Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Продолжение про DNSSEC: атаки на основе времени
Кстати, внедрение DNSSEC приведёт к появлению новых типов атак на DNS, среди которых есть довольно интересные и неожиданные (впрочем, два упомянутых ниже типа специалистам давно известны и описаны в соответствующих RFC, но тем не менее).
Скажем, для проверки достоверности данных в DNSSEC используются криптографические ключи, которые крепко привязаны ко времени: у каждого ключа строго определён срок действия. Так что если часы компьютера, проверяющего адресную информацию по DNSSEC, не привязаны к “всеинтернетовскому” глобальному времени DNS, то у этого компьютера большие проблемы с корректностью обработки адресов. Соответствующая атака, видимо, должна использовать какие-то манипуляции с системным временем. Для DNS, работающей без DNSSEC, глобальное время не так важно.
Другой вариант: DNSSEC использует вычислительно затратные криптографические операции. Это означает, что новая DOS-атака (на отказ) может основываться на подсовывании поддерживающим DNSSEC системам “дефектных” подписей и ключей. При этом атакуемый компьютер тратит немалые вычислительные мощности на бесполезную обработку данных от злоумышленников. Затраты процессорного времени тут просто не сравнимы с затратами на обработку запросов по протоколам “классической” DNS: DNSSEC потребует гораздо больше ресурсов.
Адрес записки: https://dxdt.ru/2008/09/24/1727/
Похожие записки:
- Gofetch как уязвимость
- Многобайтовые постквантовые ключи и TLS
- Компиляторы в песочницах и сравнение программ
- Трафик на тестовом сервере TLS 1.3 и ESNI
- DNS и TCP
- CVE-2024-3661 (TunnelVision) и "уязвимость" всех VPN
- Подмена хостнейма WHOIS-сервиса .MOBI
- Австралийские постквантовые криптографические рекомендации
- Apple и центральные ИИ-агенты
- Практикум: примеры с dig для DNSSEC и DNS
- Ретроспектива заметок: деанонимизация по географии