Hlavní navigace

Názor k článku Otrávení DNS cache se opravdu používá k únosu mailů od Petr Krčmář - To právě nejde. To by byl downgrade attack...

  • 16. 9. 2014 13:28

    Petr Krčmář

    To právě nejde. To by byl downgrade attack a tomu se musí návrh bezpečnostní technologie vyhnout.

    Pokud není zóna podepsaná, musí to nadřazená zóna deklarovat v podepsané zprávě. Tedy CZ.NIC řekne buď:

    a) zónu spravuje server ns.nekde.cz a všechny odpovědi musí být podepsány tímto klíčem
    b) zóna není podepsaná
    Ale obě zprávy jsou podepsané klíči CZ.NIC. Taky se to podvrhnout nedá.

    Asi budu muset napsat nějaký hodně zjednodušující článek (blogpost) o tom, jak funguje DNSSEC.