1. DNSCurve links

qmail.jp DNS はDNSCurveを使っています。 質問はこちらへ。

http://dnscurve.org/index.html

• Confidentiality, Integrity, Availability

DNSCurve encrypts all DNS packets.

OpenDNS adopts DNSCurve http://blog.opendns.com/2010/02/23/opendns-dnscurve/

1.1. コンテンツサーバ

CurveDNS DNSCurve forwarder の実装

1.2. キャッシュサーバ

djbdns にたいする Dempsky patch:

• http://shinobi.dempsky.org/~matthew/patches/djbdns-dnscurve-20090602.patch

This patch adds basic DNSCurve support to dnscache. 

/Dempsky implementation DNSCurve キャッシュ

1.3. CurveCP

http://curvecp.org/ Usable security for the Internet

1.4. 古い

Tools for DNSCurve http://github.com/agl/dnscurve/blob/master/nacl-python.patch

• forwarder は epoll を使っていて、FreeBSD では make error になる。

• Ubuntu でも nacl の実装とは”ずれている”ことが分かった。-- ToshinoriMaeno 2010-02-11 13:05:45

ubuntu での実装情報: http://bd.hauke-lampe.de/dnssec/how-to-install-dnscurve.html

python による DNSCurve の実装例：

• http://www.las.ic.unicamp.br/~joaopaulo/arena/

  • /pymdscurve は コンテンツサーバの実装例だ。（実行時にエラーになったが、修正できた。）

• 「上記の agl/dnscurve にある slownacl を使っているのが問題か。」は誤解だった。

FISL10 Programming Arena: http://jprvita.wordpress.com/2009/07/06/fisl10-programming-arena/

Melange: Creating a "Functionl" Internet

• http://portal.acm.org/citation.cfm?id=1272996.1273009

• http://www.utdallas.edu/~hamlen/Slides/Melange.pdf

source http://github.com/avsm/melange DNSコンテンツサーバの実装もある。zone データは BIND 流だ。

• How to install DNSCurve on your authoritative name server http://bd.hauke-lampe.de/dnssec/how-to-install-dnscurve.html -- tss 2010-02-26 02:58:30

これのリンク先からのもの(forwarder)はこちらの環境では動きませんでした。(特にBSDではだめです。)

• 前野の思っていたものより新しい版のようでしたので、ubuntu 上でmake しなおしてみました。/Hauke Lampe nacl とのすり合わせが必要でしたが、dnscurve-keygen が動いたので、他も動くかもしれません。 週末から来週にかけてゆっくり試します。

原理を理解するためにはまずは動く実装が必要です。ソースを読むならpythonが便利です。-- ToshinoriMaeno 2010-02-26 05:26:20

"Man in the middle" 攻撃についての強度は公開鍵暗号と同程度だということのようです。

UDP パケットについての長さの制約を回避する方法はまだ提案されていないらしい。

• つまり root サーバで採用する段階ではないので、root サーバあるいは TLD サーバについては 他の方法で信頼性を確かめるということ。