DNSSEC

DNSSEC †

名称 †

• DNS Security Extensions

概要 †

• DNSの拡張仕様
• フルリゾルバと権威サーバ間のDNS応答の正当性を保障する仕組み
  • 権威サーバが保持しているDNSレコードにデジタル署名を付けることで、真正性を証明する
  • DNS応答にデジタル署名を付加することで、フルリゾルバは正当性を検知することができる
  • 署名対象のデータの単位はリソースレコードセット（RRset）
  • 署名と署名に使った公開鍵は、権威サーバのリソースレコード（DNSKEY, RRSIG）に登録し公開する
• DNSキャッシュポイズニング攻撃への対策として有効

正当性の保障とは †

• 完全性の保証
  • 応答レコードが改ざんされていないこと

• 否認防止(なりすまし防止)
  • 正当な権威サーバによって生成された応答レコードであること

DNSSEC のフロー †

1. フルリゾルバからの問い合わせに対して、権威サーバは秘密鍵で応答レコードにデジタル署名を付加して応答する。
2. 応答を受けたフルリゾルバは、権威サーバの公開鍵でデジタル署名を検証して、応答レコードの正当性を確認する。

関連サイト †

• DNSSEC - JPNIC
  https://www.nic.ad.jp/ja/basics/terms/dnssec.html

関連用語（DNSSEC） †

• 信頼の連鎖
  • 権威サーバが公開するゾーンの公開鍵に対して親ゾーンが署名することで公開鍵の信頼性を担保する仕組み
  • DSリソースレコードを使う
• KSK
  • Key Signing Key
  • 鍵署名鍵
  • DNSKEY RRset （KSKとZSKの公開鍵）の署名で使う
• ZSK
  • Zone Signing Key
  • ゾーン署名鍵
  • DNSKEY RRset 以外の署名で使う
• 不在証明
  • データが存在しないことを証明する仕組み
  • NSEC, NSEC3, NSEC3PARAMリソースレコードを使う

関連用語 †

• DNS
• DNSクッキー
• 電子署名
• DANE
• EDNS0