Submit Search
Upload
Dnssec key management part1
•
0 likes
•
780 views
Tomonori Takada
Follow
Japanese translation (http://www.isc.org/files/DNSSEC_Key_Management.pdf)
Read less
Read more
Technology
Report
Share
Report
Share
1 of 24
Download now
Download to read offline
Recommended
Bind 9.8 feature overview
Bind 9.8 feature overview
Tomonori Takada
DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所
hdais
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
Takashi Takizawa
UnboundとNSDの紹介 BIND9との比較編
UnboundとNSDの紹介 BIND9との比較編
hdais
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Takashi Takizawa
Mobageの技術を体験(MyDNS編)
Mobageの技術を体験(MyDNS編)
Daisuke Ikeda
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Takashi Takizawa
キャッシュ・権威 兼用型浸透問題への対処
キャッシュ・権威 兼用型浸透問題への対処
hdais
Recommended
Bind 9.8 feature overview
Bind 9.8 feature overview
Tomonori Takada
DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所
hdais
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
Takashi Takizawa
UnboundとNSDの紹介 BIND9との比較編
UnboundとNSDの紹介 BIND9との比較編
hdais
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Takashi Takizawa
Mobageの技術を体験(MyDNS編)
Mobageの技術を体験(MyDNS編)
Daisuke Ikeda
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Takashi Takizawa
キャッシュ・権威 兼用型浸透問題への対処
キャッシュ・権威 兼用型浸透問題への対処
hdais
PowerDNSのご紹介
PowerDNSのご紹介
Akira Matsuda
Cephのベンチマークをしました
Cephのベンチマークをしました
OSSラボ株式会社
InfiniBand on Debian
InfiniBand on Debian
Taisuke Yamada
おれよりすごいておくれにあいにきた
おれよりすごいておくれにあいにきた
Katsuyoshi Matsumoto
20111029 part1-dnsをあえてdisってみる-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
Yasuhiro Morishita
FreeBSD Capsicum
FreeBSD Capsicum
Yuichiro Naito
どっかのしたのほう
どっかのしたのほう
_norin_
安全な(共用)DNSサービスの提供
安全な(共用)DNSサービスの提供
causeless
コンテナ型仮想化とはなんだったのか
コンテナ型仮想化とはなんだったのか
えむ ばーど
Seastar in 歌舞伎座.tech#8「C++初心者会」
Seastar in 歌舞伎座.tech#8「C++初心者会」
Takuya ASADA
Consistency level
Consistency level
Kazutaka Tomita
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Yuichiro Naito
Infinite Debian - Platform for mass-producing system every second
Infinite Debian - Platform for mass-producing system every second
Taisuke Yamada
DNSのRFCの歩き方
DNSのRFCの歩き方
Takashi Takizawa
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
Emma Haruka Iwao
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Midokura
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編
Yuki Morishita
仮想ネットワーク構築8枚slide
仮想ネットワーク構築8枚slide
k009c1271
シーサーでのInfiniBand導入事例
シーサーでのInfiniBand導入事例
Naoto MATSUMOTO
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
Takashi Takizawa
Oci file storage service deep dive 20181001 ss
Oci file storage service deep dive 20181001 ss
Kenichi Sonoda
Azure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox Edition
Kazuki Takai
More Related Content
What's hot
PowerDNSのご紹介
PowerDNSのご紹介
Akira Matsuda
Cephのベンチマークをしました
Cephのベンチマークをしました
OSSラボ株式会社
InfiniBand on Debian
InfiniBand on Debian
Taisuke Yamada
おれよりすごいておくれにあいにきた
おれよりすごいておくれにあいにきた
Katsuyoshi Matsumoto
20111029 part1-dnsをあえてdisってみる-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
Yasuhiro Morishita
FreeBSD Capsicum
FreeBSD Capsicum
Yuichiro Naito
どっかのしたのほう
どっかのしたのほう
_norin_
安全な(共用)DNSサービスの提供
安全な(共用)DNSサービスの提供
causeless
コンテナ型仮想化とはなんだったのか
コンテナ型仮想化とはなんだったのか
えむ ばーど
Seastar in 歌舞伎座.tech#8「C++初心者会」
Seastar in 歌舞伎座.tech#8「C++初心者会」
Takuya ASADA
Consistency level
Consistency level
Kazutaka Tomita
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Yuichiro Naito
Infinite Debian - Platform for mass-producing system every second
Infinite Debian - Platform for mass-producing system every second
Taisuke Yamada
DNSのRFCの歩き方
DNSのRFCの歩き方
Takashi Takizawa
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
Emma Haruka Iwao
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Midokura
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編
Yuki Morishita
仮想ネットワーク構築8枚slide
仮想ネットワーク構築8枚slide
k009c1271
シーサーでのInfiniBand導入事例
シーサーでのInfiniBand導入事例
Naoto MATSUMOTO
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
Takashi Takizawa
What's hot
(20)
PowerDNSのご紹介
PowerDNSのご紹介
Cephのベンチマークをしました
Cephのベンチマークをしました
InfiniBand on Debian
InfiniBand on Debian
おれよりすごいておくれにあいにきた
おれよりすごいておくれにあいにきた
20111029 part1-dnsをあえてdisってみる-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
FreeBSD Capsicum
FreeBSD Capsicum
どっかのしたのほう
どっかのしたのほう
安全な(共用)DNSサービスの提供
安全な(共用)DNSサービスの提供
コンテナ型仮想化とはなんだったのか
コンテナ型仮想化とはなんだったのか
Seastar in 歌舞伎座.tech#8「C++初心者会」
Seastar in 歌舞伎座.tech#8「C++初心者会」
Consistency level
Consistency level
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Infinite Debian - Platform for mass-producing system every second
Infinite Debian - Platform for mass-producing system every second
DNSのRFCの歩き方
DNSのRFCの歩き方
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編
仮想ネットワーク構築8枚slide
仮想ネットワーク構築8枚slide
シーサーでのInfiniBand導入事例
シーサーでのInfiniBand導入事例
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
Similar to Dnssec key management part1
Oci file storage service deep dive 20181001 ss
Oci file storage service deep dive 20181001 ss
Kenichi Sonoda
Azure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox Edition
Kazuki Takai
第33回 U-20プログラミング・コンテスト 「USB Lock」
第33回 U-20プログラミング・コンテスト 「USB Lock」
kazuhirokazu
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
MITSUNARI Shigeo
Cld002 windows server_2016_で作るシンプ
Cld002 windows server_2016_で作るシンプ
Tech Summit 2016
Postgre SQL security_20170412
Postgre SQL security_20170412
Kazuki Omo
動画共有ツール
動画共有ツール
tamtam180
Cocos2d-x Console @Cocos Talks #3
Cocos2d-x Console @Cocos Talks #3
Akihiro Matsuura
Softlayerを申込んでみた参考資料 140730
Softlayerを申込んでみた参考資料 140730
YoshiyukiKonno
Osc2011 Do
Osc2011 Do
Kazuhisa Hara
リアルタイムにデータを配信・変換・統合:Qlik Cloudデータ統合のご紹介
リアルタイムにデータを配信・変換・統合:Qlik Cloudデータ統合のご紹介
QlikPresalesJapan
Scale flux roi&performance_acri
Scale flux roi&performance_acri
直久 住川
10分で分かるLinuxブロックレイヤ
10分で分かるLinuxブロックレイヤ
Takashi Hoshino
USENIX NSDI17 Memory Disaggregation
USENIX NSDI17 Memory Disaggregation
Kuniyasu Suzaki
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Akihiro Suda
N110 ws12概要 osamut_公開版
N110 ws12概要 osamut_公開版
Osamu Takazoe
"No Man’s Sky" から"Forza Horizon 5" まで。 国内外の成功タイトルが使う Microsoft Azure
"No Man’s Sky" から"Forza Horizon 5" まで。 国内外の成功タイトルが使う Microsoft Azure
Daisuke Masubuchi
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale Japan株式会社
