DNSCurve – Wikipédia, a enciclopédia livre
Este artigo não cita fontes confiáveis. (Outubro de 2021) |
DNSCurve é um protocolo de segurança projetado para proteger o sistema de nomes de domínio (DNS). Foi desenvolvido pelo professor criptologista Daniel Julius Bernstein em agosto de 2008.
Objetivos
[editar | editar código-fonte]Um dos objetivos do DNSCurve é melhorar a confidencialidade, a integridade e a disponibilidade do sistema de nomes de domínio (DNS).
- Confidencialidade
As solicitações e respostas habituais do DNS não são criptografadas e são transmitidas para qualquer invasor.
- Integridade
Embora haja alguma proteção para um DNS usual, um invasor que esteja fazendo sniffing, pacientemente, pode forjar um registro DNS. Isso pode ser impedido pela autenticação criptográfica do DNSCurve.
- Disponibilidade
O DNS usual não tem proteção contra ataque de negação de serviço (DoS) por um invasor que esteja fazendo sniffing. O DNSCurve reconhece e descarta pacotes DNS falsos, proporcionando alguma proteção, embora SMTP, HTTP e HTTPS também sejam vulneráveis ao DoS.
Como funciona
[editar | editar código-fonte]O DNSCurve usa um criptosistema de curva elíptica assimétrica para autenticar servidores de nomes. A chave pública é transmitida por nomes auto-certificados, isto é, a chave pública é codificada como parte do nome de domínio. A segurança entre zonas é estabelecida incluindo também as chaves públicas da zona nos registros de recursos NS. A troca de chaves entre as zonas é feita manualmente pelos operadores da zona.
Até agora, o DNSCurve não fornece um local central e confiável no namespace de domínio hierárquico. Para distribuir as chaves públicas em níveis mais altos, como o domínio raiz ou domínios de nível superior , o professor Daniel J. Bernstein sugere usar listas descentralizadas ou baseadas em peer-to-peer.
Além da autenticação, o sistema de criptografia assimétrico negocia uma chave simétrica para comunicação ponto-a-ponto entre o resolvedor e o servidor de nomes. As mensagens DNSCurve são fornecidas com um código de autenticação de mensagem e criptografadas com um sistema criptográfico simétrico .
Implantação
[editar | editar código-fonte]O OpenDNS, anunciou o suporte ao DNSCurve em suas resoluções recursivas em 23 de fevereiro de 2010. Em 6 de dezembro de 2011, o OpenDNS anunciou uma nova ferramenta, chamada DNSCrypt. Este para proteger o canal entre o OpenDNS e seus usuários. Não existem outros grandes provedores de DNS com autoridade que tenham implantado o DNSCurve ainda, embora alguns pequenos, como o privacyshark.com, tenham feito isso.
Segurança
[editar | editar código-fonte]O DNSCurve usa criptografia de curva elíptica de 255 bits, que o NIST estima ser aproximadamente ou equivalente a 3072 RSA de 96 bits. A Criptografia de chave pública é usada por consulta, como SSH ou SSL, e os nomes de 96 bits para proteger contra ataques de negação de serviço.