DNSSEC

DNSSEC(Domain Name System Security Extensions)는 인터넷 프로토콜(IP) 네트워크에 사용되어 도메인 네임 시스템(DNS)이 제공하는 특정한 종류의 정보를 취득하기 위한 국제 인터넷 표준화 기구(IETF) 사양을 위한 스위트의 하나이다. DNS 클라이언트에게 DNS 데이터의 메시지 인증, 실체에 대한 인증 거부, 데이터 무결성을 제공하지만 가용성이나 비밀 보장을 제공하지는 않는 DNS에 대한 확장 집합이다.

조작[편집]

리소스 레코드[편집]

RRSIG (리소스 레코드 서명, resource record signature)
DNSKEY
DS (delegation signer)
NSEC (next secure record)
NSEC3 (next secure record version 3)
NSEC3PARAM (next secure record version 3 parameters)

알고리즘[편집]

알고리즘 필드	알고리즘	출처	구현 상태^[1]
1	RSA/MD5		구현되지 않음
3	DSA/SHA-1		선택 사항
5	RSA/SHA-1	RFC 3110	요구됨
7	RSASHA1-NSEC3-SHA1	RFC 5155	권장됨
8	RSA/SHA-256	RFC 5702	권장됨
10	RSA/SHA-512	RFC 5702	권장됨
12	GOST R 34.10-2001	RFC 5933	선택 사항
13	ECDSA/SHA-256	RFC 6605	권장됨
14	ECDSA/SHA-384	RFC 6605	권장됨

역사[편집]

DNS가 중요한 인터넷 서비스의 하나이지만, 1990년에 스티브 벨로빈은 그 안에서 심각한 보안 결함을 발견하였다. 이에 대한 연구가 시작되었고, 그의 논문이 1995년 공개되면서 점차 연구가 증진되기 시작했다.^[2] 초기 RFC 2065가 1997년 IETF에 의해 출판되었고 이러한 사양을 구현하려는 초기 시도가 IETF RFC 2535로서 1999년의 개정판으로 이어졌다. RFC 2535에 기반한 DNSSEC를 배치할 계획이 세워졌다.

IETF 표준[편집]

RFC 2535 Domain Name System Security Extensions
RFC 3833 A Threat Analysis of the Domain Name System
RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
RFC 4398 Storing Certificates in the Domain Name System (DNS)
RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
RFC 6781 DNSSEC Operational Practices, Version 2

각주[편집]

↑ “RFC-6944”. IETF.
↑ "Using the Domain Name System for System Break-Ins" by Steve Bellovin, 1995

외부 링크[편집]

(영어) DNSSEC - DNSSEC information site: DNSSEC.net

이 글은 인터넷에 관한 토막글입니다. 여러분의 지식으로 알차게 문서를 완성해 갑시다.

[1] “RFC-6944”. IETF.

[2] "Using the Domain Name System for System Break-Ins" by Steve Bellovin, 1995

[1]

[2]