== ルートゾーンKSK/日本では/JPRS == <> ---- <> おかしな記述の原点はこれか、これが参照している文献らしい。-- ToshinoriMaeno <> https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html {{{ ルートゾーンKSKロールオーバーの一部のステップにおいて、ルートサーバー のDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加します。 これによりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性があります。 なお、その可能性はDNSSEC検証の有効・無効には関係ありません。 }}} この文書の元になったと思われる以前の文書は[[../]]を見よ。   https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja#timeline -- ToshinoriMaeno <> KSKとZSKとを取り違えている記述もあるようだし、書いた側も理解していないのだろう。  私が取り違えていた可能性もある。-- ToshinoriMaeno <> DNSKEYレコード(返答)の増大は定期的なZSKロールオーバーが理由だ。  それがたまたまKSKロールオーバーの波と重なるために大波が発生したということ。-- ToshinoriMaeno <> https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf 「重要日付と継続期間」の図で赤字になっている部分 (ZSKはこの期間中にはロールオーバーをしないだろうという思い込みがあったかも。) DNSSEC Update 2016年12月1日 Internet Week 2016 DNS DAY 米谷嘉朗 https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf == 追加説明 == いろいろ質問があったらしく、[[/追加説明]]がでた。(ひと月後だ)    https://jprs.jp/tech/notice/2017-08-10-root-zone-ksk-rollover-qa.html この部分を読み間違えていた可能性がある。(紛らわしい書き方だが)  DNSKEYを(積極的に)queryする場合を意図しているのであれば、関係ないは正しいが、 わざわざ書くようなことであろうか。(結果として、総務省なども誤解下。) -- ToshinoriMaeno <>   == JPRS文書のまやかし == JPRSが参考リンクにあげているICANNのページは大量で複雑なので、JPRSも読みきれていない可能性もある。w  大事な点を読み損なっているのかも。   *「IPフラグメントが発生し」: 発生するとはかぎらない。 *「正しく受け取れない可能性がある」: 可能性のあるなしだけが問題ではない。 * 「その可能性はDNSSEC検証の有効・無効には関係ありません」: これが最大の詐欺的文章 == DNSSEC検証時 == [[/slide]] == 分析 == === DNSSEC検証が有効な場合 ===  1. リゾルバーは検証のためにDNSKEYを必要とする。 2. このため、root zone serverに対しDNSKEYを問い合わせる。 3. 返答でフラグメントが発生して、それを正しく処理できないならば、受け取れない。  4. 検証に失敗する。その後はDNSSEC検証に「影響」 === DNSSEC検証が無効な場合 ===  1. リゾルバーは検証しないので、DNSKEYを必要とはしない。  2. DNSKEYを問い合わせるかどうかは、リゾルバーに問い合わせるクライアントがあったときに限る。        つまり、あるとはかぎらない。  3. 問い合わせがあって、DNSKEYを問い合わせた場合に、正しく受け取れなかったとしても、     影響を受けるのはクライアントであって、リゾルバー自身ではない。 これらを区別しないで、「その可能性はDNSSEC検証の有効・無効には関係ありません」と書いたのは  「騙してでも、DNSSECを推進する」という意図が働いたと思う。 -- ToshinoriMaeno <> なぜDNSSECを推進するのか。利益を得られるのはだれか。 ---- ルートゾーンKSKロールオーバーの概要と影響の確認方法 (最終更新:2017年7月25日) https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf {{{ ルートサーバーのDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加してIPフラグメントが発生し、 フルリゾルバー(キャッシュDNSサーバー)が応答を受け取れなくなる可能性があります。 なお、その可能性はDNSSEC検証の有効・無効には関係ありません }}} この部分の「DNSSEC検証」の有効・無効というのは、DNSSECを使っているかどうかという意味ではない。 DNSKEY RRはqueryしなければ、返答で送られるものでもない。 -- ToshinoriMaeno <> == なぜTCPフォールバックに触れないのか == UDPで長大パケットを受け取らせるのは、フラグメントすり替え攻撃を受けやすくなります。  DNS/TCPを使えばこれらの弱点を回避できます。なぜ、そのことを書かないのでしょう。 -- ToshinoriMaeno <> == 資料 == Root KSK rollover outreach activities in Japan and findings https://schd.ws/hosted_files/icann572016/18/Yoshiro-Yoneya-20161101-JPRS-DNSSEC-Act-03.pdf DNSSEC Update 2016年12月1日 Internet Week 2016 DNS DAY 米谷嘉朗 https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf [[/iw2016]] DNSのメッセージサイズについて考える (2013年11月28日Internet Week 2013 ランチセミナー) https://jprs.jp/tech/material/iw2013-lunch-L3-01.pdf   DNSのUDPメッセージサイズ ??? DNS関連ホットトピックス 2014年2月1日IPv6 Summit in SAPPORO 2014 https://www.iajapan.org/ipv6/summit/SAPPORO2014/pdf/JPRS_SAPPORO2014.pdf 第一フラグメント便乗攻撃に触れられている。 https://www.janog.gr.jp/meeting/janog39/program/kskro.html IPフラグメントがやってくる!準備できていますか? 概要 2017年7月から2018年3月にかけて、一定の期間、Root DNSサーバーか らの応答パケットがIPフラグメントを起こす大きさ(1280オクテット を超える)になります。これは、DNS RootゾーンのDNSSEC鍵署名鍵の 鍵交換(Root KSK rollover)の実施による影響です。 {{{ この大きな応答パケットは、DNSSEC検証の有無に関わらず問い合わせ を送ったすべてのフルリゾルバー(キャッシュDNSサーバー)に返っ てきます。自分のフルリゾルバーはDNSSEC検証していないから無関係 だと思っているあなた、実は無関係ではないのです! }}} 本LTでは、自分のフルリゾルバー(及びそのフロントのネットワーク 接続機器を含む)がIPフラグメントに対応しているかの確認方法、 及びRoot DNSサーバーからの応答パケットが大きくなる重要日付と継 続期間を説明します。 {{{ Root KSK rolloverの概要 今すぐできる自分のフルリゾルバーがIPフラグメントに対応しているかの確認方法 Root DNSサーバーからの応答パケットが大きくなる重要日付と継続期間(複数回発生) コミュニケーションチャネル・有益リンクの紹介 }}} 発表者 米谷嘉朗 (株式会社日本レジストリサービス(JPRS)) https://www.janog.gr.jp/meeting/janog39/application/files/5014/8471/4979/JANOG39-LT-yoneya.pdf {{{ フルリゾルバーはDNSSEC検証の有無に関わらずDNSKEYを取得しているため }}} という記述は正確ではない。 -- ToshinoriMaeno <> == 資料 == DNSSEC導入に関する世界的動向 2010年11月25日DNS DAY, Internet Week 2010 佐藤新太 https://www.nic.ad.jp/ja/materials/iw/2010/proceedings/d2/iw2010-d2-07.pdf {{{ 2010年に急速に展開が進んだDNSSEC }}} 世界のDNSSEC導入の概況 • ルート– 2010年7月15日よりDNSSECの正式運用開始