Enviar búsqueda
Cargar
Dnssec key management part1
•
0 recomendaciones
•
780 vistas
Tomonori Takada
Seguir
Japanese translation (http://www.isc.org/files/DNSSEC_Key_Management.pdf)
Leer menos
Leer más
Tecnología
Vista de diapositivas
Denunciar
Compartir
Vista de diapositivas
Denunciar
Compartir
1 de 24
Descargar ahora
Descargar para leer sin conexión
Recomendados
Bind 9.8 feature overview
Bind 9.8 feature overview
Tomonori Takada
DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所
hdais
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
Takashi Takizawa
UnboundとNSDの紹介 BIND9との比較編
UnboundとNSDの紹介 BIND9との比較編
hdais
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Takashi Takizawa
Mobageの技術を体験(MyDNS編)
Mobageの技術を体験(MyDNS編)
Daisuke Ikeda
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Takashi Takizawa
キャッシュ・権威 兼用型浸透問題への対処
キャッシュ・権威 兼用型浸透問題への対処
hdais
Recomendados
Bind 9.8 feature overview
Bind 9.8 feature overview
Tomonori Takada
DNSキャッシュサーバ チューニングの勘所
DNSキャッシュサーバ チューニングの勘所
hdais
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
Takashi Takizawa
UnboundとNSDの紹介 BIND9との比較編
UnboundとNSDの紹介 BIND9との比較編
hdais
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Takashi Takizawa
Mobageの技術を体験(MyDNS編)
Mobageの技術を体験(MyDNS編)
Daisuke Ikeda
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Takashi Takizawa
キャッシュ・権威 兼用型浸透問題への対処
キャッシュ・権威 兼用型浸透問題への対処
hdais
PowerDNSのご紹介
PowerDNSのご紹介
Akira Matsuda
Cephのベンチマークをしました
Cephのベンチマークをしました
OSSラボ株式会社
InfiniBand on Debian
InfiniBand on Debian
Taisuke Yamada
おれよりすごいておくれにあいにきた
おれよりすごいておくれにあいにきた
Katsuyoshi Matsumoto
20111029 part1-dnsをあえてdisってみる-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
Yasuhiro Morishita
FreeBSD Capsicum
FreeBSD Capsicum
Yuichiro Naito
どっかのしたのほう
どっかのしたのほう
_norin_
安全な(共用)DNSサービスの提供
安全な(共用)DNSサービスの提供
causeless
コンテナ型仮想化とはなんだったのか
コンテナ型仮想化とはなんだったのか
えむ ばーど
Seastar in 歌舞伎座.tech#8「C++初心者会」
Seastar in 歌舞伎座.tech#8「C++初心者会」
Takuya ASADA
Consistency level
Consistency level
Kazutaka Tomita
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Yuichiro Naito
Infinite Debian - Platform for mass-producing system every second
Infinite Debian - Platform for mass-producing system every second
Taisuke Yamada
DNSのRFCの歩き方
DNSのRFCの歩き方
Takashi Takizawa
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
Emma Haruka Iwao
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Midokura
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編
Yuki Morishita
仮想ネットワーク構築8枚slide
仮想ネットワーク構築8枚slide
k009c1271
シーサーでのInfiniBand導入事例
シーサーでのInfiniBand導入事例
Naoto MATSUMOTO
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
Takashi Takizawa
Oci file storage service deep dive 20181001 ss
Oci file storage service deep dive 20181001 ss
Kenichi Sonoda
Azure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox Edition
Kazuki Takai
Más contenido relacionado
La actualidad más candente
PowerDNSのご紹介
PowerDNSのご紹介
Akira Matsuda
Cephのベンチマークをしました
Cephのベンチマークをしました
OSSラボ株式会社
InfiniBand on Debian
InfiniBand on Debian
Taisuke Yamada
おれよりすごいておくれにあいにきた
おれよりすごいておくれにあいにきた
Katsuyoshi Matsumoto
20111029 part1-dnsをあえてdisってみる-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
Yasuhiro Morishita
