NSEC3logging中是否有关于盐长的build议? 盐是否越长意味着安全性越好,盐度越长会影响(权威)服务器的性能?
DNSSEC的运营实践中没有提到盐的长度。
在查看具有DNSSEC列表的TLD时 ,我看到.COM使用零长度盐(无盐),而一些TLD使用长达16字节的盐。 有没有原因?
盐旨在阻止预先计算的字典攻击。 但是,正如本安全审查中所提到的,盐并没有提供任何额外的安全性,因为盐是通过NSEC3PARAMSlogging公开可用的。 由于在NSEC3哈希中使用完全限定的名称,所以甚至没有真正的全球有用的彩虹表式攻击的风险,所以你可以自由select你的哈希值。
如果攻击者做出不太可能的NSEC3哈希碰撞,则必须改变盐以消除碰撞。
编辑:为什么它的价值,RFC 5155确实提出build议:
盐应该至less有64位长和不可预测的,所以
攻击者无法预测盐的价值和计算
发布区域之前的下一组词典。