DNSSEC
読み：ディーエンエス-セック
外語：DNSSEC: DNS Security Extension

　DNSのセキュリティ拡張。

目次 概要 特徴 署名による信頼性確保 ハッシュ RFC

---

概要
　DNSは古いプロトコルで、セキュリティが考えられていない。現在では、DNSのゾーン情報が改竄されるという危険にさらされるようになって来た。
　そこでゾーン情報の信頼性を保証する手段として、IETFによりDNSを拡張して策定したのがDNSSECである。

---

特徴

---

署名による信頼性確保
　ゾーン情報の信頼性を高める方法は、幾つか考えられる。
　最も強力な方法は、情報そのものを暗号化して送受信することである。しかしDNSは頻繁に使うものであるため、この方法ではDNS応答のたびに暗号化の処理を要し、効率が大幅に低下すると考えられた。
　そこでDNSSECでは、ハッシュ関数を利用し、公開鍵暗号方式で署名を付ける方法が採用された。

---

ハッシュ
　DNSSECでは、次の三情報を送る。

• ゾーン情報
• ディジタル署名 (ゾーン情報のハッシュ値を暗号化したもの)
• 公開鍵

　DNSサーバーは、まずゾーン情報からハッシュ値を作る。これを自身の秘密鍵で暗号化し、「ディジタル署名」とする。そして署名と公開鍵をゾーン情報に添付して、DNSクライアント側に返信する。
　DNSクライアントは、署名を公開鍵を使って復号し、ハッシュ値を得る。また、ゾーン情報からハッシュ値を作り、両者のハッシュ値が一致すれば、そのゾーン情報は改竄やなりすましではない、信頼に足るものであると判断できる。

---

RFC
　DNSSECに関連するRFCに、次のようなものがある。

• RFC 4033 ‐ DNS Security Introduction and Requirements
• RFC 4034 ‐ Resource Records for the DNS Security Extensions
• RFC 4035 ‐ Protocol Modifications for the DNS Security Extensions
• RFC 4509 ‐ Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
• RFC 5702 ‐ Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC
• RFC 6014 ‐ Cryptographic Algorithm Identifier Allocation for DNSSEC

　この他にも、多くのRFCがある。

---

再検索