DNSSEC: Malsamoj inter versioj

[nekontrolita versio]

← Iru al antaŭa ŝanĝo Iru al sekvanta ŝanĝo →

Enhavo forigita Enhavo aldonita

Enteksta

Kiel registrite je 08:41, 11 jun. 2014

DNSSEC (angle Domain Name System Security Extensions) estas aro de etendoj fare de IETF por la protokolo DNS ebligantaj minimumigi atakojn, ligitajn al fia anstataŭo de DNS-adreso ĉe resolvo de domajnaj nomoj. Ĝi estas celita provizi al DNS-klientoj aŭtentajn respondojn je DNS-demandoj (aŭ aŭtentan informon pri foresto de datumo) kaj garantii ilian tutecon. Estas uzata kriptografio kun nefermita ŝlosilo. Ne estas garantiataj disponebleco de datumo kaj konfidencieco de demandoj. Garantiado de sekureco de DNS estas krize grava por la interreta sekureco ĝenerale.

Priskribo

Origine DNS estis ellaborata ne por sekureco, sed por kreo de skaleblaj distribuitaj sistemoj. Kun paso de tempo DNS iĝas ĉiam pli vundebla. Fiuloj facile alidirektas demandojn de uzantoj pri alfabeta nomo al falsaj serviloj kaj tiamaniere ricevas aliron al pasvortoj, numeroj de bankaj kartoj kaj aliaj konfidencaj informoj. La uzantoj mem nenion povas fari pri tio, ĉar en plej multaj okazoj ili eĉ ne suspektas, ke la demando estis alidirektita — la enhavo de la adreslinio de la foliumilo kaj la retejo mem estas precize tiaj, kiaj ilin supozas vidi la uzanto. DNSSEC estas provo garantii sekurecon kun samtempa retroira kongruo.

DNSSEC estis ellaborita por garantii sekurecon de klientoj kontraŭ falsa DNS-datumo, ekzemple kreita per veneno de DNS-kaŝmemoro (angle DNS cache poisoning; ankaŭ nomata falsado de DNS (angle: DNS spoofing)). Ĉiuj respondoj de DNSSEC havas ciferan subskribon. Kontrolante ciferan subskribon, DNS-kliento kontrolas ĝustecon kaj tutecon de la informo.

DNSSEC ne ĉifras datumon kaj ne ŝanĝas ĝian administradon, estante kongrua kun fruaj versioj de la nuna sistemo DNS kaj de aplikaĵoj. DNSSEC povas certigi ankaŭ tiajn informojn kiel ĝeneralcelaj kriptografiaj certigiloj enhavataj de CERT-rikordo. RFC 4398 (angle) priskribas kiel klasi tiujn certigilojn, en tiu nombro per retpoŝto, kio ebligas uzi DNSSEC estiel mondskalan deponejon de certigiloj subskribŝlosilaj.

DNSSEC ne garantias konfidencon de datumo; interalie, ĉiuj DNSSEC-aj respondoj estas aŭtentigitaj, sed ne ĉifritaj. DNSSEC ne defendas kontraŭ atakoj de rifuzo en priservado (angle: Denial-of-service attack) senpere, kvankam iusence faras tion nerekte. Aliaj normoj (ne DNSSEC) estas uzataj por provizo de granda amplekso de datumo transsendata inter DNS-serviloj.

Specifoj de DNSSEC (ankaŭ angle DNSSEC-bis) detale priskribas la nunan protokolon DNSSEC. Vidu RFC 4033, RFC 4034 kaj RFC 4035 (angle, 0).

Historio

Origine la domajna nomsistemo ne havis meĥanismojn por defendo kontraŭ fia anstataŭo de informo en respondo de servilo, ĉar dum la ellaborado (komence de la 1980-aj jaroj) la minacoj al la sekureco de la moderna Interreto ne estis aktualaj. Klientoj konkludadis pri ĝusteco de ricevita informo nur per du-bitoka identigilo de la demando. Do, fiulo bezonis foliumi 65536 signifojn por «veneni kaŝmemoron». Tio signifas, ke la datumo en DNS estas damaĝita (intence aŭ pro eraro) kaj DNS-servilo kaŝmemoras damaĝitan datumon por optimumigi rapidecon (la kaŝmemoro iĝas «venenigita») kaj komencas provizadi tiun neaŭtentan datumon al siaj klientoj. En 1990 Steven M. Bellovin (angle: Steven M. Bellovin) eltrovis seriozajn mankojn en sekureco. Esploroj en ĉi branĉo komenciĝis kaj aktivis ekde la tempoj de publikigo de lia raporto en 1995.

Kiel registrite je 07:24, 11 jun. 2014 redakti Gamliel Fishkin (diskuto \| kontribuoj) Patrolantoj, Administrantoj 5 269 redaktoj →‎Priskribo: la rubriko estas fintradukita, alia rubriko estas komencita ← Iru al antaŭa ŝanĝo		Kiel registrite je 08:41, 11 jun. 2014 redakti malfari Gamliel Fishkin (diskuto \| kontribuoj) Patrolantoj, Administrantoj 5 269 redaktoj →‎Historio: la rubriko estas parte tradukita Iru al sekvanta ŝanĝo →
Linio 13:		Linio 13:

	== Historio ==		== Historio ==
	Origine la domajna nomsistemo ne havis meĥanismojn por defendo kontraŭ fia anstataŭo de informo en respondo de servilo, ĉar dum la ellaborado (komence de la 1980-aj jaroj) la minacoj al la sekureco de la moderna Interreto ne estis aktualaj. Klientoj konkludadis pri ĝusteco de ricevita informo nur per du-bitoka identigilo de la demando. Do, fiulo bezonis foliumi 65536 signifojn por «veneni kaŝmemoron».		Origine la domajna nomsistemo ne havis meĥanismojn por defendo kontraŭ fia anstataŭo de informo en respondo de servilo, ĉar dum la ellaborado (komence de la 1980-aj jaroj) la minacoj al la sekureco de la moderna Interreto ne estis aktualaj. Klientoj konkludadis pri ĝusteco de ricevita informo nur per du-bitoka identigilo de la demando. Do, fiulo bezonis foliumi 65536 signifojn por «veneni kaŝmemoron». Tio signifas, ke la datumo en DNS estas damaĝita (intence aŭ pro eraro) kaj DNS-servilo kaŝmemoras damaĝitan datumon por optimumigi rapidecon (la kaŝmemoro iĝas «venenigita») kaj komencas provizadi tiun neaŭtentan datumon al siaj klientoj. En 1990 {{alilingve\|en\|Steven M. Bellovin}} eltrovis seriozajn mankojn en sekureco. Esploroj en ĉi branĉo komenciĝis kaj aktivis ekde la tempoj de publikigo de lia raporto en 1995.