¿Es DNSSEC vulnerable a los ataques de tiempo (remotos)?

Question

¿Es DNSSEC vulnerable a los ataques de tiempo (remotos)?

#1 de Steffen Ullrich (2 votos)

3

Me pregunté si las DNSSEC serían vulnerables a los ataques de tiempo (remotos), a diferencia de TLS, las firmas no tienen que volver a calcularse cada vez. Entonces, ¿cómo podría explotar la información de tiempo en primer lugar?

También vea esta cita:

¿No puede DNSSEC admitir tanto la curva elíptica como RSA?

Las curvas NIST P- muy probablemente no son de puerta trasera, a pesar de su   Dependencia de un número mágico generado en la NSA. Pero su estructura de curva.   Es viejo y propenso a errores. Son difíciles de implementar en “constantes”.   tiempo ”, para evitar que los atacantes midan el tiempo que llevan las operaciones para   aprender claves secretas.

Fuente: enlace

timing-attack

pregunta Yustack 26.05.2017 - 11:34

fuente

1 respuesta

Lea otras preguntas en las etiquetas timing-attack

¿Cuál es la última vulnerabilidad de samba, y debería importarme? ¿Cómo funcionan las cookies junto con el enlace de token?

score 2 · Answer 1

Estoy de acuerdo con su argumentación, es decir, no creo que DNSSec sea vulnerable a ataques de temporización en la mayoría de los casos (vea la edición a continuación para ver cuándo puede ser vulnerable). Las operaciones criptográficas solo se realizan cuando los registros se modifican, agregan o eliminan o si las claves se modifican, pero no cuando se responde a una consulta de DNS. Como el atacante solo puede controlar la consulta de DNS pero no el cambio de registros o el cambio de claves, no puede observar el tiempo de las operaciones criptográficas y, por lo tanto, no puede usar ataques de tiempo contra estos.

EDITAR: Habbie @ señaló correctamente que algunos proveedores como Cloudflare utilizan la firma en línea y que, por lo tanto, el atacante podría en realidad desencadenar una operación de firma (ver comentarios para más detalles). En este caso, un ataque de tiempo podría ser posible en teoría. No sé qué tan bien funcionaría esto en la práctica, es decir, qué tan sensible debe ser el tiempo y cuántas operaciones de firma deben activarse. crypto.stackexchange.com puede ayudar con más detalles aquí.