DNSSEC
Bu maqola oʻzbek tilining imlo qoidalariga muvofiq yozilmagan. Qarang: VP:ORFO. |
Domen nomi tizimining xavfsizlik kengaytmalari (inglizcha: DNSSEC - Domain Name System Security Extensions) Internet Protocol (IP) tarmoqlarida domen nomlari tizimida (DNS) almashinadigan maʼlumotlarni xavfsizligini taʼminlash uchun Internet Engineering Task Force (IETF) tomonidan kengaytirilgan spetsifikatsiyalar toʻplamidir. Protokol maʼlumotlarning kriptografik autentifikatsiyasini, mavjudligini rad etishning haqiqiyligini va maʼlumotlar yaxlitligini taʼminlaydi, ammo mavjudligi yoki maxfiyligini taʼminlamasligi mumkin.
Umumiy maʼlumotlar
tahrirDomen nomlari tizimining dastlabki dizayni hech qanday xavfsizlik xususiyatlarini oʻz ichiga olmaydi. Bu faqat miqyosli taqsimlangan tizim sifatida oʻylab topilgan. Domen nomi tizimining xavfsizlik kengaytmalari (DNSSEC) orqaga qarab muvofiqligini saqlab, xavfsizlikni qoʻshishga harakat qiladi. RFC 3833 DNS uchun maʼlum boʻlgan tahdidlarning bir qismini va DNSSEC-da ularni hal qilishni hujjatlashtiradi.
DNSSEC DNS-dan foydalangan dasturlarni DNS-kesh bilan zararlanish natijasida hosil boʻlgan soxta yoki manipulyatsiya qilingan DNS maʼlumotlarini qabul qilishdan himoya qilish uchun ishlab chiqilgan. DNSSEC himoyalangan zonalarining barcha javoblari raqamli imzolangan . Raqamli imzoni tekshirib, DNS-rezolyutsiyasi maʼlumot egasi tomonidan eʼlon qilingan va vakolatli DNS-serverda taqdim etilgan maʼlumot bilan bir xilligini (yaʼni oʻzgartirilmagan va toʻliq) tekshirishi mumkin. IP-manzillarni himoya qilish koʻplab foydalanuvchilar uchun dolzarb muammo boʻlsa-da, DNSSEC DNS-da nashr etilgan har qanday maʼlumotlarni, shu jumladan matn yozuvlarini (TXT) va pochta almashinuvi yozuvlarini (MX) himoya qilishi mumkin va kriptografik maʼlumotlarga havolalar nashr etadigan boshqa xavfsizlik tizimlarini yuklash uchun ishlatilishi mumkin. Sertifikat yozuvlari (CERT yozuvlari, RFC 4398), SSH barmoq izlari (SSHFP, RFC 4255), IPSec ochiq kalitlari (IPSECKEY, RFC 4025) va TLS ishonch ankrajlari (TLSA, [rfc:6698 RFC] 6698) kabi DNS-da saqlangan sertifikatlar.
DNSSEC maʼlumotlar maxfiyligini taʼminlash emas; xususan, DNSSEC-ning barcha javoblari tasdiqlangan, ammo shifrlanmagan. DNSSEC toʻgʻridan-toʻgʻri DoS hujumlaridan himoya qilmaydi, garchi u bilvosita bir oz foyda keltiradi (chunki imzo tekshiruvi potentsial ishonchli tomonlardan foydalanishga imkon beradi).
Ishlash
tahrirDNSSEC ochiq kalitli kriptografiya yordamida DNS qidirish uchun yozuvlarni raqamli imzolash bilan ishlaydi. Toʻgʻri DNSKEY yozuvi ishonchli uchinchi shaxs boʻlgan DNS ildiz zonasi uchun tasdiqlangan ochiq kalitlar toʻplamidan boshlab ishonchli zanjir orqali tasdiqlanadi. Domen egalari oʻzlarining kalitlarini yaratadilar va ularni DNS boshqaruv paneli yordamida oʻzlarining domen nomlarini roʻyxatdan oʻtkazuvchisiga yuklaydilar, bu esa oʻz navbatida kalitlarni secDNS orqali zonalar operatoriga (masalan, Verisign for.com) ularni imzolaydigan va nashr etadigan DNS-da yuboradi.
Algoritmlari
tahrirDNSSEC kengaytiriladigan qilib ishlab chiqilgan boʻlib, mavjud algoritmlarga qarshi hujumlar aniqlanganda, yangilari orqaga qarab mos ravishda kiritilishi mumkin. Quyidagi jadvalda 2013-yil aprel holatiga koʻra eng koʻp ishlatiladigan xavfsizlik algoritmlari aniqlangan[1].
| Algoritm maydoni | Algoritm | Manba | DNSSEC imzosi | DNSSEC-ni tasdiqlash[2] |
|---|---|---|---|---|
| 1 | RSA / MD5 | Amalga oshirilmasligi kerak | Amalga oshirilmasligi kerak | |
| 3 | DSA / SHA-1 | Amalga oshirilmasligi kerak | Amalga oshirilmasligi kerak | |
| 5 | RSA / SHA-1 | RFC 3110 | Tavsiya etilmaydi | Majburiy |
| 6 | DSA-NSEC3-SHA1 | Amalga oshirilmasligi kerak | Amalga oshirilmasligi kerak | |
| 7 | RSASHA1-NSEC3-SHA1 | RFC 5155 | Tavsiya etilmaydi | Majburiy |
| 8 | RSA / SHA-256 | [rfc:5702 RFM 5702] | Majburiy | Majburiy |
| 10 | RSA / SHA-512 | Tavsiya etilmaydi | Majburiy | |
| 12 | GOST R 34.10-2001 | RFC 5933 | Amalga oshirilmasligi kerak | Majburiy emas |
| 13 | ECDSA / SHA-256 | RFC 6605 | Majburiy | Majburiy |
| 14 | ECDSA / SHA-384 | Majburiy emas | Tavsiya etiladi | |
| 15 | Ed25519 | RFC 8080 | Tavsiya etiladi | Tavsiya etiladi |
| 16 | Ed448 | Majburiy emas | Tavsiya etiladi |
Manbalar
tahrir- ↑ „Domain Name System Security (DNSSEC) Algorithm Numbers“. IANA (2010-yil 12-iyul). Qaraldi: 2010-yil 17-iyul.
- ↑ „RFC-8624“. IETF.