FreeBSD Capsicum
FreeBSD Capsicum
Yuichiro Naito
どっかのしたのほう
どっかのしたのほう
_norin_
安全な(共用)DNSサービスの提供
安全な(共用)DNSサービスの提供
causeless
コンテナ型仮想化とはなんだったのか
コンテナ型仮想化とはなんだったのか
えむ ばーど
Seastar in 歌舞伎座.tech#8「C++初心者会」
Seastar in 歌舞伎座.tech#8「C++初心者会」
Takuya ASADA
Consistency level
Consistency level
Kazutaka Tomita
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Yuichiro Naito
Infinite Debian - Platform for mass-producing system every second
Infinite Debian - Platform for mass-producing system every second
Taisuke Yamada
DNSのRFCの歩き方
DNSのRFCの歩き方
Takashi Takizawa
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
Emma Haruka Iwao
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Midokura
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編
Yuki Morishita
仮想ネットワーク構築8枚slide
仮想ネットワーク構築8枚slide
k009c1271
シーサーでのInfiniBand導入事例
シーサーでのInfiniBand導入事例
Naoto MATSUMOTO
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
Takashi Takizawa
La actualidad más candente
(20)
PowerDNSのご紹介
PowerDNSのご紹介
Cephのベンチマークをしました
Cephのベンチマークをしました
InfiniBand on Debian
InfiniBand on Debian
おれよりすごいておくれにあいにきた
おれよりすごいておくれにあいにきた
20111029 part1-dnsをあえてdisってみる-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
FreeBSD Capsicum
FreeBSD Capsicum
どっかのしたのほう
どっかのしたのほう
安全な(共用)DNSサービスの提供
安全な(共用)DNSサービスの提供
コンテナ型仮想化とはなんだったのか
コンテナ型仮想化とはなんだったのか
Seastar in 歌舞伎座.tech#8「C++初心者会」
Seastar in 歌舞伎座.tech#8「C++初心者会」
Consistency level
Consistency level
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Infinite Debian - Platform for mass-producing system every second
Infinite Debian - Platform for mass-producing system every second
DNSのRFCの歩き方
DNSのRFCの歩き方
Ceph アーキテクチャ概説
Ceph アーキテクチャ概説
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編
仮想ネットワーク構築8枚slide
仮想ネットワーク構築8枚slide
シーサーでのInfiniBand導入事例
シーサーでのInfiniBand導入事例
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
Similar a Dnssec key management part1
Oci file storage service deep dive 20181001 ss
Oci file storage service deep dive 20181001 ss
Kenichi Sonoda
Azure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox Edition
Kazuki Takai
第33回 U-20プログラミング・コンテスト 「USB Lock」
第33回 U-20プログラミング・コンテスト 「USB Lock」
kazuhirokazu
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
MITSUNARI Shigeo
Cld002 windows server_2016_で作るシンプ
Cld002 windows server_2016_で作るシンプ
Tech Summit 2016
Postgre SQL security_20170412
Postgre SQL security_20170412
Kazuki Omo
動画共有ツール
動画共有ツール
tamtam180
Cocos2d-x Console @Cocos Talks #3
Cocos2d-x Console @Cocos Talks #3
Akihiro Matsuura
Softlayerを申込んでみた参考資料 140730
Softlayerを申込んでみた参考資料 140730
YoshiyukiKonno
Osc2011 Do
Osc2011 Do
Kazuhisa Hara
リアルタイムにデータを配信・変換・統合:Qlik Cloudデータ統合のご紹介
リアルタイムにデータを配信・変換・統合:Qlik Cloudデータ統合のご紹介
QlikPresalesJapan
Scale flux roi&performance_acri
Scale flux roi&performance_acri
直久 住川
10分で分かるLinuxブロックレイヤ
10分で分かるLinuxブロックレイヤ
Takashi Hoshino
USENIX NSDI17 Memory Disaggregation
USENIX NSDI17 Memory Disaggregation
Kuniyasu Suzaki
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Akihiro Suda
N110 ws12概要 osamut_公開版
N110 ws12概要 osamut_公開版
Osamu Takazoe
"No Man’s Sky" から"Forza Horizon 5" まで。 国内外の成功タイトルが使う Microsoft Azure
"No Man’s Sky" から"Forza Horizon 5" まで。 国内外の成功タイトルが使う Microsoft Azure
