DNSSEC

読み:ディーエンエス・セック
外語:DNSSEC: DNS Security Extension 英語
品詞:名詞

DNSのセキュリティ拡張。

目次

概要

DNSは古いプロトコルで、セキュリティが考えられていない。現在では、DNSのゾーン情報が改竄されるという危険にさらされるようになって来た。

そこでゾーン情報の信頼性を保証する手段として、IETFによりDNSを拡張して策定したのがDNSSECである。

特徴

署名による信頼性確保

ゾーン情報の信頼性を高める方法は、幾つか考えられる。

最も強力な方法は、情報そのものを暗号化して送受信することである。しかしDNSは頻繁に使うものであるため、この方法ではDNS応答のたびに暗号化の処理を要し、効率が大幅に低下すると考えられた。

そこでDNSSECでは、ハッシュ関数を利用し、公開鍵暗号方式で署名を付ける方法が採用された。

ハッシュ

DNSSECでは、次の三情報を送る。

DNSサーバーは、まずゾーン情報からハッシュ値を作る。これを自身の秘密鍵で暗号化し、「ディジタル署名」とする。そして署名と公開鍵をゾーン情報に添付して、DNSクライアント側に返信する。

DNSクライアントは、署名を公開鍵を使って復号し、ハッシュ値を得る。また、ゾーン情報からハッシュ値を作り、両者のハッシュ値が一致すれば、そのゾーン情報は改竄なりすましではない、信頼に足るものであると判断できる。

RFC

DNSSECに関連するRFCに、次のようなものがある。

  • RFC 4033 ‐ DNS Security Introduction and Requirements
  • RFC 4034 ‐ Resource Records for the DNS Security Extensions
  • RFC 4035 ‐ Protocol Modifications for the DNS Security Extensions
  • RFC 4509 ‐ Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
  • RFC 5702 ‐ Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC
  • RFC 6014 ‐ Cryptographic Algorithm Identifier Allocation for DNSSEC

この他にも、多くのRFCがある。

関連する用語
DNSサーバー
DNS
トップへ

広告

コメントなどを投稿するフォームは、日本語対応時のみ表示されます

KisoDic通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club