DNSルートゾーンには、トップレベルドメイン(TLD)ネームサーバー(.com、.edu、.org、など)へのクエリの方法に関する情報が含まれています。これによって、インターネットユーザーは.softwareや.bankのような真新しいものも含めたすべてのTLDのドメイン名にアクセスできるのであり、グローバルインターネットの不可欠な部分になっています。
DNSSECの仕組みで、DNSSECにおける信頼が親ゾーンのDSリソースレコードに由来することを説明しました。しかし、ルートDNSゾーンには親がいないため、その情報の完全性と信頼性をどのように信頼すればよいのでしょうか?
写真提供:IANA
ルート署名セレモニーは、ルートDNSゾーンの公開鍵情報に今後数か月間有効な署名を行うという厳格な手続きであり、その目的はここにあります。このプロセスで使用される秘密署名鍵は、文字通りDNSSECで保護されたインターネット全体の鍵になります。DNSSECがグローバルスタンダードとして成功するためには、この鍵にアクセスするための公開、監査、および厳重な管理体制が必要です。
今年8月のセレモニーには、Cloudflareのエンジニアリングマネージャーであり、ICANNの暗号担当者でもあるÓlafur Guðmundsson氏が参加しました。これは、ルート署名セレモニーを振り返った彼の感想です。
ルートKSK(鍵署名鍵)を保護する場所には、カリフォルニア州エル・セグンドとバージニア州カルペパーの2つの地理的に異なる場所があります。どちらも安全な施設であり、鍵が複製されて冗長化されています。セレモニーはエル・セグンドとカルペパーの2か所で交互に行われます。
セレモニー管理者
社内の立会人
資格情報用の金庫の管理者
金庫の管理者
暗号担当者 #1
暗号担当者 #2
暗号担当者 #3
それぞれの参加者の実施内容は、セレモニーの特定の部分に限られています。参加者らの役割は、共謀者のグループがルート署名鍵を危険にさらす可能性が百万分の一以下であることを保証するように分担されています。参加者全体のうち個人が不正行為を行う確率を5%(もちろん、仕様に正式に記載されています)と仮定しています。
このうち最初の4人はICANNのスタッフで、残り3人の暗号担当者はインターネットコミュニティからの信頼できるボランティアです。ベリサインは、セレモニーで署名されるルートゾーン署名鍵の生成に責任を負うルートゾーン維持業者(RZM)であるため、重要な役割を担っています。さらに、手続き全体は、ベリサインまたはICANNのいずれとも関係を持たない4大監査法人の2社によって監査されます。
世界に14名しかいない暗号担当者(7人は各拠点に所属)のうち、少なくとも3人はセレモニーに出席しなければなりません。そこで、まずは暗号担当者にアンケートを取り、4~5人が参加できる2日間の枠を探します。緊急事態や出張などのトラブルでセレモニーが中止になることもあり得るため、通常は最低3名以上の空きがある期間を探すようにしています。
前回のセレモニーは、8月13日にエルセグンドの施設で行われました。施設に入るために、私は政府発行の身分証明書を提示し、カバンの中身を見せなければなりませんでした。ここで、シャツに付ける身分証明書用のストラップをもらいました。そして、ICANNのスタッフが中に案内してくれるのを待ちました。ドア を通過するためには、そのスタッフがアクセスカードをスワイプしてスキャナーに手をかざす必要がありました。
最初に訪れたのは、昼食が提供された場所でもある会議室でした。そこで、他のセレモニー参加者の到着を待つ間、簡単な交流をしました。暗号担当者という立場から、世間話のほとんどは、ルート署名鍵の盗みを試みることを中心に展開されました。30分もあれば、壁に穴を開けて金庫を持ち出すことができると考えました。しかし、それでは地震センサーが作動してしまうので、鍵が盗まれたことが分かってしまいます。
全員が揃ったところで、エントランスの部屋は8人ほどしか入れないため、少人数のグループになりセレモニールームに案内されました。最も重要なセレモニールームへの入室許可を受ける前に、この部屋で記録帳にサインします。エントランスルームへの入室にはICANNスタッフがスマートカードを使用する必要があり、メインルームへの入室にはスタッフの網膜スキャンが必要です。
セレモニールームの端には、2つの金庫が入れられたケージがあります。この金庫には、セレモニーで使用するすべての機密資材が保管されています。セレモニー管理者と社内の立会人がその場にいる場合に限り、このケージに入ることができます。これは、2回目の網膜スキャンと、セレモニー管理者と社内の立会人双方からのアクセスカードによって実施されます。
しかし、セレモニー管理者も社内の立会人も、実際に金庫を開けることはできません。金庫の解錠には金庫の管理者が必要です
資格情報用の金庫の管理者が1つ目の金庫を開けると、その中に、2つの鍵が必要な貸金庫が複数入れられています。その鍵のうちの一つをセレモニー管理者が持ち、それぞれの箱ごとに暗号担当者がそれぞれ別の鍵を所有します。セレモニー管理者と暗号担当者が一緒に(そして社内の立合人および資格情報の金庫管理者の立会いのもと)、3つの貸金庫を開きます。
