Internet Engineering Task Force (IETF), komiteen som er ansvarlig for å utvikle internettprotokoller og -arkitektur, har fullført en RFC for GNU Name System (GNS), et domenenavnsystem utviklet av GNUnet-prosjektet som en fullstendig desentralisert og sensurbestandig erstatning for DNS. Spesifikasjonen, publisert som RFC-9498, har fått status som Proposed Standard. En fullstendig kompatibel GNS-implementering er inkludert i GNUnet 0.20.0-plattformen og er også tilgjengelig i GNUnet-Go-kodebasen.
GNS kan brukes sammen med DNS og i tradisjonelle applikasjoner som nettlesere. Integriteten og uforanderligheten til poster sikres gjennom bruk av kryptografiske mekanismer. I motsetning til DNS bruker GNS et trebasert hierarki i stedet for et trebasert hierarki. servere En rettet graf brukes. Navneløsning ligner på DNS, men spørringer og svar håndteres konfidensielt – noden som behandler spørringen vet ikke hvem svaret returneres til, og transittnoder og tredjepartsobservatører kan ikke dekryptere spørringer og svar.
DNS-sonen i GNS bestemmes ved hjelp av et offentlig-privat ECDSA-nøkkelpar basert på den elliptiske kurven Curve25519. Bruken av Curve25519 oppfattes av noen som et ganske merkelig trekk, ettersom ECDSA bruker andre typer elliptiske kurver, og Curve25519 er vanligvis paret med den digitale signaturalgoritmen Ed25519, som er mer moderne, sikrere og raskere enn ECDSA. Fra et kryptografisk sikkerhetssynspunkt er valget av en nøkkelstørrelse på 32 byte i stedet for de 64 bytene som vanligvis brukes for Ed25519, samt bruken av kaskadert symmetrisk kryptering ved hjelp av AES- og TwoFish-algoritmene i CFB-modus, også tvilsomt.
Denne tilnærmingen er drevet av behovet for å implementere hierarkiske nøkler, som tillater at den offentlige rotnøkkelen brukes til å utlede offentlige undernøkler, og utnytter lineariteten til Curve25519. Denne funksjonen tillater at offentlige undernøkler utledes uten kjennskap til rotens private nøkler. Denne teknikken brukes også i Bitcoin. Nøkkelstørrelsen på 32 byte er valgt for å sikre at nøkkelen passer inn i en enkelt DNS-oppføring.
Kilde: opennet.ru
