DNSSEC NSEC3 длина соли
Есть ли рекомендации по длине соли в записях NSEC3? Дольше соль означает лучшую безопасность и влияет ли длительная соль на производительность (авторитетных) серверов?
В эксплуатационной практике DNSSEC длина соли не указана.
Рассматривая TLD со списком DNSSEC, я вижу, что.COM использует соль нулевой длины (без соли), в то время как некоторые TLD используют до 16-байтовых солей. Есть ли причина?
1 ответ
Соль предназначена для сдерживания заранее вычисленных атак по словарю. Однако, как упомянуто в этом обзоре безопасности, соль фактически не обеспечивает никакой дополнительной безопасности, потому что соль общедоступна через NSEC3PARAMS запись. Поскольку в хешах NSEC3 используется полностью определенное имя, на самом деле даже нет риска глобально полезной атаки типа "радужная таблица", поэтому вы можете выбирать произвольно свой хеш.
Если злоумышленник совершит маловероятное столкновение с хешем NSEC3, соль должна быть изменена, чтобы устранить это столкновение.
РЕДАКТИРОВАТЬ: Для чего это стоит, RFC 5155 действительно дает рекомендации:
Соль ДОЛЖНА быть длиной не менее 64 бит и непредсказуемой, так что
злоумышленник не может предвидеть значение соли и вычислить
следующий набор словарей до публикации зоны.