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
Atsuhiko Yamanaka
JellyBeanのソースをとりあえず眺めてみた(手抜き)
JellyBeanのソースをとりあえず眺めてみた(手抜き)
l_b__
Similar to Dnssec key management part1
(20)
Oci file storage service deep dive 20181001 ss
Oci file storage service deep dive 20181001 ss
Azure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox Edition
第33回 U-20プログラミング・コンテスト 「USB Lock」
第33回 U-20プログラミング・コンテスト 「USB Lock」
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
Cld002 windows server_2016_で作るシンプ
Cld002 windows server_2016_で作るシンプ
Postgre SQL security_20170412
Postgre SQL security_20170412
動画共有ツール
動画共有ツール
Cocos2d-x Console @Cocos Talks #3
Cocos2d-x Console @Cocos Talks #3
Softlayerを申込んでみた参考資料 140730
Softlayerを申込んでみた参考資料 140730
Osc2011 Do
Osc2011 Do
リアルタイムにデータを配信・変換・統合:Qlik Cloudデータ統合のご紹介
リアルタイムにデータを配信・変換・統合:Qlik Cloudデータ統合のご紹介
Scale flux roi&performance_acri
Scale flux roi&performance_acri
10分で分かるLinuxブロックレイヤ
10分で分かるLinuxブロックレイヤ
USENIX NSDI17 Memory Disaggregation
USENIX NSDI17 Memory Disaggregation
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
N110 ws12概要 osamut_公開版
N110 ws12概要 osamut_公開版
"No Man’s Sky" から"Forza Horizon 5" まで。 国内外の成功タイトルが使う Microsoft Azure
"No Man’s Sky" から"Forza Horizon 5" まで。 国内外の成功タイトルが使う Microsoft Azure
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
JellyBeanのソースをとりあえず眺めてみた(手抜き)
JellyBeanのソースをとりあえず眺めてみた(手抜き)
More from Tomonori Takada
従量制課金のLBいかがすかー(仮)
従量制課金のLBいかがすかー(仮)
Tomonori Takada
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
Tomonori Takada
AWS IAM入門
AWS IAM入門
Tomonori Takada
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
Tomonori Takada
オンプレとAWSをつなぐVPNとルーティング
オンプレとAWSをつなぐVPNとルーティング
Tomonori Takada
Centos7 systemd
Centos7 systemd
Tomonori Takada
More from Tomonori Takada
(6)
従量制課金のLBいかがすかー(仮)
従量制課金のLBいかがすかー(仮)
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
AWS IAM入門
AWS IAM入門
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
オンプレとAWSをつなぐVPNとルーティング
オンプレとAWSをつなぐVPNとルーティング
Centos7 systemd
Centos7 systemd
Recently uploaded
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
Recently uploaded
(11)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Dnssec key management part1
1.
DNSSEC Key Management Part1 http://www.isc.org/files/DNSSEC_Ke
y_Management.pdf を訳してみた 訳:qt.takada
2.
このセッションの参加者 • Alan Clegg
– ISC Training and Support Engineer • Larissa Shapiro – ISC Product Manager
3.
Part1の内容 • part2、3では以下の話題を扱う –
鍵のロールオーバ方針 – ロールオーバのツールとその使用方法 • Part1では、鍵の配置について解説
4.
そもそも鍵とは何か? • ZSK(Zone Signing
Key) – ゾーン内のリソースレコードに署名する鍵 • KSK(Key Signing Key) – DNSKEYリソースレコードに署名する鍵 – 上位ゾーンから提供される当該ゾーンへの 「安全な入り口」
5.
鍵の作り方 • BINDでは、dnssec-keygenコマンドが提供 • ZSK、KSKの両方を作ることが可能
– flagオプションで生成する鍵を指定可能 -f ksk • いずれの鍵を生成するときも、dnssec- keygenは2つのファイルを出力する
6.
dnssec-keygenによる出力される
2つのファイル • DNSSECは公開鍵暗号方式を使う – 公開鍵/秘密鍵のセットが使われる – 秘密鍵は漏洩しないように管理する – 公開鍵はゾーンデータ内に記載され、公開さ れる
7.
ゾーン内でのKSK/ZSK • ゾーンデータを検証(Validation)されるよう
にするには、署名前にKSKとZSK双方の 公開鍵がゾーンファイルに含まれている必 要がある。 – $INCLUDE を使うか、単純にコピペのどっち か • BIND9.7では自動化機能が実装された
8.
署名はどのように行われるか • BIND9.7以前 –
“dnssec-signzone”コマンド使った手動署名 • BIND9.7以降 – 手動署名の機能が強化 – 自動再署名機能がつかえるようになった
9.
