DNSCurve - DNSCurve

DNSCurve için önerilen bir güvenli protokoldür Alan Adı Sistemi (DNS) tarafından tasarlanan Daniel J. Bernstein.

Açıklama

DNSCurve kullanır Eğri25519[1] eliptik eğri kriptografisi tarafından kullanılan anahtarları kurmak Salsa20 ile eşleştirildi mesaj doğrulama kodu (MAC) işlevi Poly1305, DNS'yi şifrelemek ve doğrulamak için paketler arasında çözücüler ve yetkili sunucular. Genel anahtarlar uzak yetkili sunucular için NS kayıtlarına yerleştirilir, böylece özyinelemeli çözümleyiciler sunucunun DNSCurve'u destekleyip desteklemediğini bilir. Anahtarlar sihirli ip ile başlar uz5 ve ardından 51 baytlık bir Base32 sunucunun 255 bitlik genel anahtarının kodlanması. Ör., İçinde BIND biçim:

ornek.com. NS uz5bcx1nh80x1r17q653jf3guywz7cmyh5jv0qjz0unm56lq7rpj8l.example.com İÇİNDE.

Çözümleyici daha sonra sunucuya DNSCurve genel anahtarını içeren 96 bitlik bir paket gönderir. Nonce ve sorguyu içeren bir şifreleme kutusu. Şifreleme kutusu, çözümleyicinin özel anahtarı, sunucunun genel anahtarı ve nonce kullanılarak oluşturulur. Sunucudan gelen yanıt, farklı bir 96 bitlik nonce ve sorgunun yanıtını içeren kendi şifreleme kutusunu içerir.

DNSCurve'da kullanılan kriptografik araçlar, EğriCP, bir UDP -based protokolüne benzer TCP ancak verileri şifrelemek ve doğrulamak için eliptik eğri şifreleme kullanır. Bir benzetme şu an DNSSEC ile bir web sayfasını imzalamak gibidir Oldukça iyi Gizlilik (PGP), CurveCP ve DNSCurve, kanalı şifrelemek ve doğrulamak gibidir. taşıma katmanı Güvenliği (TLS). PGP imzalı web sayfalarının SSL kullanılarak şifrelenmiş bir kanal üzerinden gönderilebilmesi gibi, DNSSEC verileri DNSCurve kullanılarak korunabilir.

DNSCurve, önceki DNS hizmetlerine göre avantajları olduğunu iddia ediyor:[2]

  • Gizlilik - olağan DNS istekleri ve yanıtları şifrelenmez ve herhangi bir saldırgana yayınlanır.
  • Dürüstlük — olağan DNS bir miktar korumaya sahiptir, ancak saldırganlar sabırla ve koklayarak DNS kayıtlarını taklit edebilir; bu, DNSCurve şifreleme kimlik doğrulaması tarafından engellenir.
  • Kullanılabilirlik — olağan DNS, hizmet reddi (DoS), saniyede birkaç sahte paket gönderen bir saldırgan tarafından. DNSCurve sahte DNS paketlerini tanır ve atar, bir miktar koruma sağlar, ancak SMTP, HTTP, HTTPS de DoS'ye karşı savunmasızdır.

Güvenlik

DNSCurve, 256-bit eliptik eğri şifreleme kullanır. NIST tahminler kabaca 3072 bit RSA'ya eşdeğerdir.[3] ECRYPT benzer bir denklik bildirmektedir.[4] Yeniden oynatma saldırılarına karşı korumak için sorgu başına açık anahtarlı kripto (SSH ve SSL gibi) ve 96 bit nonce kullanır. Google'ın güvenlik görevlisi Adam Langley, "Çok yüksek bir olasılıkla, hiç kimse büyük bir kuantum bilgisayar olmadan tek bir Curve25519 örneğini çözemez" diyor.[5]

Hız

Adam Langley, kişisel web sitesinde, DNSCurve tarafından kullanılan Curve25519'un test edilen eliptik eğriler arasında en hızlısı olduğunu gösteren hız testleri yayınladı.[6] ABD'ye göre Ulusal Güvenlik Ajansı (NSA), eliptik eğri kriptografisi, anahtar boyutları arttıkça geometrik bir oranda RSA ve Diffie – Hellman'a göre büyük ölçüde üstün performans sunar.[7]

