Hatena::ブログ(Diary)

おっホイ別館 − はてな村の物語

■本家ニコマス作品+αレビューBlog「おっホイ。」

2010-07-31 Webを再起動する7人?んな馬鹿な話があるかいw このエントリーを含むブックマーク このエントリーのブックマークコメント

Netの世界に転がる、様々なネタを見ては楽しむ、「Newsサイト」として、最近ほぼ毎日拝見している

Gizmodo Japan

のエントリーに、妙な記事が載っていた。

WWWへのアクセス権を持つ7人

http://www.gizmodo.jp/2010/07/seven-people-have-been-entrusted-with-the-keys-to-the-internet.html


抜粋:

上の画にあるこのカード。世界で7人だけが保持している、大災害時にWold Wide Webを再起動させる力を持つカードなのです。

んなアホな、Netの世界にシングルエンドポイントSingle Point of Failure(SPOF)(1箇所のシステムがサービスを提供できなくなると、システム全体が止まる)がある訳無いし、ましてやWWW−http/httpsプロトコル限定とか有り得ない!

ブクマTweetを集めて、皆でカコイイカコイイ言っていたので、ちょっと幾らなんでも、なぁ…と思い、以下のようなはてブコメを残してから昼寝してたのだが


Mu_KuP …ネタだよね?/どう考えてみても、今のInternetにシングルエンドポイントはないし…(AS/DNS/その他)/つか、WWWだけに限定?訳判らん記事。


どうにも納得が行かず、色々と調査をしてみた。


Newsの流れとしては、

「An Order of Seven Global Cyber-Guardians Now Hold Keys to the Internet」

POPSCI : http://www.popsci.com/

http://www.popsci.com/technology/article/2010-07/order-seven-cyber-guardians-around-world-now-hold-keys-internet

「Bath entrepreneur 'holds the key' to internet security 」

BBChttp://news.bbc.co.uk/

http://news.bbc.co.uk/local/bristol/hi/people_and_places/newsid_8855000/8855460.stm


の2つの記事が、


「Seven People Have Been Entrusted With The Keys To The Internet」

Gizmodo US : http://gizmodo.com/5597964/seven-people-have-been-entrusted-with-the-keys-to-the-internet


に流れて、上の和訳記事になったらしい。


この7人が何を指していて、何を守れるのか。

先にタネを明かせば、以下のようになる。


Internetで重要なサービスとして、”名前解決”を行うサービスがある。

このサービスは、www.foo.com といった「ホスト名.ドメイン」構成の文字列を、住所とみなして、アクセスすべきIPアドレス("192.168.xxx.xxx"といった、アレです。)へ変換したり、逆変換したりする役割をになう。

このサービスは、世界で13箇所(IP上は13基だけど、もちろん複数台化されている)で運営されている、DNSルートサーバを大元とした、階層構造を持っている。

つい最近まで、DNSはその応答を一方的に信用する仕掛け(回答があればそれを疑ったり検証したりする仕掛けが無い)状態だった。

しかし、キャッシュポイゾニングという攻撃が確立され、攻撃者は特定の偽の返答を生み出して、「ホスト名.ドメイン」の文字列を、別のIPアドレスに解釈させて、利用者を攻撃サイトに誘導することが出来ると判明した。

(更にタチの悪いことに、この攻撃の場合、鍵や証明書などによって、アクセスサイトの存在や、安全な暗号でアクセスしている事を証明する技術をパスしてしまう。)※参照

そこで、名前解決のサービスそのものに証明書発行技術を取り入れることになった。(これが"DNSSEC"と呼ばれる方式)