Daisuke Masubuchi
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale Japan株式会社
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
Atsuhiko Yamanaka
JellyBeanのソースをとりあえず眺めてみた(手抜き)
JellyBeanのソースをとりあえず眺めてみた(手抜き)
l_b__
Similar a Dnssec key management part1
(20)
Oci file storage service deep dive 20181001 ss
Oci file storage service deep dive 20181001 ss
Azure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox Edition
第33回 U-20プログラミング・コンテスト 「USB Lock」
第33回 U-20プログラミング・コンテスト 「USB Lock」
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
Cld002 windows server_2016_で作るシンプ
Cld002 windows server_2016_で作るシンプ
Postgre SQL security_20170412
Postgre SQL security_20170412
動画共有ツール
動画共有ツール
Cocos2d-x Console @Cocos Talks #3
Cocos2d-x Console @Cocos Talks #3
Softlayerを申込んでみた参考資料 140730
Softlayerを申込んでみた参考資料 140730
Osc2011 Do
Osc2011 Do
リアルタイムにデータを配信・変換・統合:Qlik Cloudデータ統合のご紹介
リアルタイムにデータを配信・変換・統合:Qlik Cloudデータ統合のご紹介
Scale flux roi&performance_acri
Scale flux roi&performance_acri
10分で分かるLinuxブロックレイヤ
10分で分かるLinuxブロックレイヤ
USENIX NSDI17 Memory Disaggregation
USENIX NSDI17 Memory Disaggregation
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
N110 ws12概要 osamut_公開版
N110 ws12概要 osamut_公開版
"No Man’s Sky" から"Forza Horizon 5" まで。 国内外の成功タイトルが使う Microsoft Azure
"No Man’s Sky" から"Forza Horizon 5" まで。 国内外の成功タイトルが使う Microsoft Azure
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
JellyBeanのソースをとりあえず眺めてみた(手抜き)
JellyBeanのソースをとりあえず眺めてみた(手抜き)
Más de Tomonori Takada
従量制課金のLBいかがすかー(仮)
従量制課金のLBいかがすかー(仮)
Tomonori Takada
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
Tomonori Takada
AWS IAM入門
AWS IAM入門
Tomonori Takada
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
Tomonori Takada
オンプレとAWSをつなぐVPNとルーティング
オンプレとAWSをつなぐVPNとルーティング
Tomonori Takada
Centos7 systemd
Centos7 systemd
Tomonori Takada
Más de Tomonori Takada
(6)
従量制課金のLBいかがすかー(仮)
従量制課金のLBいかがすかー(仮)
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
Kixs.vol003 LBの夜 AWSにおけるロードバランサー
AWS IAM入門
AWS IAM入門
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
Kixs vol.001 よろず相談会「ネットワーク構成図とVLANを5分で語る」
オンプレとAWSをつなぐVPNとルーティング
オンプレとAWSをつなぐVPNとルーティング
Centos7 systemd
Centos7 systemd
Último
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
Último
(8)
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Dnssec key management part1
1.
DNSSEC Key Management Part1 http://www.isc.org/files/DNSSEC_Ke
y_Management.pdf を訳してみた 訳:qt.takada
2.
このセッションの参加者 • Alan Clegg
– ISC Training and Support Engineer • Larissa Shapiro – ISC Product Manager
3.
Part1の内容 • part2、3では以下の話題を扱う –
鍵のロールオーバ方針 – ロールオーバのツールとその使用方法 • Part1では、鍵の配置について解説
4.
そもそも鍵とは何か? • ZSK(Zone Signing
Key) – ゾーン内のリソースレコードに署名する鍵 • KSK(Key Signing Key) – DNSKEYリソースレコードに署名する鍵 – 上位ゾーンから提供される当該ゾーンへの 「安全な入り口」
5.
鍵の作り方 • BINDでは、dnssec-keygenコマンドが提供 • ZSK、KSKの両方を作ることが可能
– flagオプションで生成する鍵を指定可能 -f ksk • いずれの鍵を生成するときも、dnssec- keygenは2つのファイルを出力する
6.
dnssec-keygenによる出力される
2つのファイル • DNSSECは公開鍵暗号方式を使う – 公開鍵/秘密鍵のセットが使われる – 秘密鍵は漏洩しないように管理する – 公開鍵はゾーンデータ内に記載され、公開さ れる
7.
ゾーン内でのKSK/ZSK • ゾーンデータを検証(Validation)されるよう
にするには、署名前にKSKとZSK双方の 公開鍵がゾーンファイルに含まれている必 要がある。 – $INCLUDE を使うか、単純にコピペのどっち か • BIND9.7では自動化機能が実装された
8.
