论文2016/083

椭圆曲线中的NSEC5：以更短的响应防止DNSSEC区域枚举

莎伦·戈德伯格、莫妮·纳尔、迪米特里奥斯·帕帕佐普洛斯和列奥尼德·雷津

摘要

虽然DNSSEC安全地为域名系统（DNS）提供了真实性和完整性，但它还创建了一个新的安全漏洞，称为区域枚举，允许请求少量目标DNS查询的对手了解区域中所有域名的IP地址。枚举区域可以用作“垃圾邮件可能的电子邮件地址的来源，或者用作多个WHOIS查询的密钥，以显示许多注册中心可能有法律义务保护的注册人数据”[RFC 5155]（例如，根据欧盟数据保护法），或者为更复杂的攻击创建立足点。随着物联网变得越来越普遍，使这些“东西”（例如恒温器、冰箱、婴儿监视器）的名称和地址远离远程攻击者也变得越来越重要。在之前的工作中，我们通过引入NSEC5解决了DNSSEC的区域枚举问题，NSEC5是一种基于RSA数字签名的密码结构。NSEC5提供经身份验证的拒绝存在，即用于回答具有否定响应的DNS查询（例如NXDOMAIN）。基于RSA的NSEC5最近在互联网草案[draft-vcelak-NSEC5-01]中提交用于规范，并且还提供了支持基于RSA NSEC5的命名服务器的工作实现[https://github.com/dipapado/nsec5-实现].然而，近年来，DNSSEC社区的目标是用椭圆曲线密码术（EC）取代RSA，以缩短DNSSEC响应的长度。因此，在本文中，我们提出了一种新的NSEC5变体，它使用椭圆曲线密码（ECC）来产生更短的NSEC五响应。如果使用ECDSA以128位安全级别对区域进行签名，并且还使用我们新的基于ECC的NSEC5方案，则其拒绝存在响应（响应代码NXDOMAIN）将比使用2048位RSA和基于RSA的NSEC五签名的区域短约2倍。此外，我们基于ECC的NSEC5的响应长度与NSEC3相当，NSEC3是DNSSEC当前的身份验证拒绝存在机制，易受脱机字典攻击的区域枚举攻击。事实上，如果以128位安全级别使用ECDSA签名的区域也使用我们新的基于ECC的NSEC5方案，那么它的响应将比使用带有1024位RSA和SHA1（用于80位安全级别）的NSEC3的区域短，后者是当今的主要部署配置。

注：略微更改了方案，以缩短NSEC5证明的长度。[现在，NSEC5证明中的值c只需要128位长，而不是256位长。]