encryptionOracle是在创build错误条件时可以推导出私钥的地方。
考虑到最近的ASP.NET填充Oracle攻击,任何人都可以告诉我,DNSSec实现是否受到类似的“encryptionOracle”攻击的保护?
这种攻击是否与DNSSEC有关?
密码学中的一个oracle是一个系统,当你提出问题时给你提示。 这个工作交互式地揭示在ASP.NET情况下的私钥。 这个询问和回答/提示是在私钥在线的情况下完成的(这对于SSL / TLS来说是必须的),随着新的问题/连接的出现,一点一点的关键就被“暴露”了。
DNSSEC的devise是为了使私钥可以保持完全脱机状态(就像它是根(“。”)服务器),并且所有数据都被签名一次,并且可以单独保留。 ISC BIND DNS服务器(例如)使用平面文本文件来存储其区域数据,所有logging(普通DNSlogging和RRSIG)只是从这个/这些文件发送。
攻击者无法发送BIND服务器查询,以便查询私钥以获取答案(最佳做法指出私钥甚至不应存储在可公开访问的DNS服务器上)。 每个对DNS查询的响应都是从静态数据中获取的,因此链中没有任何一个oracle可以从中获取答案和/或进行攻击。