名前解決をする際に、階層の1つ上のDNSサーバと、解決対象のDNSサーバの証明書を扱う事で、名前解決を信用できるものにする仕掛け。

これを一番上の階層まで考えると、「DNSルートサーバ」であることの証明書を発行する為のシステムが必要となる。


この、DNSルートサーバであることを証明するための、証明書発行システム”(ああ、ややこしい)が、今回の記事のネタになっているようだ。

暗号化+証明書のシステムは、公開鍵(暗号を解く為に配布される情報)と、秘密鍵(暗号を作成するための情報)と、暗号化エンジンの3つが要素になっているが、

万が一秘密鍵が漏れてしまうと、偽の証明書を作り、ルートサーバを詐称することが出来る可能性がある。

その場合は、新たな証明書の鍵を作成し、配布しなおさなければならなくなる。


大元の記事によれば、新たな秘密鍵を作成するには、7人中5人のカードキーアクセスによって承認される必要があります…ということのようだ。


確かにロマンを感じない訳ではないけども、今回の記事は、ツッコミ所が多すぎるのだ。

■WWW限定ではない

 元記事に"World-Wide-Web"という文字列が入っているからなのだろうけども、DNSはほぼすべてのInternetサービスが利用している。

例えば、今後の期待だが、DNSSECがキチンと広まれば、信用の無いドメインからのSpamメールを遮断できるようにもなる。これは非常に大きい。※参照

■別にその7名は、国際的な力関係を表すものではない

 何故日本人が居ないの?日本はこれだから…的な感想は、実に的外れ。

これらのシステムは、ICANN(1998年に設立された民間の非営利法人…だけど、実質は米商務省の影響が大きい)によって選定されているのだろうし、逆にアメリカ色をよくここまで薄めたもんだと感心するくらい。

ちなみに、DNSルートサーバそのものの運用管理者は、13箇所中10箇所がアメリカ所属団体が主導。残りはEU2箇所、日本が1箇所。物理的なシステムの管理者、という意味では更に多岐に渡る。

■そもそもこのシステムが攻撃されても、Internet自体が停止する訳ではない

 証明書の鍵が漏れて、DNSの詐称が可能となったとしても、現時点でキャッシュポイゾニングを行うには、対象のドメイン脆弱性のあるDNSサーバソフトを使っていて、なおかつそのサーバへの大量アクセスによるクラッキングが必要。

 更に言えば、そもそもDNSSECの普及率自体がまだ高くない。現時点ではそもそもその汚染される可能性のある証明書システム自体が使われていないのだ。


確かに、記事としては面白いし、物語性を高める記述は楽しいと思われるけども…

多くの技術者が、よってたかって20年近くを費やして作り上げた現在のインターネット基盤を、こんなしょっぱい記述で、脆弱なモノとして扱って欲しくない…というのが、正直な感想だったりする。


----

【追記】2010/08/01 10:50

まさか一気にこれだけのアクセス、ブクマ、つぶやきを頂くエントリになるとは思っておりませんでした。下記の通り、思い込みの強いおっさんによる急ぎエントリであったため、この内容でも色々と判り辛い点があること、余計な事を書いていることをお詫びします。


ずっとあちこちのコメントなどを拝見しておりましたが、今回のネタとなったシステムについて、一番判りやすい情報は、恐らくコチラだと思います。

ルートゾーンにおけるKSKの管理方法

http://jprs.jp/dnssec/doc/root_tcr.html

----



※急ぎエントリを書いたからこうなる!ツッコミポイント晒し場所※

Twitterにて指摘、ギズモードを「Gizmode」と表記してたのを修正。もちろん正しくは「Gizmodo」

ブコメにて指摘、「シングルエンドポイント」 → 「Single Point of Failure(SPOF)」に修正。自己流の言葉を慎みましょう、俺。

■「(更にタチの悪いことに、この攻撃の場合、鍵や証明書などによって、アクセスサイトの存在や、安全な暗号でアクセスしている事を証明する技術をパスしてしまう。)」という記述は、詳しく言えば間違い。きちんと証明書関連の警告と、アクセスするドメインを確認する人であれば、おかしいな?と思えるエラーは出ると思われる。…が、Webアクセスでそれをしてる人を見たことがあるかというと、疑問ではある。

■コメントにて指摘、「信用の無いドメインからのSpamメールを遮断」の件に斜線

DNSSECの普及が、今現在設定導入が進む、SenderIDなどの「メール出自を明らかにする」技術の補強と推進にも繋がる…と考えて記述した一文ですが、確かにDNSSECが持つ、「ドメイン詐称を防ぐ技術」とは異なるので、斜線を引きます。

迷惑メールに悩まされる運用者としては、主に海外にある、DNSのメンテナンスをせず、またOutbound Port25 Blocking(プロバイダに繋がった一般クライアントから、直接メールを送信するのを防ぐ)の導入もしないプロバイダIPからのメールなんか、窓から投げてしまえと思ってしまったりも。まぁ、Internetの通信の自由を保障する面との兼ね合いがあるのは承知しているのですが。

yoshitsune555yoshitsune555 2010/07/31 20:47 >現時点ではそもそもその汚染される可能性のある証明書システム自体が使われていないのだ。
ですよねー。
実際には、7人だけでどうにかできるものでもないですし。

HSMの稼動を行う14名のCrypto Officer(CO)と 、HSM内でKSKの暗号化に使用した鍵のバックアップを分割保管する7名のRecovery Key Share Holder(RKSH)の合計21名で構成されています。