手動署名 • 署名作業の全工程はコマンドラインから実
行 – 作業者は公開鍵(ゾーンファイルに含まれる) と秘密鍵(署名用)の両方にアクセスできない といけない – 非署名のゾーンは署名される – 署名済みゾーンは再署名される(必要があれ ば)
10.
自動署名 • BINDはオンラインでの自動署名機能を提
供 – 対話型の操作は必要ない – BINDのプロセスは鍵へのアクセス権が必要
11.
鍵はどこに保存できるか? • 現時点では2つの選択が可能 –
ファイルシステム – HSM(Hardware Security Module)
12.
ファイルシステム • BIND9.7以前は、ゾーンファイルともに鍵を
保存しておくのが適当な方法だった。。。 メリット: 各ゾーンファイルでどの鍵が有効化を 把握するのが簡単 デメリット: 秘密鍵と公開鍵の区別がつきにくい
13.
BIND9.7で改善された点 1 • 9.7では、DNSSECの各種コマンドに“-k”オ
プションが追加されている – 鍵の配置ディレクトリの場所を指定可能に • 署名処理では、この場所から鍵を読み込む • 鍵の生成処理では、この場所に鍵の出力を行う
14.
BIND9.7で改善された点 2 • 加えて、namdプロセスには、鍵の配置ディ
レクトリを指定するオプションが追加された – key-directory • このオプションは、ゾーン単位もしくはグロ バール設定として指定可能
15.
理想と現実 暗号化おたくの想像
「そいつのノートPCは暗号化されている。 クラックするために、最高級のツールを使おう」 「いや、こいつは4096bitRSA方式だから不可能だ」 「ちくしょー。俺らの企みは失敗だ」 実際はどうなるか 「そいつのノートPCは暗号化されている。」 「そいつにクスリを嗅がせて、パスワードを吐くまで、5$のレンチでぶん殴ろう」 「よし、やっちまおう」 http://www.xkcd.com/538/ http://www.xkcd.com/538/ xkcd
16.
殴られないために・・・。 • KSK秘密鍵は、必要となるまでオフライン
化しておくべき – KSKはDNSKEYレコードに署名するだけに使 用され、かつリソースレコードの変更時にしか 必要とされないため – KSKもしくはZSKのロールオーバ時
17.
リソースレコードシグネチャの期
限切れへの注意 • DNSKEYレコードの署名は、自動的に期 限延長されており、30日ごとに再生成され ていない – これは、(署名の期限切れを原因とする)リプ レイアタック攻撃への脆弱性を高める
18.
よりセキュアでありたければ • ファイルシステムは、常に権限をもったユー
ザによるローカル攻撃への脆弱性を持っ ている – ”高価値”なゾーンは、より保護される必要が ある – お上の通達は、時に保護への取り組みの動 機づけにもなる(FIPS 140-2) • セキュリティ要件を規定した米国連邦標準規格
19.
HSM(Hardware Security Module) •
HSMは、抽出不可能な秘密鍵を提供する • 公開鍵はファイルシステム上に配置 – ゾーンファイル中に“include”される必要があ るので
20.
HSMはどのように動作するか • 署名アプリはハードウェアデバイスにアク
セスできる必要がある – namedプロセスやdnssec-signzoneなど – アクセスは改良版のOPENSSLライブラリを通 して行われる
21.
HSMによる署名 • ゾーンデータの署名はHSM内で行われる –
KSK秘密鍵は決して攻撃者に漏えいすること はない – 署名処理の性能は、HSMに依存する
22.
改良版のOPENSSLライブラリ • BINDでは、標準でパッチを提供 –
“key by reference”とPIN管理を追加 – システムのOPENSSLを置き換えるものではな い
23.
まともに動くのか? • HSM上での鍵生成は、"dnssec-key"コマン
ドの変わりに、"pkcs11-keygen"コマンドを 使う • namedプロセスによる自動再署名が実装さ れてる – PINはファイルシステム上に配置されている必 要がある
24.
どこで入手可能か? • 鍵生成装置は個別に入手可能、またISC
のインストール・コンサルサービスとセット での提供も可能 • ISC営業担当者に問い合わせ
Download now