*

DNSSECについて調べたことをまとめ

公開日: : bind

概要

 DNSSECについて調べたことをまとめ

  1. DNSSECの仕組み
  2. 流れ
  3. キー作成
  4. ゾーンの署名

DNSSECの仕組み

 ゾーン情報の信頼性を確保するために暗号を利用する方法。
 DNS応答のたびに解読していると時間がかかるため、持っているゾーン情報のハッシュ値を計算し暗号化する。
 署名されたゾーン情報を受け取ったクライアントは暗号を解読しハッシュ値をもとめる。このハッシュ値をクライアント自身が持つゾーン情報のハッシュ値と比較してぴったり合致したら「改ざんされていない信頼できるゾーン情報」となる。

流れ

キー作成
ゾーンの署名
ZSK鍵への署名(まだできないらしい)
DSレコードの登録(まだできないらしい)

キー作成

 dnssec-keygen はDNSSEC(Secure DNS)の鍵(ZSK鍵)を生成する(RFC2535およびRFC4034)。またTSIG(Transaction Signatures)で使用する鍵も生成する(RFC2845)。

dnssec-keygen -a HMAC-MD5 -b 512 -n ZONE [-ehk] [-c -f -g -p -r -s -t -v] name
 []は省略可能、<>内は必須。

主なオプション
-a RSAMD5
 暗号化アルゴリズムを指定する。指定する値は、RSAMD5(RSA)RSASHA1DSANSEC3RSASHA1NSEC3DSADH(Diffie-Hellman)HMAC-MD5のいずれかを指定する必要がある。
DNSSECの場合、RSASHA1が必須なためDSAが推奨される。TSIGの場合は、HMAC-MD5 が必要

-b 512
 鍵のビット数を指定する。鍵のサイズの選択は使用される暗号化アルゴリズムによって異なる。RSAMD5鍵とRSASHA1鍵は、512-2048ビットの間にする必要がある。Diffie-Herman鍵は、128-4096ビットの間にする必要がある。DSA鍵は、512-1024ビットの間で、ちょうど64の倍数にする必要がある。HMAC-MD5鍵は1-512ビットの間にする必要がある
-n ZONE
 鍵の所有者を指定する。
ZONE…DNSSECゾーン鍵(KEY/DNSKEY)
HOST または ENTITY…ホストに関連付けられた鍵
USERに関連付けられた鍵
OTHER
のいずれかの指定が必要。デフォルトはZONE

-r /dev/random
 乱数発生元を指定する。指定されていない場合キーボード入力になる。例のように指定するとキー作成が早まる

生成される鍵
 コマンドdnssec-keygen が正常に完了すると、「Knnnn,+aaa+iiii」の形式の文字列が標準出力に表示される。
 nnnn : 鍵名
 aaa : アルゴリズムの数値表現
 iiii : 鍵識別子(またはフットプリント)
dnssec-keygen によって作成された鍵は、Knnnn.+aaa+iiii.keyとKnnnn.+aaa+iiii.privateである。
 Knnnn.+aaa+iiii.keyには公開鍵が含まれる。ゾーンファイルに(直接またはincludeで)挿入できるDNS KEYレコードが含まれる。
 Knnnn.+aaa+iiii.privateには秘密鍵が含まれる。
 公開鍵と秘密鍵が同じである場合でも、HMAC-MD5などの対象暗号化アルゴリズム用に、.keyファイルと.privateファイルの両方が生成される。

ゾーンの署名

#ZSK鍵の公開鍵をゾーンファイルに記述する
cat Kwnqs.net.+001+32394.key >> /var/named/wnqs.zone
#ゾーンファイルに署名する
dnssec-signzone -o wnqs.net /var/named/wnqs.zone
/var/named/wnqs.zone.signed

 dnssec-signzone:-oオプションでゾーンの基点を指定。-kオプションでKSK秘密鍵を指定。引数はゾーンファイルとZSK秘密鍵を指定する。

参考・引用元

http://www.atmarkit.co.jp/ait/articles/0402/24/news085.html
http://www.atmarkit.co.jp/ait/articles/0402/24/news085_2.html
http://docs.oracle.com/cd/E26924_01/html/E29114/dnssec-keygen-1m.html#scrolltoc

admax_area



関連記事

no image

bind インストールと とりあえずの設定

流れ bind のインストール bind の設定 正引きファイルの作成 逆引きファイルの作成

記事を読む

admax_area



Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

admax_area



PAGE TOP ↑