ベリサインが提供したものと同一であることを検証します。

最後に、セレモニーの管理者はKSK秘密鍵でKSRに署名します。コマンドプロンプトで「Y」を入力し、セレモニーの一番の見せ場となる部分が完了します。その結果、DNSSECではRRSIGレコードとして知られるデジタル署名のコレクションが作成されます。これについては後述します。

なお、KSRには、実際には15〜16日ごとにローテーションされるゾーン署名鍵のバンドルが含まれています。3か月後のルート署名セレモニーまで十分な量の鍵がバンドルされています。

公開記録

細部に至るまでの詳細が監査人によって記録され、また動画撮影も行われ、セレモニー全体が公の記録となります。これは、DNSSECで保護されたインターネット全体が、ルートネームサーバーの署名を信頼するために極めて重要です。

この映像はセレモニーの最中にライブ配信され、その視聴者数についてもリアルタイムに把握することができました。今回は、これまでのセレモニーの時よりも知名度が上がったためか、過去最高の視聴者数を記録することができました。視聴者からの質問をチャットルームで中継することもできました。私たちは、このような視聴者との繋がりをとても素晴らしと感じました。

ログ

セレモニーの最後には、ログが印刷され、会場にいる希望者に配布されました。ベリサインには、USBスティックに入った署名済みの鍵のセットのコピーが渡されました。今年の第4四半期中にルートゾーンでこれらの署名済みのDNSKEY RRsetが使用される予定です。すべての資料が不正開封防止袋に戻され、それぞれの金庫に入れられました。

署名された鍵を見てみましょう!

ルートKSK(鍵署名鍵)を保護する場所には、カリフォルニア州エル・セグンドとバージニア州カルペパーの2つの地理的に異なる場所があります。どちらも安全な施設であり、鍵が複製されて冗長化されています。セレモニーはエル・セグンドとカルペパーの2か所で交互に行われます。

dig .dnskey +dnssec

上記で、ルートDNSネームサーバにdnskeyレコードを要求します。レスポンスの特にご覧いただきたい部分は、次のようなものです:

. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0= . 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb . 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==

最初のレコードは、HSMのKSK秘密鍵に対応する公開鍵、2番目はベリサインによって提供されるゾーン署名鍵、3番目のRRSIGレコードはルート署名セレモニーで作成したものです。最後の1つがなければ、ワールドワイドのDNSSECシステムは機能しません。

まとめ

ルート署名セレモニーは、ルートDNSのネームサーバーをトラストアンカーに変化させます。信頼は親ゾーンから得られるのではなく、信頼と見なされます。このセレモニーは、その信頼関係を高めるために行われます。「これに署名している人物らを信頼できるから、ルートDNSサーバーを信頼できる」といったものであるため、これはインターネットを安全にするための非常に人間的な側面と言えます。加えて、署名する人物らを信頼できる理由は、署名する際に厳格なプロトコルを守っているからです。これが「ルート署名セレモニー」です。

Cloudflareの設定は簡単です



ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。


何百万ものインターネットプロパティからの信頼

「ロゴMarsが信頼を寄せる」グレー色
「ロゴ Lorealが信頼を寄せる」グレー色
「ロゴ Doordashが信頼を寄せる」グレー色
「ロゴGarminが信頼を寄せる」グレー色
「ロゴ IBMが信頼を寄せる」グレー色
「ロゴ 23andmeが信頼を寄せる」グレー色
「ロゴShopigyが信頼を寄せる」グレー色
「ロゴ LendingTree が信頼を寄せる」グレー色
「ロゴ Labcorpが信頼を寄せる」グレー色
「ロゴNCR が信頼を寄せる」グレー色
「ロゴトムソン・ロイターが信頼を寄せる」グレー色
「ロゴZendeskが信頼を寄せる」グレー色