Al usar una red de comunicación anónima como Tor, para garantizar la privacidad, debe enrutar el tráfico de DNS a través del sistema, incluso si su computadora siempre usa DNSSEC para búsquedas de DNS, ¿sería esto cierto? Si es así, ¿por qué?
DNSSEC no protege contra las escuchas ilegales, a este respecto solo firma la respuesta para que el cliente sepa que no ha sido falsificado:
Es un conjunto de extensiones a DNS que se proporcionan a los clientes DNS (resolver) la autenticación de origen de los datos DNS, la denegación autenticada de existencia, y la integridad de los datos, pero no la disponibilidad o confidencialidad .
Emphasis mine.
Si hace DNS a través de su red local no encriptada, un tercero podría ver qué nombres estaba buscando y podría obtener cierta información de esas búsquedas. Si eres un agente de la CIA de cobertura profunda en algún lugar y pueden ver que vas a super-sekret-email.cia.gov, bueno, incluso sin ese tráfico, puedes tener problemas. También existe la posibilidad de que puedan envenenar sus búsquedas (para que su tráfico pase por Tor a su servidor) o los bloquee por completo para negarle el acceso. DNSSEC solo previene una de esas tres amenazas.
Cuando su sistema realiza solicitudes de DNS sin la red de anonimización, normalmente está utilizando un intruso que puede predecir qué sitios está visitando. Supongamos que desea visitar enlace . Su navegador realiza una solicitud de DNS y la envía a su red de anonimización, que a su vez solicita el sitio. Así que el intruso tiene una idea de lo que estás haciendo actualmente.
DNSSEC le proporciona respuestas DNS autenticadas. Entonces, en el ejemplo anterior, un atacante podría falsificar la solicitud y enviarlo a otro sitio malicioso. Con DNSSEC esto no es posible. Sin embargo, el intruso sigue viendo qué solicitudes de DNS realiza y aún puede predecir los sitios.
Por eso es importante que también sus solicitudes de DNS (o DNSSEC) pasen a través de la red de anonimización.