HSM を利用した DNSSEC の運用に関する考察 « DNSSECジャパン
DNSCheck[.SE] Test your DNS-server and find errors DNSSEC Debugger[VeriSign Labs] DNSSEC Validator[nic.cz] FireFox add-on DNSViz[Sandia National Laboratories] A DNS visualization tool OpenDNSSEC DNSSEC ジャパン 運用技術 WG 1. はじめに 1.1. 背景 2010年7月のルートサーバー導入を契機に導入が始まったDNSSEC技術では、ルートゾーンや各TLDの対応だけでなく、権威DNSサーバーの対応が必要不可欠だが、その導入には様々なノウハウが必要となる。 そこで我々DNSSEC ジャパンでは、検証や導入実績に基づいた各種ノウハウを文書化し提供してきた。 その一環として権威DNSサーバーへの
DNSSEC のこと調べようと思ったら for 文で RSA を decrypto したの巻 - してみんとて
今年に入ってレジストリの JPRS さんが DNSSEC に対応なさいました (JPドメイン名におけるDNSSEC運用ステートメント(JP DPS)) 。その関係で DNSSEC のこと少しくらいお勉強しないとなぁと思ったわけですが、「要するに RSA で署名しちゃうわけなんでしょ〜」って理解だけだと何なので一応手を動かしてみることにしました。 DNSSEC は、各ゾーン毎で各レコードセットに署名をしてレコード情報の改竄が検知できるようにします (RRSIG レコード)。運用の簡便化の為に公開鍵は 2 つ用意されてます (DNSKEY レコードの ZSK と KSK)。KSK のハッシュなどを上位ドメインに登録してもらうことで「上位ドメインが信じれれば当該ドメインも信じれる」という信頼のチェーンを作ります (DS レコード)。詳しくは、ググってね。 つわけで、ターゲットは www.dnss
CZ.NIC - DNSSEC Tester
Technologie DNSSEC rozšiřuje systém doménových jmen (DNS) o prvky, které zvyšují bezpečnost služby pro překlad doménových jmen na IP adresy a obráceně. DNSSEC zajišťuje důvěryhodnost údajů získaných z DNS. Jedním z problémů, které se vyskytují při zavádění DNSSEC, je nekompatibilita některých zařízení s touto bezpečnostní technologií. Jedná se především o hardware určený pro použití v domácnostech
DNSSEC 関連情報 ~ルートゾーンにおけるKSKの管理方法~ / JPRS
重要なポイント ○COの役割~平常時のHSM(KSK)の有効化~ HSMを有効化するスマートカードが保管された金庫の鍵を預かる スマートカード自身は預からない 第三者であるCOがHSMに直接触る(近づく)ことを避け、第三者がHSMを物理的に壊すリスクを回避できる ○RKSHの役割~緊急時のHSM(KSK)の復旧~ KSKの暗号化バックアップを作る際にHSM内部で使われた(HSM独自の)鍵の一部を預かる KSKそのものを暗号化したもの(の一部)は預からない もしRKSHだけが全員集合しても、KSKは複製できない ○直接の関係者はCO及びRKSHには就任できない 直接の関係者:ICANN、VeriSign、米国商務省(DoC) 不法な業務命令などによる圧力を回避 ○HSMの稼動を止めないことが重要 HSMはICANNの東西の拠点に2台ずつ、計4台稼動する 拠点内及び拠点間の双方において、それぞ
DNSブロッキングとDNSSECを共存させるための手法について
--------------------------------------------------------------------- ■DNSブロッキングとDNSSECを共存させるための手法について 株式会社日本レジストリサービス(JPRS) 2010/07/28(Wed) --------------------------------------------------------------------- ▼本文書の概要・目的 本文書は、児童ポルノ流通防止の一手法として実施が検討されているいわゆる 「DNSブロッキング」と、DNSをより安全に利用するための技術として導入が進 められている「DNSSEC」を、互いの影響を最小限にする形で共存させるための 手法について考察・記述することにより、インターネットの安定運用に資する ことを目的としている。 なお、本文書では、DNSブロッキ
第九研究室だより:伝家の宝刀
2010年07月23日 伝家の宝刀 去る7月21日に品川イーストタワー大会議室でDNSSEC 2010 サマーフォーラムが開催されました。 ライブドアはこのDNSSECジャパンの発起人の一人です。というのも、あまり知られていないかもしれませんが、ライブドアではlivedoor DOMAINというドメインの販売サービスをしてるからです。つまりlivedoorはドメインレジストラなのです。 DNSSECについてはDNSSECジャパンのサイトをご参照いただくとして、今回のフォーラムではなんと大会議室がほぼ満席となる盛況ぶり。おそらく120名以上が集いました。 しかし、これだけDNSSECに関するフォーラムが盛況で、DNSの重要性もDNSSECの必要性も十分理解はしているつもりですが、率直な感想を言わせてもらうと「それほど単純な話しではないっ!」という感じ。 フォーラムの発表中、「DNSとは空気の
