1. DNSCurve links

Contents

DNSCurve links
DNSCurve を使ってみよう
CurveCP
1. Vixie

質問はこちらへ。

2. DNSCurve を使ってみよう

DNSCurve は DNS query/response を暗号化することで、第三者による毒盛を防ぎます。

DNSCurveについての DJBからの新年メッセージなど http://marc.info/?l=djbdns&m=129434351607605&w=2

gdnsd の DNSサーバは DNSCurveをサポートしているようです。

The authoritative DNS servers for these domains are running the development branch of gdnsd, which fully implements DNSCurve in both Streamlined and TXT modes, over both UDP and TCP.  A development snapshot (version 1.3.5) is now available for download here

GDNSD DNSCurve Public Testing http://gdnsd.net/

DNSCurve と DNSSECの対比 https://security.stackexchange.com/questions/45770/if-dnssec-is-so-questionable-why-is-it-ahead-of-dnscurve-in-adoption

2.1. CurveDNS

DNSコンテンツサーバをDNSCurve対応させるためのforwarder

http://curvedns.on2it.net/ http://curvedns.on2it.net/docs

qmail.jp でも使い始めました。 install log

DNS/djbdns

http://dnscurve.org/index.html

Confidentiality, Integrity, Availability

DNSCurve encrypts all DNS packets.

http://cr.yp.to/djbdns/forgery.html

http://tools.ietf.org/html/draft-dempsky-dnscurve-01

yebo blogには

    * 機密性: クエリと応答の全パケットが暗号化される
    * 完全性: 偽の応答を排除するため、全ての応答を暗号化認証する
    * 可用性: 偽造パケットの高速に見分けて排除する

とある。integritiyを完全性と訳すのはまずい。

http://www.iso27001.jp/information/glossary/integrity/ がまずい訳のもとか。

http://integrity.cocolog-nifty.com/blog/2006/08/integrity_079d.html

正当（性）、一貫性、真正性くらいの方が誤解が少ない。保全性というのもあり。

　data integrity : データ保全性《データがもとと同一であり, 改竄・欠損などのないこと》

防毒性ではどうか。

OpenDNS adopts DNSCurve http://blog.opendns.com/2010/02/23/opendns-dnscurve/

DNSCurveの左の欄にあるAttackers:はためになる。

http://dnscurve.org/forgery.html など。

2.2. DNSCurve implement

/UDP+TCP How to implement a DNSCurve cache よりの引用

DNSCurve: Usable security for DNS http://dnscurve.org/in-implement.html

2.3. コンテンツサーバ

DNSCurveの問い合わせに答えるドメイン例

list.cr.yp.to, dnscurve.jp, reflection.co.jp
- ご存知のドメインを教えてください。 --> /ドメイン
  - qmail.jp は設定し直し中です。

2.3.1. CurveDNS

CurveDNS DNSCurve forwarder の実装

2.3.2. gdnsd

ソース: http://code.google.com/p/gdnsd/ Features: http://code.google.com/p/gdnsd/wiki/Features

gdnsd is a GPL3-licensed Authoritative DNS server written in C using libev and pthreads with a focus on high performance, low latency service. 
It does not offer any form of caching or recursive service, and does not support DNSSEC.

FreeBSD 8.1 でconfigure, make は完了。test には Perl が必要

2.4. キャッシュサーバ

djbdns にたいする Dempsky patch:

http://shinobi.dempsky.org/~matthew/patches/djbdns-dnscurve-20090602.patch

This patch adds basic DNSCurve support to dnscache.

/Dempsky implementation DNSCurve キャッシュ

opendns.com, e-ontap などからDNSCurveで問い合わせてきます。

2.5. tools

https://github.com/mdempsky/dnscurve?locale=ja

2.6. DNSCurve 後の世界

DNSCurveが行き渡った世界ならDNSは安全か。

残念なことに、そうはならない。管理不良のドメインがなくならないかぎり、DNSは安全ではない。

DNSSECはどうか。

管理不良のドメインはDNSSECの世界では存在を抹殺される。そういうものが安全な世界と言えるか。

DNSが安全なものになるというのは夢にすぎない。現実を直視する勇気をもって欲しい。

3. CurveCP

http://curvecp.org/ Usable security for the Internet CurveCP

UDP パケットについての長さの制約を回避する方法はまだ提案されていないらしい。

つまり root サーバで採用する段階ではないので、root サーバあるいは TLD サーバについては他の方法で信頼性を確かめるということ。

3.1. Vixie

http://www.isc.org/community/blog/201002/whither-dnscurve

MoinQ: DNSCurve