当出现错误情况时,人们可以通过加密预言机推断出私钥。
考虑到最近的 ASP.NET 填充 Oracle 漏洞,有人能告诉我 DNSSec 实现是否已受到保护以免遭受类似的“加密 Oracle”攻击吗?
答案1
这次攻击与 DNSSEC 有关吗?
密码学中的预言机是一种在您提问时为您提供提示的系统。它以交互方式工作,以在 ASP.NET 案例中显示私钥。这种提问和回答/提示是在私钥在线时进行的(这是 SSL/TLS 正常工作的必要条件),因此随着新问题/连接的出现,密钥会一点一点地“暴露”。
DNSSEC 的设计目标是使私钥可以完全离线保存(就像根服务器(“.”)一样),并且所有数据都经过一次签名,可以保留在原处。例如,ISC BIND DNS 服务器使用纯文本文件来存储其区域数据,并且所有记录(普通 DNS 记录和 RRSIG)都只是从这个/这些文件发送。
攻击者无法向 BIND 服务器发送查询,使其查询私钥以获得答案(最佳实践表明私钥甚至不应存储在可公开访问的 DNS 服务器上)。对 DNS 查询的每个响应都取自静态数据,因此链中没有 oracle 可从中获取答案和/或进行攻击。