DNSSEC†
- DNSの拡張仕様
- フルリゾルバと権威サーバ間のDNS応答の正当性を保障する仕組み
- 権威サーバが保持しているDNSレコードにデジタル署名を付けることで、真正性を証明する
- DNS応答にデジタル署名を付加することで、フルリゾルバは正当性を検知することができる
- 署名対象のデータの単位はリソースレコードセット(RRset)
- 署名と署名に使った公開鍵は、権威サーバのリソースレコード(DNSKEY, RRSIG)に登録し公開する
- DNSキャッシュポイズニング攻撃への対策として有効
正当性の保障とは†
- 否認防止(なりすまし防止)
- 正当な権威サーバによって生成された応答レコードであること
DNSSEC のフロー†
- フルリゾルバからの問い合わせに対して、権威サーバは秘密鍵で応答レコードにデジタル署名を付加して応答する。
- 応答を受けたフルリゾルバは、権威サーバの公開鍵でデジタル署名を検証して、応答レコードの正当性を確認する。
関連サイト†
関連用語(DNSSEC)†
- 信頼の連鎖
- 権威サーバが公開するゾーンの公開鍵に対して親ゾーンが署名することで公開鍵の信頼性を担保する仕組み
- DSリソースレコードを使う
- KSK
- Key Signing Key
- 鍵署名鍵
- DNSKEY RRset (KSKとZSKの公開鍵)の署名で使う
- ZSK
- Zone Signing Key
- ゾーン署名鍵
- DNSKEY RRset 以外の署名で使う
- 不在証明
- データが存在しないことを証明する仕組み
- NSEC, NSEC3, NSEC3PARAMリソースレコードを使う
関連用語†
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
