ECDSA: il pezzo mancante del DNSSEC

Cloudflare è il più grande fornitore di DNS gestito al mondo. Quello che non vogliamo è trasformare i nostri server DNSSEC in un vettore di amplificazione per gli attacchi DDoS (Distributed Denial-of-Service). Ogni volta che si richiede un record a un server DNSSEC, questo restituisce anche la firma associata a quel record e la chiave pubblica utilizzata per verificare la firma. Sono potenzialmente molte informazioni.

Rendere la dimensione della risposta per le query DNSSEC la più piccola possibile è un requisito importante per prevenire l'abuso della nostra infrastruttura DNS da parte di potenziali aggressori. Le dimensioni ridotte delle chiavi e delle firme ECDSA contribuiscono notevolmente a questo scopo.

Per ottenere una sicurezza a 128 bit con ECDSA è necessaria una chiave a 256 bit, mentre una chiave RSA analoga sarebbe di 3072 bit. Si tratta di un fattore di amplificazione 12 volte superiore solo per i tasti. Per saperne di più sul perché le chiavi crittografiche hanno dimensioni diverse, consultare questo post del blog.

Tuttavia, la maggior parte delle chiavi RSA non sono di 3072 bit, quindi un fattore di amplificazione di 12 volte potrebbe non essere la cifra più realistica. Analizziamo lo scenario reale peggiore per l'amplificazione DDoS, ovvero una risposta negativa (record NSEC). Per un dominio dietro Cloudflare (che utilizza firme ECDSA e bugie bianche DNSSEC), una tipica risposta DNSSEC è di 377 byte. Confrontate questo dato con i 1075 byte di un dominio che non utilizza le bugie bianche ECDSA o DNSSEC.

Se si considera il fatto che tutte le altre implementazioni DNSSEC su larga scala si basano su firme RSA, è poco allettante per un attaccante sfruttare la nostra infrastruttura DNSSEC come vettore DDoS.

ECDSA non è privo di compromessi. Secondo Roland van Rijswijk-Deij et al., solo l'80% dei resolver supporta la validazione ECDSA. Questo numero è in crescita, ma significa che se l'intero Internet DNSSEC passasse subito a ECDSA la convalida DNSSEC fallirebbe per milioni di utenti di Internet ogni giorno e tornerebbe a restituire record DNS non verificati.

Inoltre, mentre la creazione della firma ECDSA è più veloce di quella RSA, la convalida della firma è molto più lenta. Roland van Rijswijk-Deij et al. hanno dimostrato che, anche con le ottimizzazioni di ECDSA che ha contribuito a OpenSSL, ECDSA è ancora 6,6 volte più lento di RSA a 1024 bit (che è l'algoritmo più comunemente usato per la firma a zona delle chiavi). Si tratta di un problema serio, perché il sovraccarico dei risolutori DNS potrebbe potenzialmente rallentare l'intera Internet.

C'è un'avvertenza molto importante in tutta questa discussione sull'Algoritmo 13: solo l'1,5% delle proprietà Web supporta il DNSSEC in qualsiasi capacità.Non tutti i registrar supportano il protocollo DNSSEC e l'aggiunta del supporto non è banale.Devono consentire agli utenti di di caricare i record DS, che a loro volta devono essere caricati sul registro dal registrar. Stiamo lavorando per rendere questo processo automatizzato in modo che il registrante non debba nemmeno caricare il record DS, ma richiede comunque l'intervento del registrar.