ドメインネームシステムセキュリティ拡張機能(DNSSEC)は、インターネットの弱点の1つを修正するのに役立つセキュリティテクノロジです。 SOPAがDNSSECを違法にしたため、SOPAが合格しなかったのは幸運でした。
DNSSECは、インターネットに実際には何もない場所に重要なセキュリティを追加します。ドメインネームシステム(DNS)は適切に機能しますが、プロセスのどの時点でも検証が行われないため、攻撃者に穴が開いたままになります。
現状
私たちは DNSがどのように機能するかを説明しました 過去には。簡単に言うと、「google.com」や「howtogeek.com」などのドメイン名に接続するたびに、コンピューターはDNSサーバーに接続し、そのドメイン名に関連付けられているIPアドレスを検索します。次に、コンピュータはそのIPアドレスに接続します。
重要なのは、DNSルックアップに関連する検証プロセスがないことです。コンピューターはDNSサーバーにWebサイトに関連付けられたアドレスを要求し、DNSサーバーはIPアドレスで応答し、コンピューターは「OK!」と言います。そして喜んでそのウェブサイトに接続します。コンピュータは、それが有効な応答であるかどうかを確認するために停止しません。
攻撃者がこれらのDNS要求をリダイレクトしたり、不正な応答を返すように設計された悪意のあるDNSサーバーを設定したりする可能性があります。たとえば、パブリックWi-Fiネットワークに接続していて、howtogeek.comに接続しようとすると、そのパブリックWi-Fiネットワーク上の悪意のあるDNSサーバーが完全に異なるIPアドレスを返す可能性があります。 IPアドレスはあなたをに導く可能性があります フィッシング ウェブサイト。 Webブラウザーには、IPアドレスが実際にhowtogeek.comに関連付けられているかどうかを確認する実際の方法がありません。 DNSサーバーから受信した応答を信頼する必要があります。
HTTPS暗号化は、ある程度の検証を提供します。たとえば、銀行のウェブサイトに接続してみて、 アドレスバーにHTTPSと鍵のアイコンが表示されます 。認証局がウェブサイトがあなたの銀行に属していることを確認したことを知っています。
侵害されたアクセスポイントから銀行のWebサイトにアクセスし、DNSサーバーが詐欺師のフィッシングサイトのアドレスを返した場合、フィッシングサイトはそのHTTPS暗号化を表示できません。ただし、フィッシングサイトは、HTTPSの代わりにプレーンHTTPを使用することを選択する場合があり、ほとんどのユーザーは違いに気付かず、とにかくオンラインバンキング情報を入力するでしょう。
あなたの銀行には、「これらは当社のWebサイトの正当なIPアドレスです」と言う方法がありません。
DNSSECがどのように役立つか
DNSルックアップは、実際にはいくつかの段階で発生します。たとえば、コンピューターがwww.howtogeek.comを要求すると、コンピューターはこのルックアップをいくつかの段階で実行します。
- 最初に、どこにあるかを「ルートゾーンディレクトリ」に尋ねます。 .with 。
- 次に、.comディレクトリにどこにあるかを尋ねます ほwとげえk。こm 。
- 次に、howtogeek.comにどこで見つけることができるかを尋ねます wっw。ほwとげえk。こm 。
DNSSECには、「ルートへの署名」が含まれます。コンピュータが.comを見つけることができるルートゾーンに尋ねると、ルートゾーンの署名キーをチェックして、それが真の情報を持つ正当なルートゾーンであることを確認できます。ルートゾーンは、署名キーまたは.comとその場所に関する情報を提供し、コンピュータが.comディレクトリに接続して、それが正当であることを確認できるようにします。 .comディレクトリは、howtogeek.comの署名キーと情報を提供し、howtogeek.comに接続して、その上のゾーンで確認されているように、実際のhowtogeek.comに接続していることを確認できるようにします。
DNSSECが完全に展開されると、コンピュータはDNS応答が正当で真実であることを確認できますが、現在、どの応答が偽物でどれが本物かを知る方法はありません。
についてもっと読む 暗号化の仕組み ここに。
SOPAは何をしただろうか
では、SOPAとしてよく知られているStop Online Piracy Actは、これらすべてにどのように影響したのでしょうか。そうですね、SOPAをフォローすると、インターネットを理解していない人が書いたものであることがわかります。そのため、さまざまな方法で「インターネットを壊す」ことになります。これはそのうちの1つです。
DNSSECでは、ドメイン名の所有者がDNSレコードに署名できることを忘れないでください。したがって、たとえば、thepiratebay.seはDNSSECを使用して、関連付けられているIPアドレスを指定できます。コンピューターがDNSルックアップを実行すると(google.com用かthepiratebay.se用か)、DNSSECにより、コンピューターは、ドメイン名の所有者によって検証された正しい応答を受信していると判断できます。 DNSSECは単なるプロトコルです。 「良い」ウェブサイトと「悪い」ウェブサイトを区別しようとはしません。
SOPAは、インターネットサービスプロバイダーに「悪い」WebサイトのDNSルックアップをリダイレクトするように要求していました。たとえば、インターネットサービスプロバイダーのサブスクライバーがthepiratebay.seにアクセスしようとすると、ISPのDNSサーバーは別のWebサイトのアドレスを返し、PirateBayがブロックされたことを通知します。
DNSSECを使用すると、このようなリダイレクトは、DNSSECが防止するように設計されたman-in-the-middle攻撃と区別できなくなります。 DNSSECを展開しているISPは、Pirate Bayの実際のアドレスで応答する必要があるため、SOPAに違反することになります。 SOPAに対応するには、DNSSECに大きな穴を開ける必要があります。これにより、インターネットサービスプロバイダーと政府は、ドメイン名の所有者の許可なしにドメイン名のDNS要求をリダイレクトできます。これを安全な方法で行うことは(不可能ではないにしても)困難であり、攻撃者に新しいセキュリティホールを開く可能性があります。
幸いなことに、SOPAは死んでいて、うまくいけば戻ってこないでしょう。 DNSSECは現在展開されており、この問題に対して長い間延期されていた修正を提供します。
画像クレジット: Khairil Yusof 、 FlickrのJemimus 、 FlickrのDavidHolmes
