2010-07-31 Webを再起動する7人?んな馬鹿な話があるかいw 
Netの世界に転がる、様々なネタを見ては楽しむ、「Newsサイト」として、最近ほぼ毎日拝見している
のエントリーに、妙な記事が載っていた。
WWWへのアクセス権を持つ7人
http://www.gizmodo.jp/2010/07/seven-people-have-been-entrusted-with-the-keys-to-the-internet.html
抜粋:
上の画にあるこのカード。世界で7人だけが保持している、大災害時にWold Wide Webを再起動させる力を持つカードなのです。
んなアホな、Netの世界にシングルエンドポイント(「1箇所のシステムがサービスを提供できなくなると、システム全体が止まる」)がある訳無いし、ましてやWWW−http/httpsプロトコル限定とか有り得ない!
ブクマ、Tweetを集めて、皆でカコイイカコイイ言っていたので、ちょっと幾らなんでも、なぁ…と思い、以下のようなはてブコメを残してから昼寝してたのだが
Mu_KuP …ネタだよね?/どう考えてみても、今のInternetにシングルエンドポイントはないし…(AS/DNS/その他)/つか、WWWだけに限定?訳判らん記事。
どうにも納得が行かず、色々と調査をしてみた。
Newsの流れとしては、
「An Order of Seven Global Cyber-Guardians Now Hold Keys to the Internet」
POPSCI : http://www.popsci.com/
「Bath entrepreneur 'holds the key' to internet security 」
http://news.bbc.co.uk/local/bristol/hi/people_and_places/newsid_8855000/8855460.stm
の2つの記事が、
「Seven People Have Been Entrusted With The Keys To The Internet」
Gizmode US : http://gizmodo.com/5597964/seven-people-have-been-entrusted-with-the-keys-to-the-internet
に流れて、上の和訳記事になったらしい。
この7人が何を指していて、何を守れるのか。
先にタネを明かせば、以下のようになる。
Internetで重要なサービスとして、”名前解決”を行うサービスがある。
このサービスは、www.foo.com といった「ホスト名.ドメイン」構成の文字列を、住所とみなして、アクセスすべきIPアドレス(www.xxx.yyy.zzz)へ変換したり、逆変換したりする役割をになう。
↓
このサービスは、世界で13箇所(IP上は13基だけど、もちろん複数台化されている)で運営されている、DNSルートサーバを大元とした、階層構造を持っている。
↓
つい最近まで、DNSはその応答を一方的に信用する仕掛け(回答があればそれを疑ったり検証したりする仕掛けが無い)状態だった。
↓
しかし、キャッシュポイゾニングという攻撃が確立され、攻撃者は特定の偽の返答を生み出して、「ホスト名.ドメイン」の文字列を、別のIPアドレスに解釈させて、利用者を攻撃サイトに誘導することが出来ると判明した。
(更にタチの悪いことに、この攻撃の場合、鍵や証明書などによって、アクセスサイトの存在や、安全な暗号でアクセスしている事を証明する技術をパスしてしまう。)
↓
そこで、名前解決のサービスそのものに証明書発行技術を取り入れることになった。(これが"DNSSEC"と呼ばれる方式)
名前解決をする際に、階層の1つ上のDNSサーバと、解決対象のDNSサーバの証明書を扱う事で、名前解決を信用できるものにする仕掛け。
↓
これを一番上の階層まで考えると、「DNSルートサーバ」であることの証明書を発行する為のシステムが必要となる。
この、”DNSルートサーバであることを証明するための、証明書発行システム”(ああ、ややこしい)が、今回の記事のネタになっているようだ。
暗号化+証明書のシステムは、公開鍵(暗号を解く為に配布される情報)と、秘密鍵(暗号を作成するための情報)と、暗号化エンジンの3つが要素になっているが、
万が一秘密鍵が漏れてしまうと、偽の証明書を作り、ルートサーバを詐称することが出来る可能性がある。
その場合は、新たな証明書の鍵を作成し、配布しなおさなければならなくなる。
大元の記事によれば、新たな秘密鍵を作成するには、7人中5人のカードキーアクセスによって承認される必要があります…ということのようだ。
確かにロマンを感じない訳ではないけども、今回の記事は、ツッコミ所が多すぎるのだ。
■WWW限定ではない
元記事に"World-Wide-Web"という文字列が入っているからなのだろうけども、DNSはほぼすべてのInternetサービスが利用している。
例えば、今後の期待だが、DNSSECがキチンと広まれば、信用の無いドメインからのSpamメールを遮断できるようにもなる。これは非常に大きい。
■別にその7名は、国際的な力関係を表すものではない
何故日本人が居ないの?日本はこれだから…的な感想は、実に的外れ。
これらのシステムは、ICANN(1998年に設立された民間の非営利法人…だけど、実質は米商務省の影響が大きい)によって選定されているのだろうし、逆にアメリカ色をよくここまで薄めたもんだと感心するくらい。
ちなみに、DNSルートサーバそのものの運用管理者は、13箇所中10箇所がアメリカ所属団体が主導。残りはEU2箇所、日本が1箇所。物理的なシステムの管理者、という意味では更に多岐に渡る。
■そもそもこのシステムが攻撃されても、Internet自体が停止する訳ではない
証明書の鍵が漏れて、DNSの詐称が可能となったとしても、現時点でキャッシュポイゾニングを行うには、対象のドメインが脆弱性のあるDNSサーバソフトを使っていて、なおかつそのサーバへの大量アクセスによるクラッキングが必要。
更に言えば、そもそもDNSSECの普及率自体がまだ高くない。現時点ではそもそもその汚染される可能性のある証明書システム自体が使われていないのだ。
確かに、記事としては面白いし、物語性を高める記述は楽しいと思われるけども…
多くの技術者が、よってたかって20年近くを費やして作り上げた現在のインターネット基盤を、こんなしょっぱい記述で、脆弱なモノとして扱って欲しくない…というのが、正直な感想だったりする。