各貸金庫には、オペレーターカードと、次章で説明するハードウェア・セキュリティ・モジュール(HSM)のセキュリティパーミッションカードが入っています。HSMのロックを解 除するには3枚のオペレーターカードが必要なため、3人の暗号担当者がセレモニーに出席する必要があります。セキュリティパーミッションカードは、ルート署名鍵を譲渡する必要があるときだけ使うため、普段は貸金庫に預けられています。
これらのカードはすべてプラスチックケースに入れられ、不正開封防止袋に入れられます(セレモニーで行われる行為のほとんどは、不正行為の検出を目的としたものです)。このカードは使用するとき以外は金庫に保管されているため、最後に誰かが触ったのは前回のルート署名セレモニーのときということになります。不正開封防止袋を使用することで、その間の改ざんがないことを保証することができます。
また、ある人物によって、不正開封防止袋に針を刺してカードを操作できることが発見されましたが、袋を検査しても必ずしも気づかれないこともあるため、このプラスチックケースも非常に重要な役割を果たします。このような例を経て、セレモニーの進行に関連するセキュリティ対策は都度進化しているのです。
その後、金庫の管理者が金 庫室に入り、改ざん防止機能付きのハードウェア・セキュリティ・モジュール(HSM)が入れられている2つ目の金庫を開けます。HSMは、機密性の高い暗号用具を扱うために特別に設計された物理的な演算装置です。ルート署名鍵を入れるデジタル版の金庫と考えることができます。これには資格情報用の金庫から回収した3枚のオペレーターカードを使用しない限りアクセスができないようになっています。
HSMは外部インタフェースがないと操作できないため、金庫には、HSMにコマンドを送ることができる専用のノートパソコンも入れられています。このノートパソコンには、バッテリーやハードディスクはもちろん、時計用のバックアップバッテリーもないため、一度プラグを抜くと状態を保存することができません。この目的は、セレモニーを終えた後でルート署名の鍵がHSMから盗み出される可能性を排除することです。
これでルート署名セレモニーを行うためのハードウェアが揃いました。なお、セレモニーで使用する資材に物理的にアクセスするためには、7名全員の参加が必要です。ここでも、HSMへのアクセスと、HSMを起動するためのオペレーターカードへのアクセス権を各参加者に分離することで、悪意のある共謀者のリスクを最小限に抑えることが考えられています。
この金庫からは、前回までのセレモニーのログが入ったUSBと、ノートパソコンを起動するためのDVD(いずれも不正開封防止袋に入っている)も取り出されます。
これで実際のルート署名セレモニーを行うための準備が整いました。すべての機器は参加者全員から見えるようにテーブルの上に並べられ、その様子を監査するためのカメラも設置されます。
3人の暗号担当者が1人ずつテーブルに呼び出され、貸金庫から取り出したHSMオペレーターカードを渡すように指示されます。これを行う前に、不正開封防止袋が、前回のセレモニーの終了時に貸金庫に入れたときと同じ状態であることの確認が行われます。渡されたカードは、セレモニー管理者だけが触れることを許されます。
セレモニー管理者は、DVDからノートパソコンを起動し、セレモニーログ記録用のUSBを初期化します。ノートパソコンには時計用のバックアップバッテリーがないため、セレモニー用の部屋にある専用の掛け時計を見ながら手動で時間を設定する必要があることに留意してください。この時計は5年前に行われた初回のセレモニーから使用されているものと同じもので、外の世界から完全に隔離されています。若干のズレがあるものの、ログ目的に使用するだけなので問題ありません。
セレモニー用の机(機器設置前)
次に、セレモニー管理者は、暗号担当者から集めた3枚のオペレーターカードをマシンにセットし、HSMを起動します。次に、HSMをイーサネットケーブルでノートパソコンに接続します。これで、セレモニー管理者がルート署名鍵にアクセスできるようになります。
ルートKSK(鍵署名鍵)を保護する場所には、カリフォルニア州エル・セグンドとバージニア州カルペパーの2つの地理的に異なる場所があります。どちらも安全な施設であり、鍵が複製されて冗長化されています。セレモニーはエル・セグンドとカルペパーの2か所で交互に行われます。
ノートパソコン/HSMシステムはエアギャップされており、保護されていない可能性のあるコンピュータネットワーク(例:インターネット)から物理的に隔離されています。USBドライブを経由することのみが、外部からノートパソコン/HSMに情報を移動する唯一の方法です。そのため、鍵の署名要求はUSB経由でノートパソコンに読み込ませます。正規の鍵が署名されていることを確認するために、鍵署名要求のPGPハッシュが計算され、ベリサインが提供したものと同一であることを検証します。
最後に、セレモニーの管理者はKSK秘密鍵でKSRに署名します。コマンドプロンプトで「Y」を入力し、セレモニーの一番の見せ場となる部分が完了します。その結果、DNSSECではRRSIGレコードとして知られるデジタル署名のコレクションが作成されます。これについては後述します。
なお、KSRには、実際には15〜16日ごとにローテーションされるゾーン署名鍵のバンドルが含まれています。3か月後のルート署名セレモニーまで十分な量の鍵がバンドルされています。