修改BIND9加密的可行性

Question

我正在努力为我的CS专业的最后一年的项目提出想法。一位讲师提出的他有兴趣监督的想法之一是探索ID-based encyption在安全域名系统中的应用。根据我的初步研究，我倾向于一个项目，在这个项目中，我试图将DNSSEC与这种加密标准结合起来。

我的想法是，我也许能够使用BIND9的简单DNS级别，去掉DNSSEC，并在它们之上构建一个定制的类似于DNSSEC的方案。我可能还必须修改库的一部分，以便在我的新方案中使用RFC2535的特性，如密钥和SIG RRsets。或者也许最好的方法是编辑DNNSEC是如何在库中实现的，并尝试删除OpenSSL并将其替换为指向我自己的迷你加密库的钩子？有没有人有使用BIND库的经验，可以告诉我这是一个多么糟糕的方法，这个库如何使自己具有可扩展性，等等？

Answer 1

请澄清您所说的“保护DNS”是否指的是：

对单个DNS消息的内容进行

1. cryptographically签名(在传输级别)，对单个DNS消息的内容进行or
2. cryptographically加密，对DNS区域数据进行or
3. cryptographically签名，以使其不会被欺骗

这三个特征或多或少是完全正交的。

TSIG做的是第一个-它防止单个数据包在传输过程中被修改，并且只在一跳到另一跳工作。

DNScurve执行第二个操作，因此隐含地也执行第一个操作(因为如果修改了数据包，解密将不起作用)，但不是标准化的。这是一个有趣的想法，但距离任何重要的部署都还有很长的路要走。

DNSSEC只做这三项中的最后一项。其目的是提供端到端的加密证明，证明DNS客户端接收的数据与权威服务器中包含的数据相同，而不管涉及多少递归解析器。

从维基百科的页面上看，基于身份的加密似乎是关于保护双方之间的消息，而不是关于签名数据。如果这是正确的，它更接近TSIG或DNScurve，而不是DNSSEC。