トップ «前の日記(2016-06-01) 最新 次の日記(2016-08-04)» 編集

インターノット崩壊論者の独り言

過去の日記
EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。

2016-06-15 座布団持ってって

- ENT was here !!!

dns-operations ML でトボけた漫才のような謎のやりとりがありました。適当に訳してみましょう。(https://lists.dns-oarc.net/pipermail/dns-operations/2016-June/thread.html#15011より)

私) これ、なんすかね? dig -t txt gouv.fr +dnssec +short
  ステファン) こっちに訊けばいいでしょ。 dig -t txt co.jp +dnssec +short
    私) 知ってる。2年待ってるけど公式な説明はされてない。
  ニコ) ステファンが答えてくれると思うよ :)
    ステファン) gouv.fr はフランス政府だよ。 フランシスとマニュエルに投げとく。
  ビンセント) はい。それ今進行中のやつ。この件についてはそのうちちゃんとした説明をしに戻ってくるから待っててね。注目しててね :-) p.s. いや、ENT って名前の h4ck3r (ハッカー) にハイジャックされたわけじゃないからね... :-)
    私) 楽しみに待ってる
  ワレン) たぶん https://iepg.org/2014-07-20-ietf90/201407-poisoning.pdfhttps://conference.apnic.net/data/40/jp-actions-apnic_1441335387.pdf に関係してる。数年前に注目を得たけど、その後はまったく話をきかないな、、、
    私) だって、彼らは一般の技術者向けに公式な注意喚起を出していないし、APNIC 等での専門家向けのプレゼンでも全てを語ろうとはしないから。彼らは「(この件は)よく知られている」って言うんだ。

何か隠していたものが見つかって、うろたえて誤魔化そうとしているようにみえます。Warren 以外、答えているのは .FR を管理する AFNIC の関係者ですね。 JPRS も AFNIC も態度は大差ありませんね。

ちなみに ENT とは Empty Non Terminal の略に間違いないでしょう。"ENT was here" は「ここに Empty Non Terminal がありました」(だけど訳あって無くしました) ということです。

dig の結果は以下のようになっています。

% dig -t txt gouv.fr +dnssec +short
"ENT was here !!!"
TXT 8 2 172800 20160731080733 20160601080733 34516 fr. dwklNc0MFBgpbHhxeJIJIakFByU7gDfX204tQBrchu4KPjYPg6UiaGXm Lo3GDeN/3QwBvRwXp7EASP4he4a05ljwEmMerk4K78nN13ONzULko0Al B9EhEFEITOsABJnaWmz/k/Aq58gDle4em5o99g/fKGhZxej0V6mNcYNB 7Rs=

これは2年前の毒入れ話を AFNIC がようやく理解して対策に乗り出したことを示しているように見えるものです。

JPRS は内輪の集まりともいえる JANOG34 でこの資料のように説明しましたが、これじゃわかりませんね。一連の問題について一般の技術者たちに向けて広く解説と注意喚起を出してもらいたいものです。2年待ち続けてます。


追記:2年前の Bortzmeyer at nic.fr とのメールのやりとりを載せておきます。

From: Stephane Bortzmeyer
To: "T.Suzuki"
Subject: Re: Opened Pandora's box of Cache Poisoning
Date: Tue, 6 May 2014 12:21:18 +0200
Organization: NIC France

On Tue, May 06, 2014 at 01:37:43AM +0900,
T.Suzuki wrote
a message of 32 lines which said:

> Why don't you put a record in gouv.fr?

Because there is no reason to.

私) なんで (co.jp みたいに) gouv.fr にレコード入れないの?

ステファン) だって、そんな理由ないから

From: Stephane Bortzmeyer
To: "T.Suzuki"
Cc: Stephane Bortzmeyer
Subject: Re: Opened Pandora's box of Cache Poisoning
Date: Tue, 6 May 2014 17:14:04 +0200
Organization: NIC France

On Wed, May 07, 2014 at 12:07:45AM +0900,
T.Suzuki wrote
a message of 16 lines which said:

> I think that DNSSEC signed zones under gouv.fr can be poisoned if
> the gouv.fr zone is poisoned.

It has nothing to do with the fact that gouv.fr is an ENT. It is a general property of the DNS (being hierarchical).

