ア.DNS キャッシュサーバで,権威 DNS サーバに名前を問い合わせるときの送信元ポート番号を問合せのたびにランダムに変える。
イ.権威 DNS サーバで公開鍵を公開し,秘密鍵を使ってリソースレコードにデジタル署名を付与する。DNS キャッシュサーバで,権威 DNS サーバから受信したリソースレコードのデジタル署名を検証する。
ウ.電子メールを送信するメールサーバの IP アドレスを権威 DNS サーバに登録する。電子メールを受信するメールサーバで,権威 DNS サーバに登録されている情報を用いて,送信元メールサーバの IP アドレスを検証する。
エ.電子メールを送信するメールサーバの公開鍵を権威 DNS サーバで公開し,秘密鍵を使って電子メールにデジタル署名を付与する。電子メールを受信するメールサーバで,電子メールのデジタル署名を検証する。
正解
イ. 権威 DNS サーバで公開鍵を公開し,秘密鍵を使ってリソースレコードにデジタル署名を付与する。DNS キャッシュサーバで,権威 DNS サーバから受信したリソースレコードのデジタル署名を検証する。
解説
DNSSEC(DNS Security Extensions)は、DNS の応答が正規の権威サーバから来た改ざんされていない情報であることを保証するための拡張仕様で、デジタル署名の仕組みを使う。権威 DNS サーバは秘密鍵でリソースレコードに署名し公開鍵を公開しておき、受け取った DNS キャッシュサーバはその公開鍵で署名を検証する。これにより前問のキャッシュポイズニング(偽応答の混入)を検知できる。したがって署名の付与と検証を述べたイが正解となる。