DNSSEC: Malsamoj inter versioj
| [nekontrolita versio] | [nekontrolita versio] |
Enhavo forigita Enhavo aldonita
→Historio: la rubriko estas parte tradukita |
→Historio: la rubriko estas fintradukita, alia rubriko estas komencita |
||
Linio 22:
Tiuj malfacilaĵoj siavice venigis al apero de novaj specifoj (RFC 4033, RFC 4034, RFC 4035) kun gravaj ŝanĝoj en DNSSEC (DNSSEC-bis), kies nova versio eliminis la precipan problemon de la antaŭa realigo kaj, kvankam laŭ la nova specifo klientoj bezonas fari aldonajn agojn por kontroli ŝlosilojn, ĝi montriĝis tute taŭga por praktika aplikado.
En 2005 aperis la nuna versio de DNSSEC. En 2008 {{alilingve|en|Dan Kaminsky}} montris, ke veneni kaŝmemoron eblas dum dek sekundoj. La ellaborantoj de DNS-programaro respondis per tio, ke aldone al demanda identigilo ekis hazarde elektadi elirpordon por la demando. Samtempe komanciĝis diskutoj pri enkonduko de DNSSEC.
La ŝanĝo de DNSSEC nomata DNSSEC-bis (la titolo estis donita por distingi DNSSEC-bis disde la origina metodo de DNSSEC en RFC 2535) uzas la principon DS ({{lang-en|delegation signer}}) por provizi aldonan nivelon de nerekta delegado dum transdono de zonoj disde patro al heredanto. Laŭ la nova metodo, kaze de ŝanĝo de la nefermita ŝlosilo al la administranto de supera domajno estas sendataj nur unu aŭ du mesaĝoj anstataŭ ses: la heredanto sendas diĝeston (''fingerprint'', ''hash'') de nova nefermita ŝlosilo al la patro. La patro simple deponas identigilon de nefermita ŝlosilo por ĉiu el la heredantoj. Tio signifas, ke al la patro estos sendita tute malgranda kvanto de datumo anstataŭ interŝanĝo de grandega kvanto de datumo inter la heredanto kaj la patro.
Subskribado kaj kontrolado de datumo de DNS kreas aldonajn elspezojn, kio negative influas produktivecon de la reto kaj serviloj. Ekzemple, averaĝe DNSSEC-zono (aro de domajnaj nomoj de koncerna nivelo en konkreta domajno) 7—10-oble superas amplekse la domajnan nomsistemon mem. Generado kaj kontrolado de subskriboj prenas signifas tempon de centra procesilo. Subskriboj kaj ŝlosiloj okupas dekoble pli da loko sur disko kaj en operacia memoro ol la datumo mem.
== Principo de funkciado ==
[[Dosiero:DNSSEC resource record check.png|thumb|Kontrolado de aŭtenteco de datumo en DNSSEC]]
La principo de funkciado de DNSSEC estas bazita sur uzo de {{alilingve|en|cifera subskribo|Digital signature}}. La administranto disponas rikordojn pri konformeco inter domajna nomo kaj IP-adreso. DNSSEC metas al ĉiu el ili en striktan korelacion specialan, strikte difinitan sinsekvon de simboloj, kio estas cifera subskribo. La precipa specialaĵo de cifera subskribo estas, ke ekzistas nefermitaj, publike disponeblaj metodoj kontroli aŭtentecon de subskribo, sed generado de subskribo por arbitra datumo postulas ke la subskribanto disponu la sekretan ŝlosilon. Tial kontroli subskribon povas ĉiu partoprenanto de la sistemo, sed subskribi novan aŭ ŝanĝitan datumon en la praktiko povas nur tiu, kiu havas sekretan ŝlosilon.
Teorie, nenio malhelpas enrompanton kalkuli la sekretan ŝlosilon kaj trovi subskribon, tamen en la praktiko por sufiĉe komplika kaj longa ŝlosilo ne eblas plenumi tian operacion dum racia tempodaŭro kun uzo de la ekzistantaj ilaro kaj matematikaj algoritmoj.
Kaze de disponeblo de la sekreta ŝlosilo kalkulado de cifera subskribo ne prezentas malfacilaĵon. Tia estas la funkciado de malsimetriaj nefermitŝlosilaj ĉifrosistemoj, situantaj en la bazo de la algoritmoj de cifera subskribo.
| |||