DNSSEC NSEC3 鹽長度

NSEC3 記錄中的鹽長度有什麼建議嗎？更長的鹽是否意味著更好的安全性，更長的鹽是否會影響（權威）伺服器的性能？

DNSSEC 操作實踐沒有提到鹽長度。

在使用 DNSSEC list 查看 TLD 時，我看到 .COM 使用零長度鹽（無鹽），而一些 TLD 使用長達 ​​16 字節的鹽。有原因嗎？

salt旨在阻止預先計算的字典攻擊。但是，正如本安全審查中所提到的，鹽並沒有真正提供任何額外的安全性，因為鹽是通過NSEC3PARAMS記錄公開的。由於 NSEC3 散列中使用了完全限定名稱，因此甚至不存在全球有用的彩虹表類型攻擊的風險，因此您可以隨意選擇散列。

如果攻擊者進行不太可能的 NSEC3 雜湊衝突，則必須更改鹽以消除衝突。

編輯：對於它的價值，RFC 5155 確實提出了建議：

salt 應該至少為 64 位長且不可預測，因此

攻擊者無法預測 salt 的值並

在發佈區域之前計算下一組字典。

引用自：https://serverfault.com/questions/388038