ISPから見たDoT/DoHの今後 山口崇徳@IIJ 2019/11/15 JPAAWG 2nd 

IIJ とは • ISP とかやってる会社 • IIJ Public DNSサービスとかいうのも始めました • 2019/05/08 リリース(ベータ) • https://public.dns.iij.jp/ • DoT/DoH（だけ）をサポートする public DNS サービス • 53番ポートの従来の DNS は使えません • ISP でもあり、public DNS サービス事業者でもある 

従来の DNS • （ほぼ） UDP で、平文 • UDP なので、パケット偽造されうる • 平文なので、中間者から盗聴されうる ユーザ キャッシュDNS cleartext 

DNS over TLS/HTTPS • TLS or HTTPS で暗号化 • (ユーザとキャッシュDNSの間の)機密性、完全性の保証 • キャッシュDNSと権威DNSの間のことについては関知しない • キャッシュDNSの持っている情報が改竄されていないことの保証がないので、 実質的には DoT/DoH に完全性はない ユーザ キャッシュDNS TLS/HTTPS 

ユーザ キャッシュDNS 盗聴者 ISP のキャッシュ DNS • ユーザとキャッシュ DNS は同一ネットワーク内 • 中間者攻撃は困難 • 平文でも盗聴の危険は小さい 

盗聴者 public DNS ユーザ キャッシュDNS • 複数のネットワークを経由する • 経路上の中間者が脅威に 

平文 DNS は危険なのか? • ISP で自動設定されるキャッシュ DNS を使うのであれば、従来の平 文 DNS でも盗聴の危険は小さい • ISP のネットワークに入る手前で盗聴される可能性はある • ユーザ宅内の wifi 区間など • Firefox の DoH デフォルト化構想は合理的とはいいがたい • public DNS を使うのであれば、平文 DNS は安全ではない • 対応していれば、DoT/DoH を推奨 • Chrome の「DoH に対応している public DNS を使うときは自動的に DoH にな る」という動作は理にかなっている 

No content

DoT/DoH のユースケース: 現在 • (単に、新しもの好きで使ってみたい、というケースのほかに) • 自動設定されるキャッシュ DNS が信頼できないとき、かわりに public DNS を利用する • 公衆 wifi とかホテルの客室インターネットとか • ISP のキャッシュ DNS が意に反するブロッキングをやってるとか • public DNS への途中経路での中間者攻撃を回避 → DoT/DoH 

DoT/DoH のユースケース: 将来 • ぜんぶ DoT/DoH でいいんじゃね? • 組織内部に閉じた通信かどうかを気にして telnet/rsh と ssh を使い分けたり はしない • 同じように DNS も使い分けしない方向になるのではないか • 課題: DoT/DoH の自動設定の仕組みがない • ネットワーク管理者が DoT/DoH の設定を配れない • 標準化に向けた議論ははじまっている • android や firefox は独自の自動設定の仕組みを実装している • 標準化（とその普及）の妨げにならないか? 

そもそもキャッシュ DNS は信頼できるのか? • DoT/DoH でもキャッシュが正しいことは担保できない • 要 DNSSEC だがほとんど使われていない • ○○○や×××なことをしちゃうようなキャッシュ DNS サーバとか • 応答を勝手に書き換えるとか • クエリ情報を集計して広告屋に売るとか • あやしげな野良 wifi で自動設定される DNS は何されるか予想もつかない • DoT/DoH を使えば○○○や×××ができなくなる、わけではない • 暗号化は中間者攻撃対策だが、キャッシュ DNS は中間者ではない • キャッシュ DNS が○○○や×××することには無力 

public DNS がやってる○○○や××× • Google • EDNS Client Subnet で権威サーバにクライアントのIPアドレスを通知 • 平文なので第三者から盗聴されうる • プライバシーポリシー上は、クエリ情報をさまざまな用途に利用できる • Quad9 • マルウェア配布ドメインのブロッキング • ブロッキングに必要な情報収集のために外部ベンダーにクエリ情報を提供 • IIJ • 児童ポルノブロッキング • Cloudflare • とくにつっこみどころなし 

ISP の立場から • public DNS はほんとうに安全なのか? • 途中経路は DoT/DoH で安全になるが、サーバ上でのクエリの取り扱いは? • 法規制の違いにより、日本では認められないような○○○や×××も海外 事業者はできる（こともある） • このままだとユーザのクエリは public DNS にどんどん流出していく • Firefox はデフォルトで public DNS を利用する方針 • 「ISP の平文 DNS」と「海外超大手の暗号化 DNS」を比べると、多くのユーザ にとっては後者の方が安全な印象を受ける • クエリが流出するのを見過ごしていていいのか? • ISP の提供するキャッシュ DNS も DoT/DoH に対応して、ユーザの安心感を 高めるべきなのでは? 

ISPから見たDoT/DoHの今後 • 現在は public DNS を安全に利用するためのプロトコル • 将来的には public DNS にかぎらず、ISP が提供するキャッシュ DNS でも必要とされるのではないか • 実際に提供するかどうかはともかくとして、調査・検討は始めておく べき 

蛇足 DoT/DoH で改竄は防げません DKIM 公開鍵その他認証に必要な情報を改竄されるのを防ぐために、 DNSSEC の署名と検証をお願いします