＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
    __
    /Ｐ▲         ◆ JPNIC News & Views vol.635【臨時号】2009.4.17 ◆
  _/ＮＩＣ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.635 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本号では、vol.632、vol.634に続き、アメリカのサンフランシスコで開催され
た第74回IETFのレポート[第3弾]として、「DNS関連WG報告」をお届けします。

□第74回IETF報告
  ○[第1弾] 全体会議報告 ～概要、IETF Technical Plenaryについて～
    (vol.632)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol632.html

  ○[第2弾] 全体会議報告
     ～IETF Operations and Administration Plenaryについて～ (vol.634)
    http://www.nic.ad.jp/ja/mailmagazine/backnumber/2009/vol634.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第74回IETF報告 [第3弾]  DNS関連WG報告
        ～dnsop WG、dnsext WG、DNSSEC deployment BoFについて～
                             JPNIC DNS運用健全化タスクフォースメンバー
                                             東京大学 情報基盤センター
                                                              関谷勇司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆dnsop WG(Domain Name System Operations WG)報告

今回のIETFでは、dnsop WGの会合は100分の枠で開催されました。主な議題は
DNSSECの運用に関するものでした。会合では、通常通り最初に、
internet-draftの状態確認が行われました。

前回のIETF以降、internet-draftからRFCになったものはありませんでした。
議論としては、まずdraft-ietf-dnsop-rfc4641bis-01について行われました。
このinternet-draftは、DNSSECを導入するゾーン管理者のために注意事項を明
記した、RFC4641を改訂したものです。変更点としては、RFC4641での文章的な
間違い等の修正と、鍵長に関する記述の変更、ならびにDSとTrust Anchorにお
けるKSK(Key Signing Key)の扱いの違いについて記述が加えられました。これ
に関して、会場からは1024bitの鍵長では既に短いので、2048bitを推奨するよ
うにとの指摘がありました。また、SHA-1ではなくSHA-2を使うようにとの指摘
もありました。

次に、draft-morris-dnsop-dnssec-key-timing-00に関する議論が行われまし
た。このdraftはDNSSECでの鍵更新に関して、通常時の更新方法や、緊急時の
更新方法を述べたものであり、発表ではそれが時系列で図解して見せられまし
た。DNSSECの鍵更新に特化して、鍵更新時に推奨される間隔を具体的に示した
文章なので、DNSSEC普及のためのガイドラインとして重要であると思われます。

その他の発表では、Dynamic Updateを受け付けるゾーンでDNSSECの署名を行う
場合において、冗長性のために複数台で署名を行い、かつ転送にIXFR(*1)を使
うと、RRSIG(*2)が異なってしまうため不整合が発生する、という問題点も指
摘されていました。

DNSSECに関連すること以外には、draft-liman-tld-names、
draft-bagnulo-behave-dns64、RFC5205で定義されたHIP RRに関する発表が行
われました。draft-liman-tld-namesでは、RFC952やRFC1123にてTLD
(Top Level Domain)にはアルファベットで始まる文字のみ用いることができる、
と定義されているが、国際化TLDが導入されるとこの規則に違反するのではな
いか、という問題提起がなされました。国際化TLDを導入するにあたっては、
最小限の規則変更が必要だという認識が共有されました。

◆dnsext WG(DNS Extensions WG)報告

IETF74ではdnsext WGの会合が開催されませんでした。そのため、IETF73から
IETF74までの間にメーリングリスト上にて行われた議論をまとめます。

話題としては、IETF73の期間中に行われたNSEC3 Workshopに関する報告や、
draft-ietf-dnsext-dnsproxy、draft-ietf-dnsext-dnssec-rsasha256、
draft-ietf-dnsext-axfr-clarifyといったinternet-draftに関する議論が中心
でした。また、DLV(DNS Look-aside Validation)(*3)をTLD単位で行えばどう
か、といった提案も出され、多くの意見が投稿されていました。DLVは確かに
DNSSECの普及を促進させる技術の一つだと思われますが、現在はISC
(Internet Systems Consortium, Inc.)によってDLV treeが管理されているた
め、それを問題視する意見も出されていました。

なお、IETF74では会合を開かない方向であることがあらかじめアナウンスされ
ていました。IETF75やIETF76では会合を開催するかどうか、今後メーリングリ
ストにて意見交換がなされるものと思います。

◆DNSSEC deployment BoF 報告

開催4日目(2009年3月25日)の夜に、DNSSEC deploymentに関するBoFが非公式に
開催されました。このBoFは、DNSSECの普及に関して話し合う場
(http://www.dnssec-deployment.org/) が別途存在し、そのメンバーが中心と
なって開催されました。

議論は、TAR(Trust Anchor Repository)(*4)に特化して行われました。TARを
管理するのは誰なのか、管理するにあたって鍵更新はどのような段階に分かれ
るのか、といったことが議題にあがっていました。しかし実際には、TARで鍵
交換や更新時に用いられる用語の定義に終始してしまいました。約2時間の会
合だったのですが、その2時間を使い切ってもまだ用語の定義が終わりません
でした。DNSSECの鍵管理に関しては、さまざまな場面が存在し得るということ
を感じました。


(*1)IXFR(Incremental Zone Transfer):
    差分ゾーン転送と呼ばれる方式で、DNSサーバ間でゾーン情報を同期する
    際に、更新されたゾーンデータのみを転送する方式です。

(*2)RRSIG(Resource Record Signature):
    DNSSECにおいてRR(Resource Record)を電子署名する場合に、その署名ア
    ルゴリズムや有効期限等の付属情報と署名自体を格納するResource
    Recordです。

(*3)DLV(DNSSEC Look-aside Validation):
    DNSSEC専用のゾーンを提供することで、RootゾーンからDNSSECの署名がな
    されていなくても、Trust Anchorのような認証起点を設定すること無く、
    特定のゾーンをDNSSEC対応にすることができる仕組みです。現在ISC
    (Internet Systems Consortium, Inc.)によってサービスが提供されてい
    ます。詳しくは、 https://www.isc.org/solutions/dlv を参照してくだ
    さい。

(*4)TAR(Trust Anchor Repository):
    DNSSECにおける認証の起点を指定するDNSKEY RRをTrust Anchorと言い、
    そのDS RR(Delegation Signer Resource Record)を保存しているデータ
    ベースをTARと呼びます。


                  ◇              ◇              ◇

次回の[第4弾]では、「IPv6関連WG報告 ～6man WG、intarea、ISOC主催のパネ
ルについて～」をお送りします。


     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
       わからない用語については、【JPNIC用語集】をご参照ください。
            http://www.nic.ad.jp/ja/tech/glossary.html
     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
 JPNIC News & Views vol.635 【臨時号】

 ＠ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
 ＠ 問い合わせ先   jpnic-news@nic.ad.jp
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
           本メールを転載・複製・再配布・引用される際には
       http://www.nic.ad.jp/ja/copyright.html をご確認ください
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          ＠ Japan Network Information Center
■■◆                                     ＠  http://www.nic.ad.jp/
■■

Copyright(C), 2009 Japan Network Information Center