DNSSEC

DNS Security Extensions

DNS キャッシュポイズニング攻撃への有効な対策

名前解決要求に対して応答を返す DNS サーバが、自身の秘密鍵を用いて応答レコードにディジタル署名を検証することで、応答レコードの正当性、完全性を確認する

動作

Ca : キャッシュ DNS サーバ を指すとする

Au : 権威 DNS サーバを指すとする

1. Ca => Au

名前解決要求

2. Au

ハッシュ値を計算

秘密鍵で暗号化

3. Au => Ca

IP アドレスと署名を送信

4. Ca

署名を公開鍵で復号

Au から送られたデータのハッシュ値を計算

暗号化されたハッシュ値と、Ca で計算したハッシュ値を比較