DNSCurve
DNSCurve es un protocolo seguro nuevo propuesto para el Sistema de nombres de dominio (DNS), diseñado por Daniel J. Bernstein.
Contenido
- 1 Descripción
- 2 Seguridad
- 3 Velocidad
- 4 Implementaciones
- 5 Despliegue
- 6 Véase también
- 7 Notas
- 8 Enlaces externos
Descripción
DNSCurve usa Curve25519[1] Criptografía de curva elíptica para establecer las claves utilizadas por Salsa20, emparejado con la función de MAC Poly1305, para cifrar y autenticar DNS paquetes entre resoluciones y servidores autoritativos. Claves públicas para servidores autoritativos remotos se colocan en los registros NS, así recursiva resolvers saben si el servidor admite DNSCurve. Llaves comienzan con la cadena mágica uz5
y van seguidos de un byte 51 Base32 codificación de la clave pública del servidor 255 bits. Por ejemplo, en BIND formato:
ejemplo.com. IN NS uz5bcx1nh80x1r17q653jf3guywz7cmyh5jv0qjz0unm56lq7rpj8l.example.com.
El resolver luego envía al servidor un paquete que contiene la clave pública DNSCurve, 96 bits noncey un cuadro criptográfico que contiene la consulta. La caja criptográfica se crea utilizando la clave privada de la resolución, la clave pública del servidor y el nonce. La respuesta del servidor contiene un nonce 96 bits diferente y su propia caja criptográfico que contiene la respuesta a la consulta.
Las herramientas criptográficas utilizadas en DNSCurve son los mismos utilizados en CurveCP, un UDP-basado en el protocolo que es similar a TCP pero utiliza criptografía de curva elíptica para cifrar y autenticar datos. Una analogía es que mientras DNSSEC es como una página web con firma PGP, CurveCP y DNSCurve son como cifrado y autenticación utilizando el canal SSL. Al igual que pueden enviar páginas PGP-firmado por un canal cifrado con SSL, datos DNSSEC pueden ser protegidos mediante DNSCurve.
Seguridad
DNSCurve utiliza criptografía de curva elíptica de 256 bits, que NIST las estimaciones para ser más o menos equivalente a 3072-bit RSA.[2] ECRYPT reporta una equivalencia similar.[3] Utiliza a criptografía de clave pública por consulta (como SSH y SSL), y reproducción de 96 bits nonces para protegerse de ataques. Adam Langley, oficial de seguridad de Google, dice "Con una probabilidad muy alta, nadie nunca resolverá una única instancia de curve25519 sin un grande, ordenador cuántico."[4]
Velocidad
Adam Langley ha contabilizado pruebas de velocidad en su página web personal mostrando curve25519, por DNSCurve, solía para ser el más rápido entre las curvas elípticas probadas.[5] Según el NSA, criptografía de curva elíptica ofrece rendimiento vastamente superior sobre RSA y Diffie-Hellman en un ritmo geométrico como aumentan el tamaños de claves.[6]
Implementaciones
Primero ganada apoyo recursiva en dnscache mediante un parche DNSCurve[7] por Matthew Dempsky. Dempsky también tiene un GitHub repositorio que incluye herramientas de búsqueda de DNS de Python y un promotor en C.[8] Adam Langley tiene también un repositorio de GitHub.[9] Hay un promotor autoritario llamado CurveDNS[10] que permite a los administradores DNS proteger las instalaciones existentes sin parchear. OpenDNS ha lanzado DNSCrypt[11] para proteger el canal entre los usuarios de OpenDNS y sus resoluciones recursivo. Jan Mojžíš ha lanzado curveprotect,[12] una suite de software que implementa una protección DNSCurve y CurveCP para servicios comunes como DNS, SSH, HTTP y SMTP.
Despliegue
OpenDNS, que cuenta con 50 millones de usuarios, anunció soporte para DNSCurve en sus resoluciones recursivo el 23 de febrero de 2010.[13] Entonces el 06 de diciembre de 2011, OpenDNS anunció una nueva herramienta, llamada DNSCrypt.[14] DNSCrypt protege el canal entre OpenDNS y sus usuarios.[15] Hay igualmente grandes proveedores DNS autoritativos han desplegado aún DNSCurve.
Véase también
- DNSSEC
- Criptografía de curva elíptica
- OpenDNS
Notas
- ^ D. J. Bernstein. "Curve25519: criptografía de curva elíptica alta velocidad". 30 de enero 2013.
- ^ "Las recomendaciones del NIST (2011)".
- ^ "ECRYPT II Informe anual sobre algoritmos y Keysizes (2010-2011)".
- ^ "Adam Langley sobre seguridad curve25519".
- ^ "Adam Langley: ¡ Qué diferencia hace un primer".
- ^ "La NSA: el caso de criptografía de curva elíptica".
- ^ "Parche de DNSCurve para dnscache".
- ^ "Repo de DNSCurve de Matthew Dempsky en GitHub".
- ^ "Repo de DNSCurve de Adam Langley".
- ^ "CurveDNS: un DNSCurve nombre servidor de reenvío".
- ^ "DNSCrypt: asegurar una pieza fundamental de la infraestructura de Internet".
- ^ "curveprotect, un complejo conjunto de herramientas para proteger servicios de amplia gama de internet".
- ^ "OpenDNS adopta DNSCurve".
- ^ "OpenDNS unveils DNSCrypt".
- ^ "red de dnscrypt-proxy: dnscrypt-proxy-1.4.3 – comunicaciones seguras entre un cliente DNS y resolver". Portes de OpenBSD. 2015-01-06. 2015-02-09.
Enlaces externos
- Sitio web oficial
- Criptografía de alta velocidad y DNSCurve, una presentación de junio de 2009 por el autor
- DNSCurve: Seguridad utilizable para DNS, una presentación de agosto de 2008 por el autor
- proyecto-dempsky-dnscurve-01 Propuesta estándar "DNSCurve: nivel de enlace de seguridad para el Domain Name System", enviado por M. Dempsky (a partir de OpenDNS) a IETF (actualizado en febrero de 2010)
- OpenDNS adopta DNSCurve, entrada de blog oficial de OpenDNS
- CurveDNS, DNSCurve nombre servidor de reenvío
- NaCl, Biblioteca de redes y criptografía
Otras Páginas
- Fideicomiso privado anualidad
- Departamento de policia de Miami
- El agujero, Nueva York
- Albert Rosellini
- Cadena
- MIUI
- Premier League
- Parque Nacional de Yellowstone
- El Tao de la Wu
- Tiro con arco en los juegos asiaticos 2010 varonil individual
- Loris Holanda
- Politica de proteccion de informacion
- Emperipolesis