まだ実装はこれかららしいが、楕円暗号を使って DNSに暗号化する新プロジェクトを始めると。

qmailやdjbdnsの作者でも有名なDJBこと、Dan Bernstein氏 (Kaminsky氏もDanだ) がDNSのセキュリティ向上を、現状のDNSプロトコルやメッセージ形式の範囲で改善する方法「DNSCurve」を提案している(djbdnsのメーリングリスト)。この方式は、楕円曲線暗号(Curve25519)を使った公開鍵方式を使ったもので、

* 機密性: クエリと応答の全パケットが暗号化される
* 完全性: 偽の応答を排除するため、全ての応答を暗号化認証する
* 可用性: 偽造パケットの高速に見分けて排除する

という特徴がある。

DNSCurve uses high-speed high-security elliptic-curve cryptography to drastically improve every dimension of DNS security:

* Confidentiality: DNS requests and responses today are completely unencrypted and are broadcast to any attacker who cares to look. DNSCurve encrypts all DNS packets.
* Integrity: DNS today uses "UDP source-port randomization" and "TXID randomization" to create some speed bumps for blind attackers, but patient attackers and sniffing attackers can easily forge DNS records. DNSCurve cryptographically authenticates all DNS responses, eliminating forged DNS packets.
* Availability: DNS today has no protection against denial of service. A sniffing attacker can disable all of your DNS lookups by sending just a few forged packets per second. DNSCurve very quickly recognizes and discards forged packets, so attackers have much more trouble preventing DNS data from getting through. Protection is also needed for SMTP, HTTP, HTTPS, etc., but protecting DNS is the first step.

"DNSCurve: Usable security for DNS"に多少解説があった。

大雑把だけど、

1. あるドメインの NSを公開鍵をエンコードした名前にする(P.44)
2. 公開鍵を使ってクエリを暗号化し、レスポンスを復号化する(P.45)

という風に読める。