## page was renamed from DNS/DNSSEC/限界/breaking-dnssec DNS/DNSSEC/限界/breaking-dnssecについて、ここに記述してください。 {{{ Breaking DNSSEC D. J. Bernstein University of Illinois at Chicago }}} == slide 64 == Easiest, most powerful attack: Can ignore signatures. Suppose an attacker forges a DNS packet from .org, including exactly the same DNSSEC signatures but changing the NS+A records to point to the attacker’s servers. {{{ Fact: DNSSEC “verification” won’t notice the change. The signatures say nothing about the NS+A records. The forgery will be accepted. }}} == 委譲 == 例えば、 [[DNS/watch/iij.ad.jp]] をみよ。  $dig +dnssec a www.iij.ad.jp @a.dns.jp JPからiij.ad.jpドメインに委譲されていて、そのNSとA/AAAAレコードがある。  NSはauthority sectionに, A/AAAAはadditional sectionにそれぞれあり、JPサーバによる署名はない。 ただし、DSレコードがある。しかし、(偽)NS, A を使って、問い合わせて得たDNSKEYは正しいはずで、検証はパスする。 その先の問い合わせの返答が問題になる。ここで毒が検出できるか。 www.iij.ad.jp の A レコードがanswer section にある場合だと、正しい署名がつけられないので、バレる。  しかし、www.iij.ad.jp が再度委譲されていると、署名(RRSIG)はないので、非DNSSECとして有効になりそうだ。 -- ToshinoriMaeno <>