Dnssec

DNSSEC NSEC3 鹽長度

  • May 10, 2012

NSEC3 記錄中的長度有什麼建議嗎?更長的鹽是否意味著更好的安全性,更長的鹽是否會影響(權威)伺服器的性能?

DNSSEC 操作實踐沒有提到鹽長度。

使用 DNSSEC list 查看 TLD 時,我看到 .COM 使用零長度鹽(無鹽),而一些 TLD 使用長達 ​​16 字節的鹽。有原因嗎?

salt旨在阻止預先計算的字典攻擊。但是,正如本安全審查中所提到的,鹽並沒有真正提供任何額外的安全性,因為鹽是通過NSEC3PARAMS記錄公開的。由於 NSEC3 散列中使用了完全限定名稱,因此甚至不存在全球有用的彩虹表類型攻擊的風險,因此您可以隨意選擇散列。

如果攻擊者進行不太可能的 NSEC3 雜湊衝突,則必須更改鹽以消除衝突。

編輯:對於它的價值,RFC 5155 確實提出了建議:

salt 應該至少為 64 位長且不可預測,因此

攻擊者無法預測 salt 的值並

在發佈區域之前計算下一組字典。

引用自:https://serverfault.com/questions/388038