どのようにDNSSECがインターネットを安全にするのを助けるそしてSOPAがそれをほとんど違法にしたか
ドメインネームシステムセキュリティ拡張機能(DNSSEC)は、インターネットの弱点の1つを修正するのに役立つセキュリティテクノロジです。 SOPAがDNSSECを違法にしたため、SOPAが合格しなかったことは幸運です。.
DNSSECは、インターネットが本当に持っていない場所に重要なセキュリティを追加します。ドメインネームシステム(DNS)はうまく機能しますが、プロセスのどの時点でも検証が行われないため、攻撃者には問題が残ります。.
現在の状況
我々は過去にDNSがどのように機能するかを説明しました。簡単に言うと、「google.com」や「howtogeek.com」などのドメイン名に接続すると、コンピュータはDNSサーバーに接続して、そのドメイン名に関連付けられたIPアドレスを検索します。コンピュータはそのIPアドレスに接続します.
重要なのは、DNSルックアップに関連する検証プロセスがないということです。あなたのコンピュータはWebサイトに関連付けられたアドレスをDNSサーバに要求し、DNSサーバはIPアドレスで応答し、そしてあなたのコンピュータは「いいね!」と言って喜んでそのWebサイトに接続します。あなたのコンピュータはそれが有効な応答であるかどうかをチェックするのをやめません.
攻撃者がこれらのDNS要求をリダイレクトしたり、悪い応答を返すように設計された悪質なDNSサーバーを設定したりする可能性があります。たとえば、公衆Wi-Fiネットワークに接続しているときにhowtogeek.comに接続しようとすると、その公衆Wi-Fiネットワーク上の悪意のあるDNSサーバーがまったく異なるIPアドレスを返す可能性があります。 IPアドレスによってフィッシングWebサイトにアクセスする可能性があります。あなたのウェブブラウザは、IPアドレスが実際にhowtogeek.comに関連付けられているかどうかを確認するための本当の方法を持っていません。 DNSサーバーから受信した応答を信頼するだけです。.
HTTPS暗号化はある程度の検証を提供します。たとえば、銀行のWebサイトに接続してみて、アドレスバーにHTTPSと鍵のアイコンが表示されているとします。あなたは、認証局がウェブサイトがあなたの銀行に属していることを確認したことを知っています.
侵入先のアクセスポイントから銀行のWebサイトにアクセスし、DNSサーバーが偽造フィッシングサイトのアドレスを返した場合、フィッシングサイトはそのHTTPS暗号化を表示できません。しかし、フィッシングサイトではHTTPSではなくプレーンHTTPを使用することを選択する場合があります。ほとんどのユーザーは違いに気付かず、とにかくオンラインバンキングの情報を入力することになるでしょう。.
あなたの銀行は「これらは私たちのウェブサイトのための正当なIPアドレスです」と言うことはできません。
DNSSECがどのように役立つか
DNSルックアップは実際にはいくつかの段階で行われます。たとえば、コンピュータがwww.howtogeek.comを要求すると、コンピュータはいくつかの段階でこの検索を実行します。
- それは最初にそれが見つけることができる「ルートゾーンディレクトリ」を尋ねます .コム.
- それはそれからそれが見つけることができる.comディレクトリを尋ねます howtogeek.com.
- その後、howtogeek.comに検索できる場所を尋ねます。 www.howtogeek.com.
DNSSECは「ルートに署名する」ことを含みます。あなたのコンピュータが.comを見つけることができるルートゾーンに尋ねに行くとき、それはルートゾーンの署名キーをチェックし、それが本当の情報で正当なルートゾーンであることを確認できます。その後、ルートゾーンは署名キーまたは.comとその場所に関する情報を提供し、コンピュータが.comディレクトリにアクセスしてそれが正当であることを確認できるようにします。 .comディレクトリは、howtogeek.comの署名鍵と情報を提供し、howtogeek.comに連絡して、その上のゾーンで確認されているように、実際のhowtogeek.comに接続していることを確認できます。.
DNSSECが完全に展開されると、あなたのコンピュータはDNS応答が正当で真実であることを確認することができますが、現在のところどの応答が偽でどの応答が本物であるかを知る方法はありません。.
暗号化がどのように機能するかについてもっと読む.
SOPAは何をすべきだったか
では、SOPAとして知られるオンライン著作権侵害防止法はどのようにしてこれらのすべてに当てはまりましたか。さて、あなたがSOPAに従ったならば、あなたはそれがインターネットを理解していない人々によって書かれたことをあなたは理解します、それでそれは様々な方法で「インターネットを壊す」でしょう。これはそのうちの一つです.
DNSSECにより、ドメイン名の所有者は自分のDNSレコードに署名することができます。たとえば、thepiratebay.seはDNSSECを使用して、関連付けられているIPアドレスを指定できます。 google.comまたはthepiratebay.seを問わず、コンピュータがDNSルックアップを実行すると、DNSSECは、ドメイン名の所有者によって検証された正しい応答を受信しているとコンピュータに判断させます。 DNSSECは単なるプロトコルです。 「良い」ウェブサイトと「悪い」ウェブサイトを区別しようとしない.
SOPAは、インターネットサービスプロバイダに「悪い」WebサイトのDNS検索をリダイレクトするよう要求していました。たとえば、インターネットサービスプロバイダの加入者がthepiratebay.seにアクセスしようとした場合、ISPのDNSサーバーは別のWebサイトのアドレスを返します。これにより、Pirate Bayがブロックされたことが通知されます。.
DNSSECでは、そのようなリダイレクトは、DNSSECが防止するように設計された中間者攻撃と区別がつかないでしょう。 DNSSECを展開しているISPは、Pirate Bayの実際のアドレスで応答しなければならず、したがってSOPAに違反しているでしょう。 SOPAに対応するために、DNSSECは大きな穴を開けなければならないでしょう。それはインターネットサービスプロバイダーと政府がドメイン名の所有者の許可なしにドメイン名のDNS要求をリダイレクトできるようにするものです。これを安全な方法で行うことは(不可能ではないにしても)困難であり、攻撃者に新しいセキュリティホールを開く可能性があります。.
幸いなことに、SOPAは死んでいて、うまくいけば戻ってこないでしょう。 DNSSECは現在展開されており、この問題に対する長期にわたる修正を提供します。.
Image Credit:Khairil Yusof、FlickrのJemimus、FlickrのDavid Holmes