作者:莎伦·戈德伯格、莫妮·纳尔、迪米特里奥斯·帕帕佐普洛斯、列奥尼德·雷津、萨钦·瓦桑塔和阿萨夫·齐夫
下载:纸类(PDF格式)
日期:2015年2月7日
文件类型:简报文件
其他文件:幻灯片
关联事件:2015年NDSS研讨会
摘要:
本文利用密码技术研究DNSSEC中的区域枚举问题。DNSSEC旨在防止网络攻击者篡改域名系统(DNS)消息。然而,DNSSEC中使用的加密机制还创建了一个新的漏洞,即区域枚举,使对手能够使用少量在线DNSSEC查询和离线字典攻击来了解DNS区域中存在或不存在哪些域名。我们证明了当前DNSSEC标准的设计基础(带有NSEC和NSEC3记录)固有地受到区域枚举的影响:特别是,我们表明,除非DNSSEC服务器执行在线公钥加密操作,否则无法同时满足针对网络攻击者的安全性和针对区域枚举的隐私性。然后我们提出了NSEC5,这是一种新的密码结构,它解决了DNSSEC区域枚举问题,同时忠实于DNSSEC的操作现实。NSEC5可以被认为是NSEC3的一个变体,在该变体中,未知哈希函数被基于RSA的键控哈希方案取代。
