在DNS運作時，因為其通訊協定的缺陷所致，會造成許多安全性上的威脅及攻擊手法，例如ZONE 資訊的假造、cache 的污染、ID SPOOLING 等，用來防止 ZONE資訊傳輸上的假造與綁架的方是就是利用加密的方法來進行轄區資料的傳輸，TSIG / SIG0 就是用來解決此一問題的方法。

zone transfer 下會出現的安全缺陷

如上圖，可以了解到Master和Slave再進行區域資訊傳輸時，會出現資料被假造或是綁架的錯誤，此外再進行動態更新時，也會出現遭受污染的威脅。

因此，若能再傳輸時再兩端點都做加密的方式，將能夠解決此一問題，這就是TSIG/SIG0 的動作原理。

介紹？

TSIG（RFC 2845）：

* 在動態更新與zone transfer間做認證動作
* 對快取（cache）傳遞時做認證
* 使用時可以不用部署DNSSEC任何程式（在bind下就可以設定）
* 採用share key方式，與PKI不同
* 於SERVER端加密，ZONE資料並不預先加密

SIG0(RFC 2931)：

* 較不被廣泛使用
* 常用於動態更新的問題解決
* 使用PKI方式建立

如何建立？

接下來幾期的技術專欄，將從 TSIG 的實驗做起，透過實驗方式，讓大家更佳瞭解其運作方式及精神。

TWCERT/CC