ニュースレターNo.62/2016年3月発行
APNIC 40カンファレンス報告 技術動向報告
APNICカンファレンスでは、毎回開幕直後に、 環太平洋地域のインターネット運用者を対象とした情報交換と交流の場となるAPOPS(The Asia Pacific OPeratorS forum)が行われ、 年間の動向や注目すべきテクノロジーについて共有と報告がなされます。 今回のAPOPSは、2015年9月8日(火)に、 APOPS 1~2の二つのセッションが開催されました。
本稿では、APOPSで紹介された、 ICANNによるルートゾーンのKSK(鍵署名鍵)更新に関する二つの講演と、 Policy SIGにおけるIPv4アドレスの移転と経路ハイジャックの話題について報告します。
ルートゾーンのKSK(鍵署名鍵)更新に関する話題
DNS Root Zone KSK Rollover
ICANNのElise Gerich氏から、 “DNS Root Zone KSK Rollover”という題名にて、 ICANNが実施を予定するルートゾーンのKSK更新の現状と、 今後の動向が紹介されました。 ルートゾーンのKSKは、ルートゾーンに署名するための鍵です。 これは、DNSのDNSSECの検証(バリデーション)をルートからたどって行うために必要となるもので、 DNSSEC検証に対応したDNSキャッシュサーバーは、 ルートゾーンのKSKの公開鍵を保持しています。 DNSSECの検証やKSKの役割など、 DNSSECの基本的な仕組みの詳細は、 No.43をご参照ください。
KSKはセキュリティ上の観点から、 一定期間で更新することが推奨されています。 ICANNがDNSSECの運用方針を定めた文書であるDPSには、 5年経過した後にKSKの更新を行うよう定めており、 ICANNがルートゾーンのKSK運用を開始した2010年から今年で5年を迎えることになるため、 KSKの更新が必要になります。
ICANNはルートゾーンのKSK更新について、 ベリサイン社および米国商務省電気通信情報局(NTIA)と協力し、 以前からルートゾーンKSK更新計画を策定していました。 ICANN、ベリサイン社、NTIAの3者は、 ルートゾーン管理パートナーと呼ばれています。 2014年12月、ICANNはルートゾーン管理パートナーに加えて、 コミュニティの有志とルートゾーンKSK更新計画を策定する設計チームを編成しました。 その設計チームが本年2015年8月にドラフトを公開したため、 DNSSECの運用経験のある技術者にコメントを寄せてほしいとの要請がありました。
Testing Rolling Roots
前述のGerich氏の発表を受けて、 ルートゾーンKSK更新計画設計チームのメンバーであるAPNICのGeoff Huston氏から、 “Testing Rolling Roots”という題名にて技術的な詳細の発表がありました。 DNSSECの利用率については、 APNICが継続的に実施している観測の統計では、 DNSSECの検証を有効にしてDNSの問い合わせを行っているクエリが、 全体の14%になっているということでした。
ルートゾーンのKSK更新に併せてキャッシュサーバー側にあるKSKも更新しないと、 DNSSECの検証ができなくなることになりますが、 KSKの更新については、 キャッシュサーバー側は手動で更新するほかに、 自動で更新する手段があり、 自動更新についてはRFC5011で詳細が定められています。 こちらにのっとれば自動でキャッシュサーバー側も更新されるはずですが、 RFC5011の通り自動更新されるキャッシュサーバーがどのくらいあるのか、 事前に測定するのは難しい状況ということでした。
また、ルートゾーンがKSKを更新する際には、 現行のKSKをいきなり削除するのではなく、 新しいKSKと現行のKSKを併存させた併存期間を設けた後、 現行のKSKを削除することになります。 併存期間中はDNSのパケットサイズが増えるので、 その増えたパケットをキャッシュサーバー側が取り扱えるかどうかも課題となります。 実験として、観測対象のDNSキャッシュサーバーに対して、 併存期間中に想定されるパケットサイズである1,440バイトのレスポンスを処理できるか試したところ、 全体の1%のキャッシュサーバーがDNSの名前解決に失敗したとのことでした。 ただし参考として、 現状ORGドメイン名が1,650バイトのパケットサイズでレスポンスを返しており、 これによりインターネット上で特に問題が見られないことからすると、 パケットサイズの点はルートゾーンについてもおそらく問題ないのではないかという見解が述べられました。
さらに、KSK更新の実施時期も検討課題となります。 前述のDPSでは四半期(1月・4月・7月・10月)のどこか初めの日に鍵更新を行うと規定されていますが、 2016~2017年のカレンダーでは、 いずれの四半期も初めの2日間が土日を含んでしまい、 インターネットの運用者の業務態勢に影響が出ることが考えられます。
このように検討課題はあるものの、 KSK更新に関する設計チームは今秋にとりまとめを行い、 ルートゾーンパートナーへ提出する予定とのことでした。
IPv4アドレスの移転と経路ハイジャックの話題
APNIC 40のPolicy SIGでは、 国際的なIPv4アドレスの在庫枯渇状況に加えて、 アジア太平洋地域における移転状況のほか、 移転後のアドレスが経路ハイジャックにあっていた事例が発表されていました。
APNICのHuston氏によると※1、 RIRにおいては、 ARINではIPv4アドレス在庫がほぼ枯渇(当該発表時点)しており、 /10のIPv4アドレスをIPv6移行のために保持している状態で、 RIPE NCCは最後の/8とIANA返却アドレスからの割り振り分、 AFRINICは約2.5個分の/8、LACNICは二つの/11、 APNICは最後の/8とIANA返却アドレスからの割り振り分を残している状態です。 AFRINICを除くとしても、今後、IPv4アドレスを入手するために、 アドレスの移転が行われていくことが考えられます。 実際にアジア太平洋地域では、 2010年以降IPv4アドレスの移転件数・サイズ共に増加傾向にあります。
この講演の後、Dyn社のJim Cowie氏から、 国際移転されたIPv4アドレスを使い始めたところ、 実は他のネットワークで経路広告されていた、 という事例が紹介されました※2。 また別の事例として、 ヨーロッパでアドレス移転元になることが多いルーマニアから、 2014年10月、 イランのモバイル通信会社にIPv4アドレスの移転が行われたところ、 移転されたアドレスのうち半分ほどは、 米国の大手通信会社において経路広告されていたことが分かったことも紹介されました。 結局、 モバイル通信会社が移転を受けたアドレスの分だけ細かい経路情報を広告し、 そのアドレスに対する到達性を得られるようにしたということでした。
この影響で、Cowie氏の知る移転の事業者では、 インターネットで経路広告できることが確認されていないIPv4アドレスは、 取り扱わないことになったとのことです。 国内でも、IPアドレスの移転を受ける時には、 実際にインターネットで経路広告して使うことのできるアドレスであるかどうかの確認が重要であると言えます。
終わりに
ルートゾーンKSK更新はDNSSEC検証に影響の大きいものとなります。 2015年11月から逆引きDNSSECのサービスを開始したJPNICとしても、 動向を注視していきます。
(JPNIC 技術部/インターネット推進部 木村泰司)
(JPNIC 技術部 澁谷晃)
- ※1 The Status of APNIC’s IPv4 Resources: Exhaustion & Transfers, Geoff Huston(APNIC)
- https://conference.apnic.net/data/40/2015-09-09-ipaddrs_1440921336.pdf
- ※2 IPv4: Mining Strategic Reserves, Jim Cowie(Dyn)
- https://conference.apnic.net/data/40/mining20strategic20reserves20cowie20apnic202015_1441819312.pdf