neprihlásený Sobota, 13. septembra 2025, dnes má meniny Ctibor
.cz prešla ako prvá na eliptické krivky, .sk DNS zabezpečené stále nie je

Značky: DNSbezpečnosťČesko.sk

DSL.sk, 11.6.2018


Správca českej domény najvyššej úrovne .cz, CZ.NIC, v piatok úspešne dokončil na konci mája avizovaný prechod technológie DNSSEC zabezpečujúcej DNS z algoritmu RSA na algoritmus ECDSA založený za kryptografii eliptických kriviek.

Česká doména tak používa ECDSA ako vôbec prvá doména najvyššej úrovne.

Technológia DNSSEC zvyšuje bezpečnosť DNS tým, že umožňuje záznamy digitálne podpisovať a overiteľné podpisy zasielať spolu s DNS odpoveďou.

DNS klient respektíve rekurzívny DNS server prekladajúci domény na IP adresy tak môže bezpečne overiť, že odpoveď pochádza z oficiálneho DNS servera pre doménu a nebola žiadnym spôsobom podvrhnutá.

CZ-NIC nasadil DNSSEC v .cz už v roku 2008, podľa avíza niekoľko mesiacov pred nasadením zrejme ako tretia krajina v Európe. Doteraz samozrejme používal RSA kľúče, pričom správu hlavného kľúča aj s jeho uchovávaním v trezore a používaním na notebooku bez disku a sietí popísal pred piatimi rokmi.

Teraz prešiel na ECDSA z niekoľkých dôvodov. Porovnanie RSA a ECDSA je komplikované, v otázke bezpečnosti je za RSA 40-ročná minulosť bez identifikovania problému a veľmi jednoduchý princíp, ECDSA je používaný kratšie, parametre algoritmu sú pre potrebu zvolenia krivky komplikovanejšie ale na druhej strane má aj pri menších dĺžkach kľúčov a podpisov väčšiu bezpečnosť.

Práve menšia veľkosť je veľkým pozitívom pre nasadenie v DNSSEC, keď kratšie pakety sú menej vhodné na DDoS útoky zosilnením pomocou DNS a DNS servery zóny .cz tak budú menej atraktívne pre útočníkov a napríklad rýchlejšie prechádzajú niektorými IPv6 sieťami.

Problémom ale samozrejme je, že staršie DNS rekurzívne servery môžu podporovať DNSSEC ale nie ECDSA algoritmus. CZ-NIC sa ale rozhodol ECDSA nasadiť, keďže ho intenzívne využívajú aj domény druhej úrovne v .cz a užívateľ často tak či tak podporu ECDSA teda potrebuje. Konkrétne je ECDSA používaný už takmer u polovice českých zabezpečených domén.

K prechodu na ECDSA prišlo v rámci výmeny hlavného KSK kľúča zóny .cz postupne od 4. do 8. júna, začal vložením nových ECDSA podpisov a kľúčov, následne pokračoval zmenou kľúčov v koreňovej zóne DNS a dokončený bol v piatok odstránením doterajších RSA kľúčov a podpisov.

V doméne .sk DNSSEC stále podporovaný nie je. Správca domény SK.NIC podporu sľubuje dlhodobo a má byť jednou z výhod nového systému, na ktorý sa prešlo v minulom roku. Zatiaľ podporované ale stále nie je a na svojich stránkach SK.NIC podporu sľubuje v "ďalšej fáze".

Či DNSSEC podporuje rekurzívny DNS server, ktorý používate, respektíve aj detailne ktoré algoritmy konkrétne podporuje je možné overiť na tejto stránke.



Najnovšie články:

Kioxia má na požiadavku Nvidie čoskoro uviesť SSD pre AI s výkonom až 100 miliónov IO/s
V Česku viaceré organizácie vyzvali vládu, aby zakázala mobily na školách
Podiel ARM v serveroch sa zvýšil už na 25%
Automobilka Jaguar Land Rover bude mať kvôli útoku odstavenú výrobu viac ako dva týždne
Telekom začína na iPhonoch podporovať RCS správy, umožnia bezplatné správy s Android užívateľmi
Prechod na digitálne vysielanie rádií v SR je bližšie, frekvencie boli skoordinované so susedmi
Starlink má ambíciu byť globálnym mobilným operátorom
Automobilka Jaguar Land Rover má po útoku viac ako týždeň odstavenú výrobu, dotkol sa aj dát
V Británii spustili výstavbu gigantického batériového úložiska
Spotify uviedla bezstratovú kvalitu audia


Diskusia:
                               
 

bez komentara ....
Odpovedať Známka: 5.4 Hodnotiť:
 

Tak prečo ten komentár?
Odpovedať Známka: -5.0 Hodnotiť:
 

fajn, na Slovensku nefunguje nic vdaka kokotovi ficovi a celej zlodejskej bande zo SMERU!
Odpovedať Známka: -7.1 Hodnotiť:

Pridať komentár