SURFnet pioniert met Elliptische Curve Encryptie voor DNSSEC

Wereldwijd is het gemiddelde gebruikerspercentage slechts 3. Maar er kleeft een nadeel aan DNSSEC, zo constateert Roland van Rijswijk-Deij, bij SURF-net verantwoordelijk voor netwerkinnovatie èn onderzoeker aan de Universiteit Twente. “De antwoorden die DNS-resolvers naar servers sturen, zijn groter dan de berichten die om een IP-adres vragen, omdat ze extra informatie bevatten. Je kunt een server daardoor in een mum van tijd platleggen met een DDos-aanval die met heel weinig middelen is uit te voeren.” RSA maakt dat probleem nog erger omdat dat de antwoordberichten nog eens zes tot twaalf keer groter maakt dan niet-versleutelde berichten. Dus kiest SURFnet voor ECC, dat de antwoorden slechts anderhalf tot drie keer vergroot. “En als je het slim aanpakt, kun je dat terugbrengen tot nul”, aldus Van Rijswijk-Dei. “Dan zou je er ook voor kunnen kiezen niet met DNSSEC te werken maar wij vinden dat het zo veel voordelen voor de beveiliging van websites heeft, dat het beter is om het protocol te verbeteren. “