Назад | Перейти на главную страницу

Какие реализации DNSSec доступны, и проверялись ли они на наличие дополнительных уязвимостей Cryptographic Oracle?

Криптографический Oracle - это место, где можно вывести закрытый ключ при возникновении состояния ошибки.

Учитывая недавний эксплойт Oracle с заполнением ASP.NET, может ли кто-нибудь сказать мне, были ли реализации DNSSec защищены от аналогичных атак «криптографического Oracle»?

Актуальна ли эта атака против DNSSEC?

Оракул в криптографии - это система, которая дает вам подсказки, когда вы задаете вопросы. Это работает в интерактивном режиме, чтобы раскрыть закрытый ключ в случае ASP.NET. Этот запрос и ответ / подсказка выполняется, пока закрытый ключ находится в сети (что необходимо для работы SSL / TLS), поэтому постепенно ключ «раскрывается», когда к нему приходят новые вопросы / соединения.

DNSSEC был разработан таким образом, чтобы закрытый ключ можно было полностью хранить в автономном режиме (например, для корневых («.») Серверов), а все данные подписывались один раз, и их можно было оставить в покое. DNS-сервер ISC BIND (например) использует простые текстовые файлы для хранения данных своей зоны, и все записи (обычные записи DNS и RRSIG) просто отправляются из этого / этих файлов / файлов.

У злоумышленника нет способа отправить запросы сервера BIND, которые заставили бы его запросить закрытый ключ для ответа (согласно передовой практике, закрытый ключ не должен даже храниться на общедоступных DNS-серверах). Каждый ответ на DNS-запрос берется из статических данных, поэтому в цепочке нет оракула, от которого можно было бы получить ответы и / или атаковать.