Mu_KuPMu_KuP 2010/07/31 21:16 >>yoshitsune555 さん
情報ありがとうございます〜。
ツッコミを入れたくてささっと書いたエントリのため、もうちょっと深く考察したかったのですが(汗)こういう情報はほんとに助かります。
今回のエントリを書きつつ考えてみましたけど、DNSSECが十分に広まり、今よりもずっとお金などが流通する後の世界まで考えての、こういった仕掛けなのでしょうね。

しかしまぁ、元記事のタイトル。WWWを再起動とは、フイたもんですw

とおりすがりとおりすがり 2010/07/31 23:33 蛇足でしかないですが、Crypto Officerの一人として日本からJPRSの民田雅人さんが選ばれています。
http://jprs.co.jp/press/2010/100617.html

Mu_KuPMu_KuP 2010/08/01 00:08 >>とおりすがり さん
情報ありがとうございます。
上のyoshitsune555さんの話と合わせると、中々興味深い話です。
どういう過程で、こういう担当が決まるのかという辺りに、面白いドラマもあるのかもしれませんね。

banrbanr 2010/08/01 01:10 えっGizmodoのライターってこんな莫迦な事言っちゃってんの?と思い早速検索かけたら
もうこんなエントリが。しかし2000万PV/月強もあるサイトでこんな阿呆な記事載せるは…もしかして確信犯なのかね。

smbdsmbd 2010/08/01 02:48 > 例えば、今後の期待だが、DNSSECがキチンと広まれば、信用の無いドメインからのSpamメールを遮断できるようにもなる。これは非常に大きい。
どうやってですか?DNSSECはEVSSLのようにドメインの出自の信頼性を担保するものではないですよ

Mu_KuPMu_KuP 2010/08/01 03:44 >>banr さん
確信犯なのか、直訳していったら何故かああいう内容になったのかは、微妙なラインですね。元記事を手繰っていっても、そもそも英語の時点で?な部分が見受けられるので。。
ただ、完璧とは言わないまでも、多少の知識は入れておいて欲しいなぁとは思ったり。しがないおっさん技術者でも、誤りがありつつもこの程度の内容を書く位の事は出来るわけですから。。

>>smbd さん
ご指摘ありがとうございます。どうも、DNSの新技術の普及や、ソフトウェアのバージョンアップが遅い事(とはいっても、日本のISPは対応は素早くて、問題は企業や団体で立ててるDNSサーバにあることが多いですが)に苛立って、エントリで指摘すべきこととは異なる部分まで書いてしまったようです。斜線を引いて※欄にちょいと触れました。
もし良ければ、それらの違いや最新SPAM防御などについて、判りやすい情報へのリンクなどがあれば、教えていただければ幸いです。

joyjoy 2010/08/01 06:48 あそこは、全然理解しないで書いてるだろ?って記事が多いからね。

Mu_KuPMu_KuP 2010/08/01 10:59 >>joy さん
普通に取り上げればツマラナイ仕掛けの話を、まぁよくここまで誇張して広げたもんだなーとは思います^-^;理解しているかどうかは、非常に微妙なラインで。
けど、システム屋的にはちょっとアレですねー。

smbdsmbd 2010/08/01 17:23 DNSSECを導入することによって、SPFやDKIMのDNSによる宣言をキャッシュポイゾニングにより不正にしてしまうことを防ぐのはできますが、spammerがきちんとSPF宣言をしてDKIM署名をして自分のドメインをFromにしてspamを投げてくればDNSSECは関係ありませんし、DNSSECはそのドメインの評判に関してなんら評価を与えません。

Mu_KuPMu_KuP 2010/08/01 18:34 >>smbd さん
なるほど、確かにそれだけの処置をしてまでspamを投げつけられると、フィルタしようがないですね。ドメイン毎のホワイトリスト/ブラックリストという概念が有効にはなるのかな?…いや、ドメイン取得が簡単すぎる現状では、あまり意味がないか。
スパマーが自身でドメインを保持し、DNS設定をコントロールすることが、割と簡単に出来てしまう状況というのも、ちょっと悲しい感じもしますね。
説明、ありがとうございました。^-^

fafa 2010/08/04 19:08 こんにちは。
> アクセスすべきIPアドレス(www.xxx.yyy.zzz)へ変換したり
wwwで始めると少しややこしいと思います。

Mu_KuPMu_KuP 2010/08/04 23:06 >>fa さん
確かにその通りでした!ちょいと考えて、表記を変えてみました。伝わりやすい…かな?
指摘、ありがとうございました^-^