Какие реализации DNSSec доступны, и были ли они проверены на дополнение к криптографическим уязвимостям Oracle?
Криптографический Oracle - это то место, где можно вывести закрытый ключ при возникновении условия ошибки.
Учитывая недавний эксплойт Oracle с использованием ASP.NET, может ли кто-нибудь сказать мне, были ли реализации DNSSec защищены от подобных атак "криптографического Oracle"?
1 ответ
Является ли эта атака даже относящейся к DNSSEC?
Оракул в криптографии - это система, которая дает вам подсказки, когда вы задаете вопросы. Это работает в интерактивном режиме, чтобы раскрыть закрытый ключ в случае ASP.NET. Этот запрос и ответ / подсказка выполняются, когда закрытый ключ находится в сети (что необходимо для работы SSL/TLS), поэтому ключ "раскрывается" постепенно, когда к нему приходят новые вопросы / соединения.
DNSSEC был разработан для работы таким образом, чтобы закрытый ключ мог храниться полностью в автономном режиме (как для корневых (".") Серверов), а все данные подписывались один раз и могли быть оставлены в покое. DNS-сервер ISC BIND (например) использует плоские текстовые файлы для хранения данных своей зоны, и все записи (обычные записи DNS и RRSIG) просто отправляются из этого / этих файлов.
Злоумышленник не может отправлять запросы сервера BIND, которые заставили бы его запросить закрытый ключ для получения ответа (согласно рекомендациям, закрытый ключ даже не следует хранить на общедоступных DNS-серверах). Каждый ответ на DNS-запрос берется из статических данных, поэтому в цепочке нет оракула для получения ответов и / или атак.