Dnssec
DNSSEC NSEC3 鹽長度
NSEC3 記錄中的鹽長度有什麼建議嗎?更長的鹽是否意味著更好的安全性,更長的鹽是否會影響(權威)伺服器的性能?
DNSSEC 操作實踐沒有提到鹽長度。
在使用 DNSSEC list 查看 TLD 時,我看到 .COM 使用零長度鹽(無鹽),而一些 TLD 使用長達 16 字節的鹽。有原因嗎?
salt旨在阻止預先計算的字典攻擊。但是,正如本安全審查中所提到的,鹽並沒有真正提供任何額外的安全性,因為鹽是通過
NSEC3PARAMS
記錄公開的。由於 NSEC3 散列中使用了完全限定名稱,因此甚至不存在全球有用的彩虹表類型攻擊的風險,因此您可以隨意選擇散列。如果攻擊者進行不太可能的 NSEC3 雜湊衝突,則必須更改鹽以消除衝突。
編輯:對於它的價值,RFC 5155 確實提出了建議:
salt 應該至少為 64 位長且不可預測,因此
攻擊者無法預測 salt 的值並
在發佈區域之前計算下一組字典。