DNSSEC – источники неприятностей
Вот, кстати, первым источником уязвимостей в реализациях DNSSEC (это “безопасное” расширение DNS) будут рационализаторские решения. Технические центры крупных доменов захотят экономить ресурсы и поправят технологии так, как удобнее с точки зрения экономии. Поправки породят уязвимости.
Это, вообще, обычное дело в системах безопасности. Скажем, рационализаторы экзотическими “неразрушающими способами” отключают сигнализации, определяющие наличие опасных газов в воздухе (чтобы не пищало “попусту”). Или фиксируют во включенном положении скотчем на мощном и опасном механизме управляющие кнопки, работающие в качестве дополнительного “рубежа” подтверждения пуска. В Debian OpenSSL рационализаторы поправили исходный код так, чтобы анализатор кода перестал выдавать предупреждения – итог: в библиотеке появился ужасный дефект, скомпрометировавший огромное количество криптографических ключей.
Так что с DNSSEC будет то же самое – дыры подготовят рационализаторы.
Адрес записки: https://dxdt.ru/2009/05/06/2329/
Похожие записки:
- Занятный замок Fichet 787
- HTTPS-записи в DNS и RFC 9460
- Ретроспектива заметок: "умные счётчики"
- Геоаналитика через "Яндекс"
- Согласование траекторий автомобилей-роботов
- Утечки данных YubiKey/Infineon
- Десятилетие DNSSEC в российских доменах
- Мониторинг: фитнес-браслет и смартфон
- Новость про постквантовые криптосистемы в вебе
- Про цепочки, RSA и ECDSA
- Kyber768 и длина сообщений TLS