1. DNSCurve links
Contents
質問はこちらへ。
2. DNSCurve を使ってみよう
DNSCurve は DNS query/response を暗号化することで、第三者による毒盛を防ぎます。
DNSCurveについての DJBからの新年メッセージなど http://marc.info/?l=djbdns&m=129434351607605&w=2
gdnsd の DNSサーバは DNSCurveをサポートしているようです。
The authoritative DNS servers for these domains are running the development branch of gdnsd, which fully implements DNSCurve in both Streamlined and TXT modes, over both UDP and TCP. A development snapshot (version 1.3.5) is now available for download here
GDNSD DNSCurve Public Testing http://gdnsd.net/
DNSCurve と DNSSECの対比 https://security.stackexchange.com/questions/45770/if-dnssec-is-so-questionable-why-is-it-ahead-of-dnscurve-in-adoption
2.1. CurveDNS
DNSコンテンツサーバをDNSCurve対応させるためのforwarder
qmail.jp でも使い始めました。 install log
http://dnscurve.org/index.html
- Confidentiality, Integrity, Availability
DNSCurve encrypts all DNS packets.
http://cr.yp.to/djbdns/forgery.html
http://tools.ietf.org/html/draft-dempsky-dnscurve-01
* 機密性: クエリと応答の全パケットが暗号化される * 完全性: 偽の応答を排除するため、全ての応答を暗号化認証する * 可用性: 偽造パケットの高速に見分けて排除する
とある。integritiyを完全性と訳すのはまずい。
http://integrity.cocolog-nifty.com/blog/2006/08/integrity_079d.html
- 正当(性)、一貫性、真正性くらいの方が誤解が少ない。保全性というのもあり。
data integrity : データ保全性《データがもとと同一であり, 改竄・欠損などのないこと》
- 防毒性ではどうか。
OpenDNS adopts DNSCurve http://blog.opendns.com/2010/02/23/opendns-dnscurve/
DNSCurveの左の欄にあるAttackers:はためになる。
2.2. DNSCurve implement
/UDP+TCP How to implement a DNSCurve cache よりの引用
DNSCurve: Usable security for DNS http://dnscurve.org/in-implement.html
2.3. コンテンツサーバ
DNSCurveの問い合わせに答えるドメイン例
list.cr.yp.to, dnscurve.jp, reflection.co.jp
ご存知のドメインを教えてください。 --> /ドメイン
- qmail.jp は設定し直し中です。
2.3.1. CurveDNS
CurveDNS DNSCurve forwarder の実装
2.3.2. gdnsd
ソース: http://code.google.com/p/gdnsd/ Features: http://code.google.com/p/gdnsd/wiki/Features
gdnsd is a GPL3-licensed Authoritative DNS server written in C using libev and pthreads with a focus on high performance, low latency service. It does not offer any form of caching or recursive service, and does not support DNSSEC.
- FreeBSD 8.1 でconfigure, make は完了。test には Perl が必要
2.4. キャッシュサーバ
djbdns にたいする Dempsky patch:
This patch adds basic DNSCurve support to dnscache.
/Dempsky implementation DNSCurve キャッシュ
opendns.com, e-ontap などからDNSCurveで問い合わせてきます。
2.5. tools
https://github.com/mdempsky/dnscurve?locale=ja
2.6. DNSCurve 後の世界
DNSCurveが行き渡った世界ならDNSは安全か。
- 残念なことに、そうはならない。管理不良のドメインがなくならないかぎり、DNSは安全ではない。
DNSSECはどうか。
- 管理不良のドメインはDNSSECの世界では存在を抹殺される。そういうものが安全な世界と言えるか。
DNSが安全なものになるというのは夢にすぎない。現実を直視する勇気をもって欲しい。
3. CurveCP
http://curvecp.org/ Usable security for the Internet CurveCP
UDP パケットについての長さの制約を回避する方法はまだ提案されていないらしい。
- つまり root サーバで採用する段階ではないので、root サーバあるいは TLD サーバについては 他の方法で信頼性を確かめるということ。