DNSSEC 2013 スプリングフォーラム
DNSSEC入門
チュートリアル
石田さん:開催趣旨: ・2011年に、JPゾーンも導入済み。しかし、まだ普及はほとんどしていない。その障害となるものをなくすのが、dnssecジャパンの活動を継承した dnsopsの役目だと。 #dnsops
2013-05-29 10:02:04とりあえず #dnsops かしら。 RT @satoh_fumiyasu: IIJ の DNSSEC、ハッシュタグはないの?
2013-05-29 10:02:14舩戸さん: ・rootゾーン:2010年7月15日 ・TLD:すでに多くのTLDで運用されている →新gTLDではDNSSEC対応が必須項目 →ccTLD:.jpは2011年1月16日から正式運用 #dnsops
2013-05-29 10:08:54舩戸さん:DNSキャッシュへの毒入れ: ・ユーザーがキャッシュDNSサーバーへ ・キャッシュDNSサーバーが権威DNSサーバーに問い合わせ ・攻撃者が、別の情報を送りつけてキャッシュさせる →キャッシュDNSサーバーがユーザーに、間違ったIPアドレスを返してしまう #dnsops
2013-05-29 10:11:13舩戸さん:毒入れ攻撃への対策: ・攻撃が成功する確率を下げる →問い合わせポートのランダム化 →適切なアクセス制限 →etc ※これらは根本的な対策ではない(攻撃の確率を下げるだけ) #dnsops
2013-05-29 10:12:18舩戸さん: ・根本的な対策 →DNS応答が偽造/改ざんされていないことを受信側で確認可能にする →DNSSECはこのための技術として作られた #dnsops
2013-05-29 10:12:52舩戸さん:DNSSECとは: ・DNSSEC →正当な権威DNSサーバーからの応答か? →応答が途中で改ざんされていないか? #dnsops
2013-05-29 10:13:56舩戸さん: ・DNSセキュリティ拡張 ・受け取ったDNS応答の出自/完全性を検証できる仕組み ・DNS応答に公開鍵暗号技術を用いている #dnsops
2013-05-29 10:14:40舩戸さん:従来のDNS vs DNSSEC: ・権威DNSサーバーで電子署名を付加し、出自を保証 ・受信側でDNS応答の改ざん・欠落の有無を検出できる #dnsops
2013-05-29 10:16:18舩戸さん:DNSSECの対象範囲: ・対象としていないもの →通信内容の暗号化:通信内容を暗号化し、問い合わせ内容を秘匿すること #dnsops
2013-05-29 10:17:01よい着眼点です。 #dnsops QT @in_masaakid: DNSSECって、誰から何を守るもんなんだろう?
2013-05-29 10:18:06舩戸さん:DNSSECにおける信頼の連鎖の概念: ・それぞれの秘密鍵が、それぞれのゾーンのデータ、その中でホスティングしている下位のゾーンを、公開鍵で署名することによって、正しいものだということを検証できるようにしている。 #dnsops
2013-05-29 10:18:31舩戸さん:2種類の鍵とDS: ・2種類の鍵 →ZSK:ゾーンに署名するための鍵 →KSK:ゾーン内の公開鍵情報に署名するための鍵 ・DS →親ゾーンにリソースレコードとして登録 →子ゾーンのKSKと等価な情報 #dnsops
2013-05-29 10:20:29舩戸さん:ZSK: ・比較的暗号強度の低い鍵が使われる ・署名コストが低い →大規模ゾーンの署名にも適応できる →安全確保のため、ある程度の周期で鍵を更新する必要がある(現在の.jpでは1ヶ月毎) ・鍵更新は親ゾーンとは関係なく独立に行える →2種類でのメリット #dnsops
2013-05-29 10:22:01ZSK、RSA 1024 bit にして短い周期で更新 (.jp は一ヶ月ごと) らしいけど、鍵の交換頻度を上げることで、鍵長(耐久性)を下げても大丈夫なものなのだろうか。#dnsops
2013-05-29 10:22:38舩戸さん:KSK: ・比較的暗号強度の高い鍵が使われる ・利用期間を長くできる →鍵更新の頻度を低くできる →署名コストは高いが、ゾーン内の公開鍵情報のみを署名対象とするため、全体のコスト増加は少ない #dnsops
2013-05-29 10:23:111024bitで1ヶ月なら大丈夫ですね RT @satoh_fumiyasu: ZSK、RSA 1024 bit にして短い周期で更新 (.jp は一ヶ月ごと) らしいけど、鍵の交換頻度を上げることで、鍵長(耐久性)を下げても大丈夫なものなのだろうか。#dnsops
2013-05-29 10:23:33