DNSSEC(DNS Security Extensions)

• ディジタル署名 によって応答の正当性を確認できるようにした DNS の拡張仕様
• DNS キャッシュポイズニング攻撃への有効な対策
  • 名前解決要求に対して応答を返す DNS サーバが、自身の秘密鍵を用いて応答レコードにディジタル署名を検証することで、応答レコードの正当性、完全性を確認する

動作

---

• Ca : キャッシュ DNS サーバ を指すとする
• Au : 権威 DNS サーバを指すとする

1. Ca => Au
   • 名前解決要求
2. Au
   • ハッシュ値を計算
   • 秘密鍵で暗号化
3. Au => Ca
   • IP アドレスと署名を送信
4. Ca
   • 署名を公開鍵で復号
   • Au から送られたデータのハッシュ値を計算
   • 暗号化されたハッシュ値と、Ca で計算したハッシュ値を比較