【ダイジェスト】
DNSSECと暗号化の違いについて、IBMブログが解説しています。DNSSECは中間者攻撃からネットワークを保護するもので、公開鍵暗号を使用していますが、これは暗号化とは異なります。DNSSECは認証の形を提供しますが、機密性の形は提供しません。公開鍵暗号は、DNSクエリをデジタルで「署名」し、認証するために使用されます。DNSSECがゾーンレコードで有効になっている場合、受信デバイスは受け取った情報を元の情報と比較できます。これは、公開鍵を使用したデジタル署名によって可能になります。DNSSECでは、認証キーは暗号化を通じて保護されますが、データ自体は保護されません。データは依然として傍受され、読まれる可能性があります。一方、暗号化はデータ自体を暗号化するために暗号化を使用します。暗号化は、攻撃者がデータパス上のどこかでクエリを傍受した場合に見えるものを変更し、データを不明瞭にします。
DNSはインターネット上の古いプロトコルの一つであり、セキュリティは後から考えられたものでした。インターネットセキュリティが懸念されるようになった時には、DNSは広く使用されていたため、大きな変更はシステム全体を停止させる可能性がありました。そのため、DNSに認証メカニズムを追加することで妥協しました。DNSSECはクエリとデータの認証を可能にし、プロトコルのセキュリティを向上させましたが、基本的なシステムを変更することなく、インターネットの成長を続けることができました。DNSSECの展開はオプションとされ、組織が必要に応じて移行できるようになっています。
DNSキャッシュポイズニング(DNSスプーフィングとも呼ばれる)は、DNSSECを展開する大きな理由の一つです。DNSSECはDNSレスポンスを認証し、正しい回答のみが返されるようにすることで、この種の攻撃から保護します。暗号化はDNS接続の基本データを保護するかもしれませんが、DNSスプーフィング攻撃からは保護しません。
残念ながら、インターネットトラフィックの約20%のみがDNSSECを通じて検証されています。これは数年前から大幅に増加していますが、理想的な状態からはまだ遠いです。使用性の問題、情報不足、単なる怠慢がその大きなギャップの原因です。NS1は、すべての顧客にDNSSECの展開を強く推奨し、簡単な展開プロセスを通じてその使用を促進しています。他のプロバイダとは異なり、NS1は専用DNSオファリングを通じて、セカンダリプロバイダーや冗長DNSオプションとしてDNSSECをサポートしています。
【ニュース解説】
DNSSECとは、Domain Name System Security Extensionsの略で、インターネット上でドメイン名をIPアドレスに変換する際のセキュリティを強化するための技術です。これにより、DNS応答の真正性を保証し、中間者攻撃などによる改ざんから保護します。しかし、DNSSECはデータの機密性を保護するわけではなく、認証のみを提供します。これは、データ自体を暗号化することとは異なります。
公開鍵暗号を使用するDNSSECは、DNSクエリにデジタル署名を施し、受信側がその署名を検証することで、応答が信頼できる元から来たものであることを確認できます。しかし、データ自体は暗号化されていないため、傍受された場合には内容を読み取られる可能性があります。
一方で、暗号化はデータ自体をコード化し、第三者がデータを傍受しても内容を理解できないようにします。これにより、データの機密性が保たれ、改ざんからも保護されます。しかし、DNSSECがなければ、DNS応答自体が偽物である可能性があり、これを検出することはできません。
DNSSECが暗号化を使用しない理由は、DNSプロトコルがインターネットの初期に設計された際、セキュリティは重要視されていなかったためです。後にセキュリティが問題となった時、既に広く使われていたDNSを大きく変更することは困難でした。そのため、既存のシステムに認証機能を追加する形でDNSSECが開発されました。
DNSキャッシュポイズニングは、DNS応答を偽造し、ユーザーを悪意のあるサイトに誘導する攻撃です。DNSSECはこのような攻撃から保護するために重要であり、正しいDNS応答のみがキャッシュされるようにします。
残念ながら、DNSSECを利用しているインターネットトラフィックは全体の約20%に過ぎません。これは、展開の複雑さや情報不足、利用者の意識の低さなどが原因です。NS1などの企業は、DNSSECの簡単な展開プロセスを提供し、その使用を推奨しています。
DNSSECの導入は、インターネットのセキュリティを向上させる重要なステップですが、完全な暗号化には至っていません。将来的には、DNSSECと暗号化を組み合わせたソリューションが、より包括的なセキュリティを提供する可能性があります。また、DNSSECの普及とともに、インターネットの信頼性と安全性が高まることが期待されますが、そのためには技術的な障壁を乗り越え、より多くの組織がこの技術を採用する必要があります。
from How is DNSSEC different from encryption? .