署名はどのように行われるか • BIND9.7以前 –
“dnssec-signzone”コマンド使った手動署名 • BIND9.7以降 – 手動署名の機能が強化 – 自動再署名機能がつかえるようになった
9.
手動署名 • 署名作業の全工程はコマンドラインから実
行 – 作業者は公開鍵(ゾーンファイルに含まれる) と秘密鍵(署名用)の両方にアクセスできない といけない – 非署名のゾーンは署名される – 署名済みゾーンは再署名される(必要があれ ば)
10.
自動署名 • BINDはオンラインでの自動署名機能を提
供 – 対話型の操作は必要ない – BINDのプロセスは鍵へのアクセス権が必要
11.
鍵はどこに保存できるか? • 現時点では2つの選択が可能 –
ファイルシステム – HSM(Hardware Security Module)
12.
ファイルシステム • BIND9.7以前は、ゾーンファイルともに鍵を
保存しておくのが適当な方法だった。。。 メリット: 各ゾーンファイルでどの鍵が有効化を 把握するのが簡単 デメリット: 秘密鍵と公開鍵の区別がつきにくい
13.
BIND9.7で改善された点 1 • 9.7では、DNSSECの各種コマンドに“-k”オ
プションが追加されている – 鍵の配置ディレクトリの場所を指定可能に • 署名処理では、この場所から鍵を読み込む • 鍵の生成処理では、この場所に鍵の出力を行う
14.
BIND9.7で改善された点 2 • 加えて、namdプロセスには、鍵の配置ディ
レクトリを指定するオプションが追加された – key-directory • このオプションは、ゾーン単位もしくはグロ バール設定として指定可能
15.
理想と現実 暗号化おたくの想像
「そいつのノートPCは暗号化されている。 クラックするために、最高級のツールを使おう」 「いや、こいつは4096bitRSA方式だから不可能だ」 「ちくしょー。俺らの企みは失敗だ」 実際はどうなるか 「そいつのノートPCは暗号化されている。」 「そいつにクスリを嗅がせて、パスワードを吐くまで、5$のレンチでぶん殴ろう」 「よし、やっちまおう」 http://www.xkcd.com/538/ http://www.xkcd.com/538/ xkcd
16.
殴られないために・・・。 • KSK秘密鍵は、必要となるまでオフライン
化しておくべき – KSKはDNSKEYレコードに署名するだけに使 用され、かつリソースレコードの変更時にしか 必要とされないため – KSKもしくはZSKのロールオーバ時
17.
リソースレコードシグネチャの期
限切れへの注意 • DNSKEYレコードの署名は、自動的に期 限延長されており、30日ごとに再生成され ていない – これは、(署名の期限切れを原因とする)リプ レイアタック攻撃への脆弱性を高める
18.
よりセキュアでありたければ • ファイルシステムは、常に権限をもったユー
ザによるローカル攻撃への脆弱性を持っ ている – ”高価値”なゾーンは、より保護される必要が ある – お上の通達は、時に保護への取り組みの動 機づけにもなる(FIPS 140-2) • セキュリティ要件を規定した米国連邦標準規格
19.
HSM(Hardware Security Module) •
HSMは、抽出不可能な秘密鍵を提供する • 公開鍵はファイルシステム上に配置 – ゾーンファイル中に“include”される必要があ るので
20.
HSMはどのように動作するか • 署名アプリはハードウェアデバイスにアク
セスできる必要がある – namedプロセスやdnssec-signzoneなど – アクセスは改良版のOPENSSLライブラリを通 して行われる
21.
HSMによる署名 • ゾーンデータの署名はHSM内で行われる –
KSK秘密鍵は決して攻撃者に漏えいすること はない – 署名処理の性能は、HSMに依存する
22.
改良版のOPENSSLライブラリ • BINDでは、標準でパッチを提供 –
“key by reference”とPIN管理を追加 – システムのOPENSSLを置き換えるものではな い
23.
まともに動くのか? • HSM上での鍵生成は、"dnssec-key"コマン
ドの変わりに、"pkcs11-keygen"コマンドを 使う • namedプロセスによる自動再署名が実装さ れてる – PINはファイルシステム上に配置されている必 要がある
24.
どこで入手可能か? • 鍵生成装置は個別に入手可能、またISC
のインストール・コンサルサービスとセット での提供も可能 • ISC営業担当者に問い合わせ
Descargar ahora