JPRSが2011年1月に、JPドメイン名サービスにDNSSECを導入 / 株式会社日本レジストリサービス(JPRS)
‐JPドメイン名のセキュリティレベル向上により、インターネットをより安全に‐ JPドメイン名の登録管理及びドメインネームシステム(DNS)の運用を行う株式会社日本レジストリサービス(以下JPRS、本社:東京都千代田区、代表取締役社長 東田幸樹)は、JPドメイン名のセキュリティレベルの向上を目的として、2011年1月に、JPドメイン名サービスにDNSSECを導入します。 DNSSECはDNSのセキュリティ拡張機能で、公開鍵暗号の技術を用いた署名による認証を導入することでDNS応答の偽造を防ぎ、インターネット利用者がDNSサービスをより安全に使うことを可能にするものです。 JPRSはDNS応答の偽造によるセキュリティ上の脅威に対し、DNSSECの導入が有効な解決策であると考え、JPドメイン名サービスへのDNSSEC導入のための準備を進めてきました。DNSSECの円滑導入のためにはJPRSのみな
(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について
--------------------------------------------------------------------- ■(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について - ルートゾーンのトラストアンカー設定の前に、必ず9.7.1-P2への更新を - 2010/07/16(Fri) --------------------------------------------------------------------- ▼概要 BIND 9.7.1及び9.7.1-P1のRRSIGレコードの処理には不具合があり、DNSSEC の信頼の連鎖が構築された任意のゾーンの権威DNSサーバに対し、namedを利 用した遠隔からのDoS攻撃が可能となる脆弱性があることが、開発元のISCよ り報告されました。同時に本脆弱性を解決したバージョ
IANA — Interim Trust Anchor Repository
Between January 2009 and January 2011, we offered a service known as the Interim Trust Anchor Repository (ITAR). It provided a mechanism to disseminate the delegation signer records for top-level domains. This service was superseded by the signed DNS root zone in July 2010. All delegation signer records were removed from the ITAR later in 2010, with the service finally being decommissioned in Janu
DNSSEC対応してみるよ - skubotaの日記
あってるかな? キャッシュサーバーを対応させてみる BINDのばあい trusted-keysは http://ftp.isc.org/www/dlv/dlv.isc.org.named.conf trusted-keys { br. 257 3 5 "(snip)"; cz. 257 3 5 "(snip)"; se. 257 3 5 "(snip)"; bg. 257 3 5 "(snip)"; pr. 257 3 5 "(snip)"; museum. 257 3 5 "(snip)"; se. 257 3 5 "(snip)"; dlv.isc.org. 257 3 5 "(snip)"; }; options { //(snip) dnssec-enable yes; dnssec-validation yes; dnssec-lookaside "." trust-anchor
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Forged Delegation Injection into Empty Non-Terminal with NSEC3
NIST Offers New Tool To Verify TLSA Records For DANE / DNSSEC - Internet Society
DNSSEC has been deployed on gnome.org
JPドメイン名サービスへのDNSSEC導入は2011年1月、JPRSが発表 
DNSSEC » HOWTO turn BIND into a Validating Resolver
ICANN、ルートゾーンにおけるDNSSECの正式運用を開始 
yebo blog: DNSSECを容易に管理できるようにするOpenDNSSECプロジェクトが発足
csec28-dnsseclen.dvi
JANOG | JANOG24 Meeting
yebo blog: ARINが/8の逆引きゾーンをDNSSEC署名