domain-name-system – DNSCurve vs DNSSEC

前端之家收集整理的这篇文章主要介绍了domain-name-system – DNSCurve vs DNSSEC前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
有人可以通知,请对这两种方法的差异和优缺点作出冗长的答复吗?

我不是DNS专家,不是程序员.我对DNS有一个很好的基本理解,并且有足够的知识来理解kaminsky bug之类的工作原理.根据我的理解,DNSCurve具有更强的加密功能,设置起来更简单,并且是一个更好的解决方案.

DNSSEC不必要地复杂并且使用可破坏的加密,但是它提供了端到端的安全性,而DNSCurve则没有.但是,我读过的很多文章似乎都表明端到端的安全性没有什么用处,也没什么区别.

那么这是真的吗?哪个是更好的解决方案,或者每个的缺点/优势是什么?

编辑:

如果有人可以解释通过加密消息内容获得的内容,当目标是身份验证而不是机密性时,我将不胜感激.

密钥是1024位RSA密钥的证据是here.

解决方法

DNSCurve为DNS数据包提供实际加密,虽然只是逐跳,特别是在递归服务器和权威服务器之间的跳跃上.

在该路径上使用时,它可以提供区域数据的身份验证.但是,下游的任何客户端都无法从此身份验证中受益,因为安全性只是“逐跳”.位于解析路径中间的恶意解析器仍然可以提供错误数据.

另一方面,DNSSEC提供端到端可验证的加密签名,证明收到的数据与权威服务器上的数据相同. DNSSEC使用加密技术,但实际上并不加密任何DNS流量.

DNSCurve使用椭圆曲线加密算法允许使用比使用RSA小得多的密钥来实现相同级别的加密强度.但是,有人建议在DNSSEC假定的列表中包含类似的算法.

DNSSEC由IETF(RFC 4034和RFC 4035,由RFC 5155更新)标准化,并在几个非常流行的名称服务器实现中实现,包括BIND(当然)和NSD / Unbound. PowerDNS很快将获得DNSSEC支持.

DNSSEC无疑是复杂的,但正在努力简化这一过程(参见例如http://opendnssec.org/),并且部署总是在增加.各种顶级域名(.se,.br,.org,.gov等)已经与DNSSEC签署,并且已宣布根区域将在年底前签署DNSSEC.

DNSCurve非常有趣,但由于其开发的独立方式,它几乎没有机会看到任何重要的部署.恕我直言,它没有机会部署在根服务器上.

BTW你使用“易碎加密”关于DNSSEC的断言似乎是完全没有根据的.在什么基础上你这么说?

区域签名密钥通常(但不一定)1024位长.这些密钥通常每个月左右滚动一次,目前最好的估计是至少需要几年到brute force一个1024位密钥.

At this point in time a brute-force attack against 1024-bit RSA
would require about two years on a few million compute cores with many tens of gigabytes
of memory per processor or mainboard

这不完全是您典型的僵尸网络.从同一篇论文:

Next considering special purpose hardware,the most optimistic approach suggests that sieving
for a 1024-bit RSA modulus can be done in a year for about US $10,000,plus a one-time
development cost of about US $20,and with a comparable time and cost for the
matrix. In our opinion,(common) skepticism met by such designs is beside the point.
Such figures should not be interpreted as upper bounds,i.e.,“Be careful,1024-bit RSA can
be broken in two years for about twenty million bucks (assuming free development),” but as
lower bounds,“No reason to worry too much: even under very favorable attack conditions,factoring a 1024-bit RSA modulus still requires enormous resources.” The estimates should thus not be read as threatening but as confidence-inspiring.

或者从一岁的PCPro article

To put that into perspective,to crack an RSA 1,024-bit key Kaspersky estimates it would take something like 15 million computers running flat out for a year to succeed

坦率地说,没有人会投入大量精力来破解一个域名的ZSK!

此外,真正的安全性在密钥签名密钥中,并且通常至少为2048位且通常更长(4096位).破解RSA密钥所花费的时间量随密钥长度呈指数增长,而不是线性增长.

猜你在找的HTML相关文章