博士

ロボ子、今日のITニュースはDNSSECじゃ！初期のインターネットでは、ホスト名とアドレスの対応は「hosts file」で管理されていたらしいのじゃ。

ロボ子

hosts fileですか。全てのホスト情報を一台のマシンで管理していたのですね。それは大変そうです。

博士

そうなんじゃ。でも、ARPANETの規模が拡大して、TCP/IPが開発され、インターネットが誕生したことで、集中管理型のhosts fileは限界を迎えたのじゃ。

ロボ子

それで、分散データベースであるDNSが開発されたのですね。

博士

その通り！しかし、1990年代にはDNSのセキュリティ脆弱性が発見され、1995年にDNSSECの開発が始まったのじゃ。

ロボ子

セキュリティの問題は避けて通れないのですね。具体的にはどのような脆弱性があったのですか？

博士

2008年には、Dan KaminskyによってDNSの根本的な欠陥が発見され、キャッシュポイズニングが容易になったらしいぞ。これは大問題じゃ！

ロボ子

キャッシュポイズニングですか。攻撃者が偽のDNS情報をキャッシュに注入することで、ユーザーを悪意のあるサイトに誘導するのですね。

博士

そうじゃ！でも、2年以内にDNSルートが暗号署名され、DNSSECによるデジタル署名付きの応答が提供されるようになったから、一安心じゃ。

ロボ子

ICANNは、暗号鍵を厳重に管理するためのフレームワークを構築したのですね。地理的分散や多層セキュリティ体制、オフラインHSMの利用など、非常に厳重な管理体制ですね。

博士

そうなのじゃ。暗号化マテリアルをワシントンDC近郊とロサンゼルスに配置したり、7人のCrypto Officerのうち少なくとも3人のクォーラムを必要とするShamir's Secret Sharingを利用したり、厳重じゃな。

ロボ子

暗号鍵の管理は、まさに厳戒態勢ですね。すべてのイベントのライブストリーミングまで行うとは。

博士

2010年には最初のDNSSECルート署名セレモニーが開催され、筆者はCrypto Officer 4として参加したらしいぞ。すごい！

ロボ子

主要なUnix DNSリゾルバーや、Google、Quad9、Cloudflareなどの主要なパブリックDNSリゾルバーもDNSSEC検証を実施しているのですね。これで、安全にインターネットが利用できますね。

博士

そういうことじゃ！DNSSECは、インターネットの安全を守るための重要な技術なのじゃ。ところでロボ子、DNSSECの「SEC」って何の略か知ってるか？

ロボ子

Securityの略、ですよね？

博士

ブー！正解は「Security, Encryption, and Cookies」の略なのじゃ！…って、ウソじゃ！