1. ルートゾーンKSK/日本では/総務省

影響が大きいと思われる「総務省の通知」を分析する。-- ToshinoriMaeno 2017-07-28 23:08:18 「DNSSEC検証」と「DNSSECを無効にしている」に注目する必要がある。

/経産省も

ICANN公式ページ： https://www.icann.org/resources/pages/ksk-rollover　/icann

ルートゾーンKSKのロールオーバー(日本語） https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja

どちらも、フラグメント問題には触れられていない。だが、...

1.1. 総務省資料

総務省の報道資料は『「DNSにおける電子署名鍵の更改について」というタイトル

• <キャッシュDNSサーバーを運用する者が講ずべき措置について解説した資料> を作成』

したとある。（この解説資料がいろいろ問題を含む。）

/資料 を作成して、周知を実施だそうです。

• 対象は「キャッシュDNSサーバーを運用する者」
• 内容は「講ずべき措置」

とあるので、騒ぎ過ぎという批判をしておく。

「キャッシュDNSサーバー」が理解できないひとは読まなくてもよろしい。 -- ToshinoriMaeno 2017-08-22 11:57:48

キャッシュDNSサーバーを運用する者が講ずべき措置について解説した資料（別紙2PDF）を作成し、
内閣サイバーセキュリティセンターの協力の下、
各府省庁担当部局を通じた国内関係者への周知を実施しております。 

DNSSECを使っていなければ、原則関係ないにも関わらず、

• すべてのキャッシュDNSサーバ運用者が関係するかのように書かれている。(騒ぎ対らしい。）

担当課のひとが『DNSSECを推進したいため』の「嘘も方便」だといったらしい。(伝聞）

• 信じがたいが、そこまで堕落しているのだろうか。

-- ToshinoriMaeno 2017-08-06 00:08:49

報道資料： http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html

• これの別紙２（解説資料だと言っている）

総務省の発表はDNSSECを使っていなくても影響があると言っているようだ。-- ToshinoriMaeno 2017-07-28 22:57:08

DNSにおける電子署名鍵の更改について 平成２９年7月１４日

• 総務省総合通信基盤局データ通信課

http://www.soumu.go.jp/main_content/000497803.pdf

1.2. NISC

https://www.nisc.go.jp/conference/cs/taisaku/ciso/dai13/pdf/13shiryou03.pdf

ＤＮＳの世界的な運用変更に伴い必要となる対策について 
資料３－１ ＤＮＳの世界的な運用変更に伴うキャッシュＤＮＳサーバーの設定更新の必要性について（総務省資料） 
資料３－２ 同 （ＩＴ総合戦略室・ＮＩＳＣ資料） 

ＤＮＳの世界的な運用変更に伴うキャッシュＤＮＳサーバーの設定更新の必要性について

• - 内閣官房内閣サイバーセキュリティセンター（ＮＩＳＣ）

  • https://www.nisc.go.jp/active/kihon/dns_taisaku.html (キャッシュＤＮＳサーバーを運用する方宛）

• https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf

 ※DNSSECを無効にしている方も下記影響・対応の②についてご確認ください。

影響 
①検索結果の正当性が確認できなくなり利用者のネット利用に不具合が生じる。 
②検索結果の受信データ量(UDPメッセージサイズ)が増大することから、
  利用者のネット利用に不具合が生じる可能性がある。 

• この部分がなにを指しているのか。

なお本年9月19日までに必要な処置が講じられない場合、
Webアクセスやメール送信などができない利用者が生じる可能性があります。

• パニックを起こしたいのだろうか。-- ToshinoriMaeno 2017-07-27 02:12:54

ＤＮＳの世界的な運用変更に伴い必要となる対策について www.nisc.go.jp/conference/cs/taisaku/ciso/dai13/.../13shiryou03.pd...

• 総務省資料平成２９年７月１４日

「DNSSEC検証の有無に関わらず」という表現(DNSSECのBIND用語を知らないひとには誤解される表現)が
「DNSSECを無効にしていても」影響を受けるという表現(誤報)に変化して伝わっている。

1.3. DNSSEC検証

1.4. 大迷惑

大部分のキャッシュサーバーがDNSSEC enable状態であれば、実害は少ないのだが、 私のようにDNSSECをまったく使っていないものには大きな迷惑だ。:-< -- ToshinoriMaeno 2017-07-28 13:42:59

フラグメント化に関連して、DNSSECを使っていなくても問題が起きるという風説がある。(これは「DNSSEC検証」だ）

• /janog39　1月20日　JPRS 米谷

• 「KSKロールオーバーとは関係なく、大きいパケットの問題がある」、という意味なら正しい。

「KSKロールオーバーが原因で、DNSSECを使っていなくてもフラグメント化問題が起きる」という説は怪しい。

　　フルリゾルバーはDNSSEC検証の有無に関わらずDNSKEYを取得しているため

「DNSSECをenableしていれば」という条件が抜けている。これが問題を引き起こしたのではないか。-- ToshinoriMaeno 2017-07-28 23:14:54

1.5. 総務省通知

この別紙2がおかしい。--> 総務省総合通信基盤局データ通信課 http://www.soumu.go.jp/main_content/000497803.pdf

