D. J. Bernsteinの痛快なDNSSEC批判を新山さんが翻訳してくれている。 :-)
http://www.unixuser.org/~euske/doc/cr.yp.to/2009.08.10.slides.html
RFC 4033 には、こう書かれている:
「DNSSEC はサービス拒否攻撃に対する保護を提供するものではありません」
RFC 4033 には、こうは書かれていない:
「DNSSEC は遠隔攻撃が可能な二重砲身式ショットガンで、インターネットにおける最悪の DDoS 増幅器です」
1999年の DNSSEC仕様にはこう書いてある:
「DNS上のデータは公開されているものであり、 DNSはすべての問い合わせ側に対して同一の応答を返すというのは、 DNSの設計哲学の一部です」
RFC 4033 にはこう書かれている:
「DNSSEC は秘匿性を提供しません。... DNSSEC は悪意のある人々がゾーン上のすべての名前を列挙できるようになっています。... これは DNS自身に対する攻撃ではありません」
ウソ→「このような DNSSEC の失敗は、 NSEC3 (規約案、2008年) によって修復できる」
ホント→「DNSSEC+NSEC3 は、これまでの DNS よりもはるかに早くプライベートな情報を漏らしてしまう」
DNSSEC は、DNS の利便性を上げるのにはまったく貢献しない。
DNSSEC は、トンでもないレベルの DDoS増幅を可能にし、インターネットの利便性に損害を与える。
DNSSEC は、DNS の秘匿性を上げるのにはまったく貢献しない。
DNSSEC は、NSEC3があってさえ、プライベートな DNSデータを漏洩する。
もっとも簡単かつ強力な攻撃:
署名は無視できる。
攻撃者が .org からのパケットを偽造し、同じ DNSSEC 署名をもつが、その NS+A レコードを、攻撃者のサーバを指すように変更したとする。
真実: DNSSEC による『検証』ではこの違いはわからない。この署名は、NS+Aレコードについては何も言っていないからだ。偽造した情報が受け入れられる。
百害あって一理なしってとこですかね。 そもそも今日の問題を技術で解決しようと思うのが間違い。 E.F.シューマッハーと I.イリイチを読もう。
Copyright by T.Suzuki
「百害あって一理なし」ねえ。<br>一理なしとまで言われるとは。<br><br>おもしろいから、google 検索してみました。多数、ヒット :-<
変換ミスに気づきませんでしたが、一理でもいいかと思います :-)