Describe DNSCurve/QA here.
1. DNSCurve とは
D. J. Bernstein が提案しているもので、 DNS 通信をsecureに使う方法です。 http://dnscurve.org/index.html
接続相手(DNSコンテンツサーバ)の正統性を確認するのは別の問題です。
- また、コンテンツが改竄されていないことなどを保証するだけです。DNS的に正しいことを保証するものではありません。
2. DNSCurve のなにがいいのか
Confidentiality, Integrity, Availability
DNSCurve通信ではpacketが暗号化されますので、
- 問い合わせ内容の秘密も保たれます。
- 毒盛される(偽返答を受け取る)危険がなくなります。
- DoS攻撃される危険が減ります。
すべてのDNSサーバが対応すればいいのですが 
- キャッシュとサーバと両方が対応している必要があります。
3. DNSSEC とはどちらを使うべきか
どっちを使うべきか、という質問は無意味です。
- DNSCurveを使っても、DNSSECが使えなくなるということはありません。
目的が違うのです。DNSCurveはDNSSECを置き換えるためのものではありません。
ネットワーク・トラフィックに配慮するなら、DNSSECは避けるべきです。
4. どうしたら使えるか
コンテンツサーバとDNSキャッシュとをDNSCurve対応させます。
- 必要に応じて、どちらか一方だけ使うこともできます。
4.1. DNSCurve 対応コンテンツサーバ
現在はDNS forwarder が公開されています。 CurveDNS など
CurveDNSは簡単にインストールできました。(CentOS, FreeBSD)
あらたにDNSを入れるなら、/gdnsdはどうでしょう。
4.2. DNSCurve 対応キャッシュサーバ
djbdns/dnscache をDNSCurve 対応させるDempsky さんのpatchがあります。
- djbdnsをinstallできるなら、簡単に移行可能でしょう。
5. どれくらい使われているか
日本ではこれからです。あなたも使ってみませんか。
5.1. DNSCurve 対応ドメイン
qmail.jp, dnscurve.jp, list.cr.yp.to, yp.to, dnscurve.org, dempsky.org, gdnsd.net など --> ../ドメイン
5.2. DNSCurve 対応リゾルバ
opendns.com, e-ontap.com などで動いています。
- 208.67.222.222, 208.67.220.220
6. 公開鍵の変更をするには
その前になぜ変更するのか、教えてください。
- DNSSECが一月ごとに鍵を変更するように勧めている理由はなんですか。 DNSCurveも同じ弱点を持っていると主張なさるのですか。
鍵はDNSサーバ名に含まれています。鍵は自前で生成したものです。
- DNSサーバ名を変更すれば、鍵も変更したことになります。
「信頼の連鎖」なんて言葉を持ち出す意味はありません。
- 鍵の変更は名前の変更です。上位サーバへの登録も変更する必要があるでしょう。
- サーバは名前に対応する秘密鍵を持っていますので、TTLが満了になるまでは、
- 新しい名前に対応するサーバと古い名前のサーバとを動かす必要があるでしょう。
- DNSSECと違ってゾーンデータには鍵や暗号化データは含まれていませんので、触る必要はありません。
- 通常であれば、IPアドレスだけ替えたサービスを立ち上げれば完了です。
/質問とコメント: loginしなくても書き込めるようにしておきます。