• English
  • サイトマップ
株式会社日本レジストリサービス(JPRS)

用語辞典

Top  >  トピックス  >  2008年  >  JPRSが米国商務省によるコメント募集に対して意見を提出

トピックス: 2008年

JPRSが米国商務省によるコメント募集に対して意見を提出

2008/11/25

2008年11月22日、JPRSは米国商務省電気通信情報局(DoC NTIA)が2008年10月9日に発表したコメント募集に対して、以下の通り意見を提出しました。
今回のコメント募集はDNSSECの推進に関するもので、JPRSはDNSSECの迅速な普及を支持する立場からコメントを提出しました。

コメント対象文書

コメントの募集と提出されたコメントの一覧


JPRSがNTIAに提出したコメント
To: Office of International Affairs
National Telecommunications and Information Administration, U.S.
Department of Commerce

To whom it may concern,

Greetings. I am Kentaro Mori of JPRS (TLD registry of .JP), currently in charge of the project for DNSSEC production implementation to .JP zone.

On behalf of JPRS, I would like to provide a feedback to your public comment request about DNS security of docket number: 0810021307-81308-01 in the Federal Register (October 9, 2008 Volume 73, Number 197, Page 59608-59612).

Please find the comments below, which are our thoughts basically related to your questions.
----------------------------------------------------------------------
Comments with regards to Questions on DNSSEC Deployment Generally:

DNSSEC is the technology that the Internet community has been cooperatively designing and verifying for a long time, carefully considering backward compatibility with the existing DNS, its performance issues, conformance issues with the current Internet structure and so on. We consider DNSSEC to be the only practical solution we are currently able to take to protect DNS fundamentally from data manipulation attempts.

Therefore, considering the current situation, where the existence of apparent risks for DNS has been widely recognized, we support the immediate preparation of DNSSEC deployment. Without already knowing obvious ability to enforce DNS security, to start verifying other methods which replace DNSSEC or are combined with DNSSEC would be a waste of time and resources.

To facilitate deployment, an effort by the root/TLD community to enlighten stakeholders (end users, software vendors, ISPs, Registrars, etc.) will be required, in addition to signing the root zone.

Comments with regards to General Questions Concerning Signing of the Root Zone:

From the standpoint of properly moving the Internet forward with timely response to security demands, those who are involved in root DNS or TLD DNS administration have great responsibility to the community. Proactively deploying DNSSEC into the root/TLD zones would be one of the key elements in answering these demands and is considered to be the right thing to do in line with their roles.

It would become difficult for users to replace their trust anchors with the root key if alternative technologies (such as DLV or ITAR) have been widely spread prior to the launch of the signed root zone. To deploy DNSSEC in accordance with the original design, signing of the root zone in the earlier deployment stage will be very important.

Comments with regards to Operational Questions Concerning Signing of the Root Zone:

Operation flow should be designed so as to avoid the situation where a human error would lead to catastrophe, such as a whole TLD zone vanishing from DNSSEC-aware resolvers due to mismatching of TLD keys in a delegation point.

Meanwhile, it is highly important that the operation flow has the ability to update the root zone immediately, especially in urgent situation such as the case of TLD key compromise occurring.

The flow model that transfers root keys or zone data between multiple entities may have more difficulties than the other models, in keeping data security throughout the communication channels, operational efficiency for periodical root key rollover and rapid reaction capability in the event of emergent TLD key rollover.

The purpose of DNSSEC deployment is to improve the current situation where DNS response can be malformed by unauthorized entities. Thus, it is desirable to implement a flow which extends naturally from the current one.
----------------------------------------------------------------------
We hope this helps you move the deployment activities for the root zone signing forward to whatever extent. We also appreciate you giving us this opportunity.

Sincerely,

Kentaro Mori, Service Development department
Japan Registry Services Co.,Ltd. (JPRS)
E-Mail: kentaro@jprs.co.jp


コメント本文部分の日本語参考訳
DNSSEC 普及に関する一般的質問に関連したコメント:

DNSSEC は、DNS に対する後方互換性、性能への影響、現インターネッ ト構造との整合性などを慎重に吟味しながら、インターネットコミュニテ ィが長期にわたり協力し、設計・検証してきた技術である。我々は、現時 点では、DNS に対するデータ偽造行為を抜本的に防止するという観点で、 DNSSEC が唯一の現実的解決策であると考えている。
従い、DNS への明白な危険性の存在が広く認識されてしまった現状を鑑み、 我々はDNSSEC 普及への迅速な準備を支持する。DNS のセキュリティ向 上への効果がまだ明確となっていない別方式をDNSSEC の代わりに採用 する、もしくは、それら方式とDNSSEC との組み合わせの検討を開始す ることは、時間と労力のロスが大きいと考える。

DNSSEC 普及促進のためには、ルートゾーン署名に併せて、ルート/TLD コミュニティによるステークホルダ(エンドユーザ、ソフトウェア開発者、 ISP、レジストラなど)に対する啓発活動も必要である。
ルートゾーン署名に関する一般的質問に関連したコメント:

インターネットをその時々のセキュリティ上の要請に応じて適切に発展さ せていくことにおいて、ルートDNS/TLD DNS 管理関係者は大きな社会 的責任を負っている。ルート/TLD ゾーンを率先してDNSSEC に対応さ せていくことは、この要請に答えるための一つの重要事項であり、自らの 役割に相応しい適切な行為であると考える。

ルートゾーンの署名に先立ち、(DLV やITAR などの)代替方式が広範に 拡がってしまうと、ユーザにおけるトラストアンカーのルート鍵への置き 換えが困難になるだろう。DNSSEC を本来の設計に基づいて普及させてい くためには、普及初期段階でのルートゾーン署名が非常に重要であろう。
ルートゾーン署名の運用方式に関する質問に関連したコメント:

TLD の委任側と被委任側の鍵が一致しないため、DNSSEC 対応リゾルバ からそのTLD ゾーン全体が見えなくなってしまうなどの、人的ミスによ る致命的な状況の発生を防ぐことのできる運用方式を設計すべきである。

他方、TLD 鍵が漏洩した場合など特に緊急な場合においては、ルートゾー ンを迅速に更新できる運用方式であることも非常に重要である。

これら理由により、複数組織間でルート鍵やゾーン情報のやり取りを行う モデルは、そうでないモデルに比べ、通信路全体におけるデータの安全性、 定期的なルート鍵更新の運用効率、TLD 鍵の緊急更新に際しての迅速な対 応能力の維持がより困難となるだろう。

DNSSEC を普及させる目的は、権限を持たない存在がDNS 応答を偽造で きる現状の改善である。このため、運用方式は、現状の方式を自然な形で 拡張したものとなっていることが望ましい。

Copyright©2001-2016 Japan Registry Services Co., Ltd.