= DNSCurve links = <> ---- <> ---- 質問は[[/QA|こちら]]へ。 = DNSCurve を使ってみよう = DNSCurve は DNS query/response を暗号化することで、第三者による毒盛を防ぎます。 [[DNSCurve]]についての DJBからの新年メッセージなど http://marc.info/?l=djbdns&m=129434351607605&w=2 gdnsd の DNSサーバは [[http://www.dnscurve.org/|DNSCurve]]をサポートしているようです。 {{{ The authoritative DNS servers for these domains are running the development branch of gdnsd, which fully implements DNSCurve in both Streamlined and TXT modes, over both UDP and TCP. A development snapshot (version 1.3.5) is now available for download here }}} GDNSD DNSCurve Public Testing http://gdnsd.net/ DNSCurve と DNSSECの対比 https://security.stackexchange.com/questions/45770/if-dnssec-is-so-questionable-why-is-it-ahead-of-dnscurve-in-adoption == CurveDNS == DNSコンテンツサーバをDNSCurve対応させるためのforwarder http://curvedns.on2it.net/ http://curvedns.on2it.net/docs qmail.jp でも使い始めました。 [[CurveDNS|install log]] [[DNS/djbdns]] ---- http://dnscurve.org/index.html Confidentiality, Integrity, Availability {{{ DNSCurve encrypts all DNS packets. }}} http://cr.yp.to/djbdns/forgery.html http://tools.ietf.org/html/draft-dempsky-dnscurve-01 [[http://yebo-blog.blogspot.com/2008/08/djbdnsdnscurve.html|yebo blog]]には {{{ * 機密性: クエリと応答の全パケットが暗号化される * 完全性: 偽の応答を排除するため、全ての応答を暗号化認証する * 可用性: 偽造パケットの高速に見分けて排除する }}} とある。integritiyを完全性と訳すのはまずい。  http://www.iso27001.jp/information/glossary/integrity/ がまずい訳のもとか。 http://integrity.cocolog-nifty.com/blog/2006/08/integrity_079d.html   正当(性)、一貫性、真正性くらいの方が誤解が少ない。保全性というのもあり。 {{{  data integrity : データ保全性《データがもとと同一であり, 改竄・欠損などのないこと》 }}} 防毒性ではどうか。 OpenDNS adopts DNSCurve http://blog.opendns.com/2010/02/23/opendns-dnscurve/ [[http://dnscurve.org/|DNSCurve]]の左の欄にあるAttackers:はためになる。  http://dnscurve.org/forgery.html など。 == DNSCurve implement == [[/UDP+TCP]] How to implement a DNSCurve cache よりの引用 DNSCurve: Usable security for DNS http://dnscurve.org/in-implement.html == コンテンツサーバ == DNSCurveの問い合わせに答えるドメイン例  list.cr.yp.to, dnscurve.jp, reflection.co.jp :-)   ご存知のドメインを教えてください。 --> [[/ドメイン]] qmail.jp は設定し直し中です。 === CurveDNS === [[CurveDNS]] DNSCurve forwarder の実装 === gdnsd === ソース: http://code.google.com/p/gdnsd/ Features: http://code.google.com/p/gdnsd/wiki/Features {{{ gdnsd is a GPL3-licensed Authoritative DNS server written in C using libev and pthreads with a focus on high performance, low latency service. It does not offer any form of caching or recursive service, and does not support DNSSEC. }}} FreeBSD 8.1 でconfigure, make は完了。test には Perl が必要 == キャッシュサーバ == djbdns にたいする Dempsky patch: http://shinobi.dempsky.org/~matthew/patches/djbdns-dnscurve-20090602.patch {{{ This patch adds basic DNSCurve support to dnscache. }}} [[/Dempsky implementation]] DNSCurve キャッシュ opendns.com, e-ontap などからDNSCurveで問い合わせてきます。 == tools == https://github.com/mdempsky/dnscurve?locale=ja ----- == DNSCurve 後の世界 == DNSCurveが行き渡った世界ならDNSは安全か。  残念なことに、そうはならない。管理不良のドメインがなくならないかぎり、DNSは安全ではない。 DNSSECはどうか。  管理不良のドメインはDNSSECの世界では存在を抹殺される。そういうものが安全な世界と言えるか。 DNSが安全なものになるというのは夢にすぎない。現実を直視する勇気をもって欲しい。 = CurveCP = http://curvecp.org/ Usable security for the Internet [[CurveCP]] ---- UDP パケットについての長さの制約を回避する方法はまだ提案されていないらしい。 つまり root サーバで採用する段階ではないので、root サーバあるいは TLD サーバについては 他の方法で信頼性を確かめるということ。 == Vixie == http://www.isc.org/community/blog/201002/whither-dnscurve