私) gouv.fr ゾーンに毒入れされると gouv.fr 配下の DNSSEC 署名されているゾーンも毒入れできるかもしれませんよ。(注: この訊き方は間違いだったと今は思っているがステファンの回答もトンチンカン)

ステファン) それは gouv.fr が ENT であることとは全く関係ない。それは (階層的になるという) DNS の一般的特性ですよ。

追記: "ENT was here!!!" (DNS-OARC 25, Dallas, 10/2016)
本日のツッコミ(全24件) [ツッコミを入れる]
_ smbd (2016-06-15 22:59)

frのNICはAfnicと言うらしいです https://www.afnic.fr 念の為。

_ tm (2016-06-16 00:26)

2年前にあったやりとりも書いておくといい。

_ tss (2016-06-16 08:13)

ありがとうございます > afnic

_ tss (2016-06-16 08:24)

追記しました > 2年前のやりとり

_ tss (2016-06-16 08:39)

ちなみにバカバカしくてこのあと返事は返していません。

_ tm (2016-06-23 08:03)

2週間が過ぎてもその後の進展なしだから、一年後にフォローが<br>あればよし、ということでしょうか。

_ tss (2016-06-23 10:56)

RFC5155 を十分理解できていないので彼らがやっていることを説明してほしいのです。TXT がないと本当に守れないのかどうか。Opt-out 時の NSEC3 生成に関する RFC 5155 の解釈と実装次第だと思うのですが (安全な NSEC3 生成方法はあるが危険な実装もあるのではないか)。安全なら安全だと説明してくれたらすむ話をなぜはぐらかすのでしょう。

_ tss (2016-06-23 10:57)

危険な実装があるのなら注意喚起するべきだし。

_ tss (2016-06-23 10:58)

それともやはり根本から危険なのか?<br>(もちろん DDoS が可能なのはあきらかだが)

_ tss (2016-06-23 11:00)

隠したいことがあるなら1年経ってもフォローはないかもしれません。JPRS は 2年隠しつづけていますし。(JANOGでの釈明は説明になっていないと思っています)

_ tss (2016-06-23 11:03)

s/DDoS/DoS/

_ tm (2016-06-23 12:45)

日本の業界はDNSSECを推進しても儲からないと判断しているようですね。(適切な判断だとは思うが、責任を果たしているかどうかは別)

_ tss (2016-06-23 18:25)

一年かからなさそうです。なんと<br>"NSD broken ENT was here !!!"<br>に変わりました。

_ tss (2016-06-23 18:26)

「安全な NSEC3 生成方法はあるが危険な実装もあるのではないか」<br>→ やはり NSD か。(いつのバージョン?)

_ tss (2016-06-24 11:52)

[nsd-users] NSD 4.1.10rc2 https://open.nlnetlabs.nl/pipermail/nsd-users/2016-June/002320.html "The RC2 changes the fix for NSEC3 ENT, the RC1 fix added the wrong NSEC3 record to the additional section."

_ tm (2016-06-24 16:39)

JPはNSDだったのか。w

_ tm (2016-07-10 17:42)

ひと月立ちましたね。

_ tss (2016-07-11 00:11)

そういう体質の業界ってことでしょうね。MLで疑問を呈する人も一人いましたが、相手をする人も私以外おらずそれっきりですね。

_ tss (2016-07-11 00:21)

"broken ENT was here !!!" に変わってるし

_ tm (2016-07-14 10:40)

NSDだけではなかった、ということですかね。

_ tss (2016-08-04 09:45)

注釈: "DNSSEC signed zones under gouv.fr can be poisoned if the gouv.fr zone is poisoned." は RFC 解釈からは正しくないと思っていますが、実装によってどうなるか未調査です。説明は DNS温泉3で。

_ tss (2016-09-19 10:58)

重要な指摘 https://lists.dns-oarc.net/pipermail/dns-operations/2016-September/015422.html

_ tss (2016-10-05 09:29)

NSD の ldns-signzone ではなく BIND の dnssec-signzone に問題がある http://sim.internot.jp/vitocha/rfc5155_example_memo.txt

_ tss (2016-10-05 09:37)

そういえば NSD 4.1.10rc2 以前の ldns-signzone を試していないな。(ldns は別パッケージだが)

[]

最近の日記

リンク

Copyright by T.Suzuki