DNSのセキュリティ拡張。

目次 概要 特徴 署名による信頼性確保 ハッシュ RFC

概要

DNSは古いプロトコルで、セキュリティが考えられていない。現在では、DNSのゾーン情報が改竄されるという危険にさらされるようになって来た。

そこでゾーン情報の信頼性を保証する手段として、IETFによりDNSを拡張して策定したのがDNSSECである。

特徴

署名による信頼性確保

ゾーン情報の信頼性を高める方法は、幾つか考えられる。

最も強力な方法は、情報そのものを暗号化して送受信することである。しかしDNSは頻繁に使うものであるため、この方法ではDNS応答のたびに暗号化の処理を要し、効率が大幅に低下すると考えられた。

そこでDNSSECでは、ハッシュ関数を利用し、公開鍵暗号方式で署名を付ける方法が採用された。

ハッシュ

DNSSECでは、次の三情報を送る。

• ゾーン情報
• ディジタル署名 (ゾーン情報のハッシュ値を暗号化したもの)
• 公開鍵

DNSサーバーは、まずゾーン情報からハッシュ値を作る。これを自身の秘密鍵で暗号化し、「ディジタル署名」とする。そして署名と公開鍵をゾーン情報に添付して、DNSクライアント側に返信する。

DNSクライアントは、署名を公開鍵を使って復号し、ハッシュ値を得る。また、ゾーン情報からハッシュ値を作り、両者のハッシュ値が一致すれば、そのゾーン情報は改竄やなりすましではない、信頼に足るものであると判断できる。

RFC

DNSSECに関連するRFCに、次のようなものがある。

• RFC 4033 ‐ DNS Security Introduction and Requirements
• RFC 4034 ‐ Resource Records for the DNS Security Extensions
• RFC 4035 ‐ Protocol Modifications for the DNS Security Extensions
• RFC 4509 ‐ Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
• RFC 5702 ‐ Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC
• RFC 6014 ‐ Cryptographic Algorithm Identifier Allocation for DNSSEC

この他にも、多くのRFCがある。

リンク

関連する用語
DNSサーバー
DNS

[再検索] [戻る]