Describe DNSCurve/QA here.

== DNSCurve とは ==
D. J. Bernstein が提案しているもので、 DNS 通信をsecureに使う方法です。　http://dnscurve.org/index.html
　
接続相手(DNSコンテンツサーバ）の正統性を確認するのは別の問題です。 
　また、コンテンツが改竄されていないことなどを保証するだけです。DNS的に正しいことを保証するものではありません。

== DNSCurve のなにがいいのか ==
Confidentiality, Integrity, Availability  

DNSCurve通信ではpacketが暗号化されますので、
 * 問い合わせ内容の秘密も保たれます。
 * 毒盛される(偽返答を受け取る）危険がなくなります。
 * DoS攻撃される危険が減ります。

すべてのDNSサーバが対応すればいいのですが :-)
   キャッシュとサーバと両方が対応している必要があります。

== DNSSEC とはどちらを使うべきか ==
どっちを使うべきか、という質問は無意味です。
　DNSCurveを使っても、DNSSECが使えなくなるということはありません。

目的が違うのです。DNSCurveはDNSSECを置き換えるためのものではありません。

ネットワーク・トラフィックに配慮するなら、DNSSECは避けるべきです。

== どうしたら使えるか ==
コンテンツサーバとDNSキャッシュとをDNSCurve対応させます。
　必要に応じて、どちらか一方だけ使うこともできます。

=== DNSCurve 対応コンテンツサーバ ===
現在はDNS forwarder が公開されています。　[[CurveDNS]] など
  [[CurveDNS]]は簡単にインストールできました。（CentOS, FreeBSD)

あらたにDNSを入れるなら、[[/gdnsd]]はどうでしょう。

=== DNSCurve 対応キャッシュサーバ ===
djbdns/dnscache をDNSCurve 対応させるDempsky さんのpatchがあります。
  djbdnsをinstallできるなら、簡単に移行可能でしょう。

== どれくらい使われているか ==
日本ではこれからです。あなたも使ってみませんか。

=== DNSCurve 対応ドメイン ===
qmail.jp, dnscurve.jp, list.cr.yp.to, yp.to, dnscurve.org, dempsky.org, gdnsd.net など --> [[../ドメイン]]
=== DNSCurve 対応リゾルバ ===
opendns.com, e-ontap.com などで動いています。
 208.67.222.222, 208.67.220.220
== 公開鍵の変更をするには ==
その前になぜ変更するのか、教えてください。
 DNSSECが一月ごとに鍵を変更するように勧めている理由はなんですか。
　DNSCurveも同じ弱点を持っていると主張なさるのですか。

鍵はDNSサーバ名に含まれています。鍵は自前で生成したものです。
　DNSサーバ名を変更すれば、鍵も変更したことになります。

「信頼の連鎖」なんて言葉を持ち出す意味はありません。
----
 * 鍵の変更は名前の変更です。上位サーバへの登録も変更する必要があるでしょう。
 * サーバは名前に対応する秘密鍵を持っていますので、TTLが満了になるまでは、
　　新しい名前に対応するサーバと古い名前のサーバとを動かす必要があるでしょう。
 * DNSSECと違ってゾーンデータには鍵や暗号化データは含まれていませんので、触る必要はありません。
　　通常であれば、IPアドレスだけ替えたサービスを立ち上げれば完了です。



-----
[[/質問とコメント]]: loginしなくても書き込めるようにしておきます。