CVE-2012-どさにっき 〜2012年11月中旬〜

by やまや
<< = >>

2012年11月18日(日)

無題

_ 土曜日は雨降りだったので出かけるつもりはなかったんだけど、やっぱりじっとしていられなくて夜のうちに飛び出す。ちうことで茨城方面へ。花貫渓谷→竜神大吊橋→袋田の滝(ここまで茨城)→竜門の滝(これは栃木)。

_ 花貫渓谷はこの構図の写真をよく見るが、よほど想像力を働かせないとこの構図以外は無理だとわかった。

袋田の滝にはもう何度も来てるが紅葉時期は初めて。そしてこんなに人がたくさんいるのを見たのも初めて。

烏山の竜門の滝。駅から歩いてすぐの人里近い場所にあって水量も多くて豪快な滝なんだけど、なぜか観光地としては無名。夏に来ると近所の子供が滝壷で水遊びしてたりする。


2012年11月19日(月)

DNSSEC ロールオーバー不要論

_ 水曜日、また どこぞで DNS について喋ります。まだ空きはあるようなので、平日なのにヒマを持て余してるような人はどうぞ。今度は DNSSEC の話。

_ で、当然のごとく鍵のロールオーバーについても喋るんだけど、うーん、でもこれ、かえってトラブルを助長するような気がするんだよな。DNSSEC の大半のトラブルはロールオーバー時に発生してるわけなんで、鍵を更新しようとしなければ障害なんてそもそも起きなくなる。鍵更新はせず、日々の運用は定期再署名だけ。ふだんはロールオーバーしなくてもいいけど、どうしても必要になったらこういう手順でやるんだよ、ぐらいに覚えておけばいい、ぐらいの考えに最近は傾きつつある。

_ ルートの KSK は1年ごとではなくもっと長い間隔でしか更新しないし、SSL のルート証明書なんか有効期間20年とか30年とかのものがゴロゴロしてる(実際にそれだけの期間ずっと使い続けるのかどうかは知らないけど)。これらは鍵更新のコストが末端よりもかなり高いからでもあるんだけど、そのぐらいの間隔の更新でも暗号強度的には問題ないという裏付けがあるからこそそうしてるわけでもあり。SSH の鍵を更新するという話はあまり聞かないけど、あれだって永久のものではなく、ちゃんと更新しなくちゃいけないんだぞほんとは。DNSSEC (に限らず暗号全般において)の強さは信頼の連鎖のいちばん弱いところに依存するので、ルートが KSK を数年おきにしか更新しない以上、末端ドメインがそれより高い頻度で鍵を更新しても強度的にはあんまり意味ないんだよね。

_ ぶっちゃけ、KSK を毎年、ZSK を毎月更新するなんてのは、安全上の理由じゃないんだ。たまにしかやらない作業は手順を忘れがちだからいざ必要になったときに失敗してしまう、だから手順を間違えないように日頃から練習しておきましょう、って理由が大きいんだ。が、その日頃の練習でトラブルを起こしてるようでは本末転倒だ。もちろん、鍵が盗まれたり漏れたりすれば更新しなければならないので、ロールオーバーがまったく不要とはいわないけど、SSL や SSH とは違って DNSSEC はサーバ上に秘密鍵はなくとも動くわけで、hidden master のような外部からの侵入が難しい構成にすることで可能性はだいぶ下げられる。そういう緊急ロールオーバーをせざる得ない状況に追いこまれてそれに失敗する可能性と、定期ロールオーバーに失敗してコケる可能性を天秤にかけると、圧倒的に後者の可能性の方が高いんじゃなかろうか。

_ もし権威サーバの引っ越しなどで NS レコードを変更するような機会があれば、そのときは鍵は使いまわさずに新しく作りなおす、ぐらいはした方がいいかもしれない。それでもクソ真面目にめんどくさいロールオーバー作業するのではなく、いったん DNSSEC off してから引っ越しして、その後あらためて新しい鍵で DNSSEC をはじめる、てな手抜き更新でもたいていのサイトでは十分なんじゃないか。

_ 明白にデメリットがあるのは、KSK 秘密鍵が漏曳してしまって、かつその漏曳した事実に気がついていない場合、あるいは力技で鍵が解析されてしまった場合。定期的にロールオーバーしていれば、漏曳したことに気がつかなくても鍵更新とともにやがて漏曳した鍵も無効になるが、ロールオーバーしないと漏れた鍵は永遠に有効なまま。ただ、これは前述のとおり hidden master などの侵入されにくい構成にすることである程度防げる。現実的にそのようなことが起きる可能性を考えたら、ゼロとは言わないけど相当低いんじゃないだろうか。まあ、それを言ったら、port randomization をしていれば毒入れに成功する可能性は相当低いから DNSSEC 自体いらんだろ、という話にもなりかねんが。

_ もちろん、セキュリティ的に重要なところまでこんないいかげんな運用でいいとは言わない。が、それほど重要でないドメインも厳格に運用するのが当然、ってのも違うと思うんだよね。要は、そのサイトでどの程度のセキュリティが求められるのかを考慮して、それに応じた運用をすればいいんじゃないかと(その結果 DNSSEC すら不要という結論になるのもまたありうる)。で、世間一般ではそこまで厳格に管理しなくちゃならないようなところってそんなに多いのかな。かなり少数だよね。

_ …などという手抜き運用を推奨する話を有料セッションで喋る度胸はとてもないので、ここに吐き出しておく。本番ではちゃんとロールオーバーしようぜ、という話をします。つーか、詳しい解説が web やら書籍やらあちこちに転がってるロールオーバーの話なんて5分で流して、もっと別のことを時間をかけて喋ります。


<< = >>
やまや