Describe DNS/DNSSEC/限界 here.

DNSSECで守れるものと守れないものを議論します。

• 単に毒入れ、毒盛が防げると書いてあるページは信用してはいけません。

1. 結論

DNSSECは署名の正当性を確認できるが、署名がないことには対抗できない。

• 署名が無い情報はすべて不正であるとみなすのでなければ、不正は区別が困難である。

1.1. 防げる、防げない

https://twitter.com/#!/OrangeMorishita/status/82067252026941440 @OrangeMorishita Yasuhiro Morishita

DNSSECで防げること：偽物を本物としてつかまされる。
DNSSECでは防げないこと（の一つ）：本物をつかむのを妨害される。意外に知られていないみたいなので、あらためて。

ここの「偽者」は署名の偽造を指していると解釈すべきです。 偽のサーバに誘導されても分からないかもしれません。

• 署名がないものについては判断できないのです。　-- ToshinoriMaeno 2011-06-18 23:51:37

https://twitter.com/#!/OrangeMorishita/status/82087191769133056 @OrangeMorishita Yasuhiro Morishita

DNSSEC導入後に毒入れ攻撃を受けたらどうなるか、ということであれば、
http://jpinfo.jp/topics-column/016.pdf の Q8とかでしょうか。
RT @beyondDNS: 日本語の資料のリンクはありますか。

DNSSECの導入によりキャッシュポイズニング攻撃の検知が可能になります。
...

すべての攻撃が可能だと臭わせる書き方ですが、そう理解するのは間違いです。

• 検出でききるのは偽署名だけですから。

1.2. 改竄を検出できるもの

署名(RRSIG)つきの返答だけです。 存在を否定される名前やレコードなども検出できる。

1.3. DNSSEC での委譲の扱い

権威サーバが対応していても、ゾーンに属さないレコードには署名はつきません。

• 委譲のためのNSレコードやグルー（Aレコード）です。 ../delegation

委譲されているドメインから得たNSやAを検証する必要があります。

• 検証のためににはDNSKEYを入手し、上位からのDSレコードを使って、別途確認する必要があります。

DNS/DNSSEC/限界/breaking-dnssec

1.4. 委譲に対する毒盛

委譲のためのNS/Aを置き換えた返答で毒盛されるかもしれません。 それを防ぐのはDNSSECの仕事ではないとのことです。

DNSSECに対応していないドメインの保護はDNSSECの仕事ではないでしょう。 でも、DNSSEC対応しているドメインでも、

DNSSEC対応していないサブドメインという形での乗っ取り（DoS）を行なう攻撃は可能でしょう。

それでいいのでしょうか。

• http://www.unixuser.org/~euske/doc/cr.yp.to/2009.08.10.slides.html /breaking-dnssec

1.4.1. DNSSEC キャッシュ

DNSSEC対応のキャッシュサーバを使わなければ、クライアントはDNSSECの利点を利用することはできません。

• サーバからみれば、キャッシュが少ない時点で負担の大きいDNSSECを入れるだけの利点があるとはいえません。

DNSSECを使うことにより、トラフィックが増大します。途中のルータがパケットを通してくれないかもしれません。

1.5. 太田さんのスライドから

DNSSECを必要とするなら
–  セキュアじゃないゾーンからの答は?
•  信頼できない以上、全く使えないはず

DNSSECの理想と現実　−そのIPアドレス管理への影響− (太田 昌孝/東京工業大学)

• 資料： http://venus.gr.jp/opf-jp/opm18/jpopm18-05.pdf 第18回 JPNIC オープンポリシーミーティングプログラム (2010.6.11版)

移行問題

1.6. 参考

http://www.atmarkit.co.jp/fnetwork/rensai/dnssec02/01.html DNSSEC 再入門

http://news.ycombinator.com/item?id=1523704

There seems to be some momentum behind finally getting DNSSEC deployed. I think it's actually bad for the Internet; that it will cause reliability problems, create a huge amount of work for server admins, not solve any real-world security problem, and create a false sense of security. But be that as it may, it appears to be coming.

http://blogs.computerworlduk.com/unscrewing-security/2010/11/dnssec-exchanging-one-threat-for-another/index.htm

DNSSEC: exchanging one threat for another?

DNSSEC underscores a enormous shift in mentality
from DNS being a queryable repository of IP addresses to being an authoritative repository
reflecting the validity of a site being on the web.