答え イ
【解説】
DNSSECでは電子署名の仕組みを応用し、以下のように検証を実施します。
- あるゾーンの管理者は、秘密鍵と公開鍵の鍵ペアを作成します。
- 同じくゾーンの管理者は、ゾーン内のリソースレコードを、秘密鍵で署名し、電子署名を作成します。
また、対応する公開鍵を公開し、問い合わせがあった場合に参照できるようにします。
- このゾーンに対してDNSキャッシュサーバから問い合わせがあった場合、権威ネームサーバは電子署名付きの応答を返します。
- DNSキャッシュサーバが、この電子署名付きの応答をゾーン管理者による公開鍵で復号できた場合には、そのメッセージは確かに該当ゾーンの管理者が作成したもので、かつ改ざんもされていないことがわかります。
このように、DNSSECではDNS応答の出自およびDNS応答の完全性を検証することができます。