Quais implementações do DNSSec estão disponíveis, e elas foram verificadas quanto ao preenchimento de vulnerabilidades criptográficas do Oracle?

1

Um Oracle criptográfico é onde se pode deduzir a chave privada quando uma condição de erro é criada.

Considerando o recente preenchimento do ASP.NET com o Oracle, alguém pode me dizer se as implementações do DNSSec foram protegidas de ataques semelhantes de "Oracle Criptográfico"?

    
por random65537 29.10.2010 / 02:29

1 resposta

4

Esse ataque é ainda relevante contra o DNSSEC?

Um oráculo em criptografia é um sistema que lhe dá dicas quando você faz perguntas. Isso funciona interativamente para revelar a chave particular no caso do ASP.NET. Essa pergunta e resposta / sugestão é feita enquanto a chave privada está on-line (o que é necessário para o SSL / TLS funcionar), então pouco a pouco a chave é "exposta" conforme novas perguntas / conexões chegam a ela.

O DNSSEC foi projetado para funcionar de modo que a chave privada possa ser mantida completamente offline (como é para os servidores raiz (".")), e todos os dados são assinados uma vez e podem ser deixados em paz. O servidor ISC BIND DNS (por exemplo) usa arquivos de texto simples para armazenar seus dados de zona, e todos os registros (registros DNS normais e os RRSIGs) são simplesmente enviados deste (s) arquivo (s).

Não há como um invasor enviar as consultas do servidor BIND que o levariam a consultar a chave privada em busca de uma resposta (as melhores práticas determinam que a chave privada não deve ser armazenada em servidores DNS acessíveis publicamente). Cada resposta a uma consulta DNS é retirada de dados estáticos e, portanto, não há oracle na cadeia para obter respostas de e / ou ataque.

    
por 29.10.2010 / 02:58