Uygulamalar

DNSCurve ilk olarak bir yama aracılığıyla dnscache'de özyinelemeli destek kazandı[8] Matthew Dempsky tarafından. Dempsky'de ayrıca GitHub Python DNS arama araçlarını ve C'de bir iletici içeren depo.[9] Adam Langley'in de bir GitHub deposu var.[10] CurveDNS adında yetkili bir iletici var[11] DNS yöneticilerinin mevcut kurulumları yama yapmadan korumasına izin verir. OpenDNS, DNSCrypt'i yayınladı[12] kanalı OpenDNS kullanıcıları ile özyinelemeli çözümleyicileri arasında korumak için. Jan Mojžíš eğri korumayı yayınladı.[13] DNS, SSH, HTTP ve SMTP gibi yaygın hizmetler için DNSCurve ve CurveCP korumasını uygulayan bir yazılım paketi.

Dağıtım

OpenDNS 50 milyon kullanıcısı olan, 23 Şubat 2010'da yinelemeli çözümleyicilerde DNSCurve için destek verdiğini duyurdu.[14]Daha sonra 6 Aralık 2011'de OpenDNS, adında yeni bir araç duyurdu. DNSCrypt.[15] DNSCrypt, OpenDNS ve kullanıcıları arasındaki kanalı korur.[16] Eşit büyüklükteki hiçbir yetkili DNS sağlayıcısı henüz DNSCurve'u dağıtmadı.

Ayrıca bakınız

DNSCurve, bir çözümleyici ile yetkili bir sunucu arasındaki iletişimi güvenli hale getirmeyi amaçlar. DNS istemcileri ve çözümleyiciler arasındaki iletişimi güvence altına almak için birkaç seçenek vardır:

Notlar

  1. ^ D. J. Bernstein. "Curve25519: yüksek hızlı eliptik eğri şifreleme". Alındı 30 Ocak 2013.
  2. ^ "DNSCurve'a Giriş". DNSCurve. 22 Haziran 2009. Alındı 16 Mart 2016.
  3. ^ "NIST Önerileri (2011)".
  4. ^ "ECRYPT II Algoritmalar ve Anahtar Boyutları Hakkında Yıllık Rapor (2010-2011)" (PDF). Arşivlenen orijinal (PDF) 2012-06-02 tarihinde.
  5. ^ "Adam Langley curve25519 güvenliği hakkında".
  6. ^ "Adam Langley: Bir asalın ne fark yaratır".
  7. ^ "Eliptik Eğri Şifreleme Örneği". NSA. Arşivlenen orijinal 17 Ocak 2009. Alındı 17 Ocak 2009.
  8. ^ "Dnscache için DNSCurve yaması". Arşivlenen orijinal 2012-12-28'de.
  9. ^ "Matthew Dempsky'nin GitHub'daki DNSCurve deposu".
  10. ^ "Adam Langley'in DNSCurve deposu".
  11. ^ "CurveDNS: Bir DNSCurve Yönlendirme Ad Sunucusu".
  12. ^ "DNSCrypt: Kritik bir İnternet altyapısı parçasının güvenliğini sağlama". Arşivlenen orijinal 2012-05-10 tarihinde. Alındı 2012-05-09.
  13. ^ "curveprotect, çok çeşitli internet hizmetlerini korumaya yönelik karmaşık bir araç koleksiyonu".
  14. ^ "OpenDNS, DNSCurve'u benimser".
  15. ^ "OpenDNS, DNSCrypt'i açıkladı". Arşivlenen orijinal 2013-02-03 tarihinde.
  16. ^ "net / dnscrypt-proxy: dnscrypt-proxy-1.4.3 - DNS istemcisi ile çözümleyici arasında güvenli iletişim". OpenBSD bağlantı noktaları. 2015-01-06. Alındı 2015-02-09.

Dış bağlantılar