昨日LTやったときショックだったこと。 私: 「このFreeBSD 2.2.8のリリースが1998年で…」 会場: 「5歳の時だ。」 #dnsonsen4
2017-09-17 08:38:39「DNSSECの仕組みとKSKロールオーバへの対応」を説明してから実習しましょうか。 e-ontap.com/dns/DNSSEC-sem… #dnsonsen4
2017-09-17 08:52:57鈴木先生:ゾーンデータってものに署名したい。RRset に署名したい。改ざんされていないことを確保したいために電子署名する。 #dnsonsen4
2017-09-17 08:53:47鈴木先生:で、仕組みとしては、データに ZSK という鍵で署名する。実際は暗号化。で、データそのものを暗号化するというよりはハッシュを暗号化。それを ZSK (秘密鍵)で暗号化する。この場合、ZSK の公開鍵でしか復号できない。 #dnsonsen4
2017-09-17 08:54:47鈴木先生:この、復号できるかを確認することをバリデーション。この公開鍵が本物でないと証明にならない。なので、公開鍵が本物であることを確認しなければならない。その目的で用いるのが KSK。 #dnsonsen4
2017-09-17 08:55:31講師の先生、朝からプシャーっ!! #dnsonsen4 pic.twitter.com/WsBFoOLCXW
2017-09-17 08:55:32鈴木先生:KSK の公開鍵が信用できるか?という話に。それをするために、公開鍵のハッシュ値を計算して、上位ゾーンに登録する。この登録されているハッシュ値で確認できれば、正しいものであると証明できる、と。 #dnsonsen4
2017-09-17 08:56:41鈴木先生:当初は ZSK の公開鍵を上位ゾーンに登録する方法だった。ZSK を上位ゾーンが署名してくれればよかった。しかし、上位ゾーンへ登録すること、また署名してもらうことが面倒だった。 #dnsonsen4
2017-09-17 08:57:56@infragirl755 e-ontap.com/dns/DNSSEC-sem… #dnsonsen4
2017-09-17 08:58:30鈴木先生:公開鍵そのものを登録するのではなくてハッシュ値を登録するのであれば、ちょっとだけ簡単になる。しかし、ZSK そのものであっても「上位ゾーンに登録する」ということが、登録作業が面倒であれば、ちょくちょく行う訳にはいかない。 #dnsonsen4
2017-09-17 08:58:51ZSKを上位ゾーンに署名してもらうのは面倒くさい。ので、ハッシュ化して上位ゾーンに署名してもらう案になった。 #dnsonsen4
2017-09-17 08:58:53鈴木先生:ちょくちょく登録できないのであれば、安全な鍵を使わなければならず、結果、鍵長が長くなるということになる。でも、DNS は応答を大きくしたくないということがあるので、鍵長が小さい鍵を使いたい。でも、頻繁に変えたくなる。結果、面倒になる。 #dnsonsen4
2017-09-17 09:00:08鈴木先生:あまり頻繁にはしたくないが、しかし安全は欲しい。どうするか? KSK が用いられることになった。 #dnsonsen4
2017-09-17 09:00:44