別紙２
DNSにおける電子署名鍵の更改について
平成２９年7月１４日
総務省総合通信基盤局データ通信課

https://www.nisc.go.jp/conference/cs/taisaku/ciso/dai13/pdf/13shiryou03.pdf

• ２．対応が必要となる者
  • DNSを用いた検索を実際に行う「キャッシュDNSサーバー」の運用者全て

これに含まれるNISCの資料に疑問がある。

これか： 9/15ページ

○ また、ルートKSKの円滑な更改のために、一時的に新旧両方のKSK公開鍵を送信する期間がある。
　当該期間は、送信されるデータ量が増大し、IPフラグメントが生じることがある
　※ISP等の事業者は、自らのDNSの応答に係る経路上の機器の設定が
　　IPフラグメントに対応可能か否かを事前に確認しておく必要がある

DNSSECを利用するリゾルバーの話だ。

1.6. 最大の誤解

「ルートDNSサーバーの挙動」についてもおかしな記述がある。/slide

※ なお、ルートDNSサーバーは、応答相手のDNSSEC対応・非対応に関わらず公開鍵情報を送信してしまうため、
　　DNSSEC非対応の機器についてもIPフラグメントによる問題が生じる可能がある。

この部分がおかしい。DNSの動作を理解していないひとが書いたものか。

• DNSKEYを問い合わせているわけではないのに、DNSKEYが返ってくることは考えづらい。観測したことはない。

http://www.soumu.go.jp/main_content/000497803.pdf

• 不完全な資料

1.7. ここが震源か

米谷嘉朗 2017年6月28日 DNSOPS.JP DNS Summer Day https://dnsops.jp/event/20170628/20170628-RootKSKRO-02.pdf

• スライド 9/16

影響を受ける対象者とその影響
 • フルリゾルバー運用者
  – 応答サイズが増加したDNSKEYがIPフラグメントにより受け取れなくなる可能性がある
 •  DNSSEC検証の有効・無効に関係なし
 •  DNSSEC検証を有効にしている場合、DNSKEYが受け取れないとすべてのDNSSEC検証が失敗し名前解決できなくなる

• ここのふたつ目の記述がおかしい。「DNSSEC検証」がなにを指すか、が問題なのかも。

  • DNSSECを使っていないひとに分かるように書いてないのが最大の問題だ。-- ToshinoriMaeno 2017-07-26 06:15:41

ルートゾーンKSKロールオーバーによる影響とその確認方法について

• 株式会社日本レジストリサービス（JPRS） 初版作成 2017/07/10（Mon）

https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html

ルートゾーンKSKロールオーバーの一部のステップにおいて、ルートサーバー
のDNSKEYリソースレコード（DNSKEY RR）の応答サイズが増加します。
これによりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性があります。

なお、その可能性はDNSSEC検証の有効・無効には関係ありません。

• 最後の文がどういう意味なのか。なにか、誤解があるのではないか。

1. IPフラグメントが発生する理由はroot zone KSK変更だけが理由ではない。
   • DNSSECの利用が発生条件ではないのは確かだが、誤解を招く表現だ。
   • DNSKEYが関係するのはDNSSECを使っている場合であろう。
2. IPフラグメントが発生したから、返答が受け取れなくなるというものでもない。
   • ルートゾーンKSKロールオーバーの概要と影響の確認方法

     <https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf>

1.7.1. JPNIC

最終更新2017年5月31日 https://www.nic.ad.jp/ja/translation/icann/2016/20160722.html

• 「DNSSECバリデーションを行っているリゾルバーを利用している人が影響を受ける」は正しい。

1.7.2. 影響

影響があるのはどういう場合なのかの説明がない。

これによりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性があります。
なお、その可能性はDNSSEC検証の有効・無効には関係ありません。

この記述がおかしい。誤解されている。

• DNSSECを使っていないリゾルバーにまで影響するように読めてしまいます。
  • 「DNSSEC検証を無効」にしていると影響するのだろうか。 root server情報をpriming操作するときに、DNSSEC利用の有無に関係なく、 DNSKEYを検索するリゾルバーがあるらしい。

-- ToshinoriMaeno 2017-07-21 23:25:42

DNSの応答の「IPフラグメントが発生する」のはKSKロールオーバーだけではない。

• DNSSECを使っていれば、発生している可能性は以前からある。

-- ToshinoriMaeno 2017-07-23 11:49:00

▼重要日付（ステップ開始日）と継続期間

  ・2017年9月19日～2017年10月11日（ZSKロールオーバーに伴う新ZSKの事前公開）
    ※この期間、DNSKEY RRの応答サイズが1414バイトに増加
  ・2017年10月11日（新KSKでの署名開始）
  ・2017年12月20日～2018年1月11日（ZSKロールオーバーに伴う新ZSKの事前公開）
    ※この期間、DNSKEY RRの応答サイズが1414バイトに増加
  ・2018年1月11日～2018年3月22日（現KSK（KSK-2010）の失効のための事後公開）
    ※この期間、DNSKEY RRの応答サイズが1424バイトに増加

総務省(NISCの受け売りならまだ良かったのに） http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html

-- ToshinoriMaeno 2017-07-28 23:08:18