NSEC3 记录中是否有关于盐长度的建议?更长的盐是否意味着更好的安全性,更长的盐会影响(权威)服务器的性能吗?
DNSSEC 操作实践未提及盐长度。
在查看带有 DNSSEC 列表的 TLD 时,我看到 .COM 使用零长度盐(无盐),而一些 TLD 使用长达 16 字节的盐。有什么理由吗?
AskOverflow.Dev
NSEC3 记录中是否有关于盐长度的建议?更长的盐是否意味着更好的安全性,更长的盐会影响(权威)服务器的性能吗?
DNSSEC 操作实践未提及盐长度。
在查看带有 DNSSEC 列表的 TLD 时,我看到 .COM 使用零长度盐(无盐),而一些 TLD 使用长达 16 字节的盐。有什么理由吗?
盐旨在阻止预先计算的字典攻击。但是,正如本次安全审查中提到的那样,salt 并没有真正提供任何额外的安全性,因为 salt 是通过
NSEC3PARAMS记录公开提供的。由于在 NSEC3 哈希中使用了完全限定名称,因此甚至不存在全局有用的彩虹表类型攻击的风险,因此您可以任意选择您的哈希。如果攻击者发生不太可能的 NSEC3 散列冲突,则必须更改盐以消除冲突。
编辑:对于它的价值,RFC 5155 确实提出了建议: