令和5年秋期試験問題 午前Ⅱ 問13

DNSSECに関する記述のうち,適切なものはどれか。

  • 権威DNSサーバが,DNS問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
  • 権威DNSサーバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
  • リゾルバが,DNS問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
  • リゾルバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
解説
DNSSECとは、DNSのセキュリティを強化するための拡張仕様で、権威DNSサーバ側で保存しているリソースレコードにデジタル署名を施し、リゾルバ側で送られてきたデジタル署名の検証を行うことで、リソースレコードの作成元とデータの完全性を証明する仕組みです。
  1. ゾーンの管理者は、秘密鍵と公開鍵の鍵ペアを作成し、公開鍵をDNSKEYレコードとして公開しておく
  2. ゾーンの管理者は、リソースレコードのデジタル署名を作成しておく
  3. 権威DNSサーバは、DNS問合せがあった際に応答パケットにデジタル署名を含めて返信する
  4. リゾルバ側でデジタル署名を検証し、DNS応答の正当性・完全性を検証する
13.png
DNSSECを実装することにより、攻撃者によるデータの偽装を検知することが出来るようになり、攻撃者が偽のDNS応答を送り付けるDNSキャッシュポイズニングのような攻撃を防ぐことができるようになります。なお、通信の暗号化は行いません。また、リソースレコードへのデジタル署名の際には公開鍵暗号方式(公開鍵と秘密鍵を使う方式)を利用して署名します。
  • DNSSECは、DNS応答の正当性・完全性を確保するための技術であり、暗号化を行うものでありません。
  • デジタル署名の検証はリゾルバ側で行います。
  • DNS問合せに対する応答をするのは、権威DNSサーバです。リゾルバではありません。また暗号化も行いません。
  • 正しい。リゾルバがリソースレコード受信時にデジタル署名を検証することで、データの作成元の正当性とデータの完全性を確認するものです。

Pagetop