トップ 最新 追記

インターノット崩壊論者の独り言


EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2009-11-18 百害あって一利なし

DNSSECを破る

D. J. Bernsteinの痛快なDNSSEC批判を新山さんが翻訳してくれている。 :-)
http://www.unixuser.org/~euske/doc/cr.yp.to/2009.08.10.slides.html

RFC 4033 には、こう書かれている:

「DNSSEC はサービス拒否攻撃に対する保護を提供するものではありません」

RFC 4033 には、こうは書かれていない:

「DNSSEC は遠隔攻撃が可能な二重砲身式ショットガンで、インターネットにおける最悪の DDoS 増幅器です」
1999年の DNSSEC仕様にはこう書いてある:

「DNS上のデータは公開されているものであり、 DNSはすべての問い合わせ側に対して同一の応答を返すというのは、 DNSの設計哲学の一部です」

RFC 4033 にはこう書かれている:

「DNSSEC は秘匿性を提供しません。... DNSSEC は悪意のある人々がゾーン上のすべての名前を列挙できるようになっています。... これは DNS自身に対する攻撃ではありません」

ウソ→「このような DNSSEC の失敗は、 NSEC3 (規約案、2008年) によって修復できる」

ホント→「DNSSEC+NSEC3 は、これまでの DNS よりもはるかに早くプライベートな情報を漏らしてしまう」
DNSSEC は、DNS の利便性を上げるのにはまったく貢献しない。

DNSSEC は、トンでもないレベルの DDoS増幅を可能にし、インターネットの利便性に損害を与える。

DNSSEC は、DNS の秘匿性を上げるのにはまったく貢献しない。

DNSSEC は、NSEC3があってさえ、プライベートな DNSデータを漏洩する。
もっとも簡単かつ強力な攻撃:
署名は無視できる。

攻撃者が .org からのパケットを偽造し、同じ DNSSEC 署名をもつが、その NS+A レコードを、攻撃者のサーバを指すように変更したとする。

真実: DNSSEC による『検証』ではこの違いはわからない。この署名は、NS+Aレコードについては何も言っていないからだ。偽造した情報が受け入れられる。

百害あって一理なしってとこですかね。 そもそも今日の問題を技術で解決しようと思うのが間違い。 E.F.シューマッハーと I.イリイチを読もう。

本日のツッコミ(全2件) [ツッコミを入れる]

tm [「百害あって一理なし」ねえ。 一理なしとまで言われるとは。 おもしろいから、google 検索してみました。多数、..]

tss [変換ミスに気づきませんでしたが、一理でもいいかと思います :-)]


2009-11-27 だからDNSSEC以前にやるべきことは、、、

お名前.com どうしちゃったんでしょう。

【DNS設定/転送Plus】名前解決不具合の発生
http://support.gmo.jp/news/d/onamae.php?nid=10485

まあ、もともと杜撰だったので、こんなこともあるんじゃないかと思ってました。

お名前.com が顧客用に提供していたセカンダリサーバであるdns2.interq.or.jpの応答がなく、数多くのドメインがlame delegationになっていることを、2005年に問題としてとりあげたのですが、その後も長い間止まったままでした。2年ほど前にあきれて親切に電話してあげたのですが、「合併などで担当部署がわからなくなっている」とかでたらい回しにされた覚えがあります。

関連:

IW2009

IW2009行ってきました。暗かったです。IPv6もDNSSECも根性論の世界。問題ありすぎで、どうにもうまく運用できそうもない。だけどやらなきゃ、みたいな、、、

本日のツッコミ(全3件) [ツッコミを入れる]

tm [お名前.com の件、セカンダリサーバねえ。 DNS でセカンダリサーバだったことはどういう意味があるのでしょう..]

tss [用語は正しく使えと ^^;]

tm [IW2009の件: いまのネットが生きがい(飯の種)の人達の中ならそういうものでしょう。なんでもIT化すればいい..]


最近の日記

2008|04|05|06|07|08|10|11|
2009|02|03|04|06|07|09|10|11|
2010|01|03|06|09|10|11|12|
2011|01|02|03|05|06|07|10|11|
2012|03|06|07|10|11|12|
2013|02|03|04|05|06|08|09|10|11|
2014|01|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|07|08|09|10|11|12|
2016|01|06|08|12|
2017|03|07|08|09|12|
2018|04|08|10|11|
2019|01|02|07|11|12|
2020|01|02|03|05|06|07|08|

リンク

Copyright by T.Suzuki