核心概念
為應對量子計算對傳統數位簽章構成的威脅,本文提出了一種雙重簽署分段式 DNSSEC 方案,結合傳統和後量子數位簽章,在量子計算時代來臨前提供增強的安全保障。
簡介
域名系統安全擴展 (DNSSEC) 藉由數位簽章確保域名解析的可靠性。然而,量子計算的發展威脅到傳統數位簽章的安全性。美國國家標準與技術研究院 (NIST) 選擇了一些後量子數位簽章演算法,這些演算法可在傳統電腦上運行並能抵禦量子電腦的攻擊。然而,在後量子時代完全來臨之前,僅僅將傳統數位簽章替換為後量子簽章存在風險。
雙重簽署 DNSSEC 的必要性
由於後量子數位簽章演算法仍處於發展初期,在經過全面安全分析之前,直接替換 DNSSEC 中的傳統數位簽章存在風險。因此,本文探討了在 DNSSEC 中採用雙重簽署的可行性,即結合使用後量子數位簽章和傳統數位簽章。
應對訊息大小限制的策略
雙重簽署方案的一個挑戰是簽章大小的增加,可能導致 DNSSEC 回應訊息超過允許的最大大小 (1232 位元組)。為了解決這個問題,本文提出了一種在應用層對 DNSSEC 回應訊息進行分段的方法,並詳細介紹了分段和重組的過程。
評估與結果
本文使用 BIND9 軟體建構了一個基於 Docker 的 DNSSEC 測試平台,並對雙重簽署分段式 DNSSEC 方案進行了評估。實驗結果表明,與僅使用後量子數位簽章相比,雙重簽署對 DNSSEC 解析時間的影響微乎其微。
結論
雙重簽署分段式 DNSSEC 方案為應對量子威脅提供了一種有效的解決方案,尤其適用於量子計算時代完全來臨前的過渡時期。
統計
DNSSEC 回應訊息的最大允許大小為 1232 位元組。
與僅使用後量子簽章相比,雙重簽署對 DNSSEC 解析時間的影響增加不到 9%。
FALCON 擁有比其他後量子數位簽章更短的簽章大小。
RSA 擁有比 ECDSA 更快的簽章驗證速度。