XiaoMi-AI文件搜索系统
World File Search SystemDNSSEC
MC / 080:DNSSEC 部署研究 - Ofcom
DNSSEC 的部署。Nominet 一直是支持 DNSSEC 规范和部署的领导者。注册局已投资人员和其他资源,以协助 DNSSEC 的全面部署。其他国家注册局之前也部署过 DNSSEC,但考虑到规模(全球第二大 ccTLD)和复杂性(结构化的二级域名空间),Nominet 明智地在部署中采取了谨慎的态度。虽然 .UK 及其二级域名现已签署并投入使用,但对 Nominet 进展的真正考验在于,未来注册局和最终用户的 DNSSEC 需求(包括服务、教育和推广)能否得到满足。Nominet 还明智地采用了对隐私问题敏感的 DNSSEC 技术,避免了在其他国家背景下仍令人担忧的公共政策问题。
AWDJ A5:DNSSEC协议的安全性及其对在线隐私保护的影响
研究论文及其章节的主题围绕DNSSEC协议的安全性及其对在线隐私的影响。该研究深入研究了域名系统(DNS)的复杂性,探索其基本工作,层次结构以及DNS根服务器的作用,以及负责托管13个DNS根服务器的实体。本文还研究了各种DNS攻击,包括DNS欺骗,中间攻击,DNS缓存中毒和DNS劫持,阐明了DNS基础架构中的脆弱性。研究的很大一部分致力于DNSSEC(域名系统安全扩展)的描述,强调了其在DNS区域内的重要性和功能。这包括对DNSSEC背后的机制的分析,例如RRSIG,区域签名键(ZSK),DNSKey和钥匙签名键(KSK),以及有关特定DNS区域中信任建立的讨论
键盘拒绝服务算法复杂性攻击DNS版本:2024年1月
DNSSEC算法复杂性攻击。在这项工作中,我们发现DNSSEC的设计理念存在缺陷。我们利用DNSSEC标准中的缺陷,并开发了第一个基于DNSSEC的算法复杂性攻击DNS。我们通过实验证明,我们的攻击对受影响的DNS解析器的可用性有害,从而导致对基本DNS功能的服务拒绝(DOS),例如提供缓存的响应,或者提供了加工或处理DNS数据包。我们通过实验表明,使用单个DNSSEC签名的DNS响应的对手可以DOS解析器,导致CPU指令计数中的尖峰为2.000.000x。受害者解析器的失速期取决于解析器的实施,最多可以达到16小时,请参见表IV。进行比较,最近提出的NRDELEGATION攻击[1],利用DNS中的漏洞来创建多个推荐请求,将需要1569个DNS数据包来导致CPU指令数量的可比增加,而我们的攻击可以通过单个数据包实现。我们发现,数据集中的所有DNSSEC验证DNS软件,DNS库和公共DNS服务都容易受到我们的攻击;请参阅表I中的列表。
在互联网协议中改造后量子密码学
本文通过案例分析了域名系统安全扩展背景下不同后量子密码解决方案的含义。鉴于网络和安全社区目前正在研究 DNSSEC 的合适替代方案,并将在 2022 年初选出候选解决方案,因此该主题具有特别的时效性。在本文中,作者首先概述了后量子密码带来的安全问题,并介绍了后量子密码算法的挑战和相关工作。他们特别考虑了 DNSSEC 施加的几个加密要求——即需要短签名和有效验证。之后,作者对标准化下的当前解决方案进行了实验评估,而不是为特定的 DNSSEC 用例找到替代解决方案。总的来说,这篇论文是对后量子密码学的一个很好的介绍。作者很好地展示了转向下一代加密算法的挑战,并对 DNSSEC 用例进行了深入分析。该论文有可能吸引网络社区对这一新技术转变的关注,同时为安全社区提供针对特定用例的网络专业知识,可能为标准化过程提供一些很好的反馈。
用简洁的证明加强域身份验证
服务器身份验证向用户保证,他们正在与真正代表声称的域的服务器进行通信。今天,服务器身份验证依赖于认证机构(CAS),第三方对将公共钥匙签名为域。CAS仍然是Internet安全性的弱点,因为任何有缺陷的CA都可以为任何域发布证书。本文介绍了NOPE的设计,实现和实现评估,NOPE是服务器身份验证的一种新机制,该机制使用简洁的证明(例如,零知识证明),以证明存在将公共密钥链接到指定领域的DNSSEC链。DNSSEC的使用极大地降低了对CAS的依赖,并且证明的尺寸较小,可以与旧版基础架构的兼容性,包括TLS服务器,证书格式和证书透明度。不使用证明的效果最低,使客户的大小增加了约10%,并且需要超过1 ms才能验证。nope的核心技术贡献(将其推广)包括有效的技术,可以在简洁的证明中代表解析和加密操作,从而将证据的产生时间和记忆要求减少几乎数量级。
ZScaler DNS安全和控制|参考体系结构
Acronym Definition C2 Command & Control DC Data Center DHCP Dynamic Host Configuration Protocol DNS Domain Name System DNSSEC DNS Security Extensions DoH DNS over HTTPS DoT DNS over TLS ECS EDNS Client Subnet EDNS Extension Mechanisms for DNS FQDN Fully Qualified Domain Name IoT Internet of Things IP Internet Protocol IPSec Internet Protocol Security GRE Generic Routing Encapsulation NAT网络地址转换NRD新恢复的域NROD新注册和观察到的域SSL安全套接字层(由TLS取代)TCP传输控制协议TLS传输层安全ttl时间到实时UDP用户数据杂志datagram协议url unl解析器
量子计算和 DNS
5.1 DNSSEC 社区目前无需考虑后量子密码学 11 5.2 同样使用 TLS 或 QUIC 的 DNS 协议应更新为后量子密码学,以与 Web 协议保持一致 11 本文档是 ICANN 首席技术官办公室 (OCTO) 文档系列的一部分。请参阅 OCTO 出版物页面以获取该系列中的文档列表。如果您对任何这些文档有疑问或建议,请发送至 octo@icann.org 。本文档支持 ICANN 的战略目标,即通过与相关利益相关者合作加强 DNS 协调,改善维护域名系统 (DNS) 安全性的共同责任。它是 ICANN 加强 DNS 和 DNS 根服务器系统 (RSS) 安全性的战略目标的一部分。此修订包含更新,以反映量子计算和后量子密码学的进步。 ICANN 感谢社群就 OCTO- 031v1 提出的诸多建议。
根区域算法翻转研究
执行摘要4 1。简介5 2。删节历史6 3。更改算法的高级描述6 4。潜在影响7 5。算法选择标准9 5.1。加密考虑9 5.1.1。加密强度10 5.1.2。实际考虑10 5.2。协议注意事项10 5.3。操作考虑11 5.4。对根区域KSK/ZSK管理的影响12 5.5。溶要考虑13 5.5.1。对要求DNSSEC资源记录的解析器的影响13 5.5.2。对验证解析器的影响13 5.6。消息大小注意事项14 5.7。选择标准摘要17 6。实施17 6.1。算法卷执行18 6.1.1。经典方法19 6.1.2。替代方法20 6.1.3。混合方法22 6.2。消息大小缓解23 6.3。时间轴23 6.4。信任锚分配24 6.5。通信25 7。测试25 7.1。测试结果27 8。协议澄清29 9.结论30附录:建议列表32附录:设计团队阵容35社区志愿者35根区管理合作伙伴35致谢35