在CoreDNS中实现和评估后量子DNSSEC
量子计算机的出现对当前依赖RSA和ECDSA算法的安全服务、应用和/或协议实现(例如DNSSEC)构成了重大威胁,因为基于整数分解或离散对数的公钥密码体系易受量子攻击。本文介绍了将后量子密码(PQC)算法集成至CoreDNS以实现抗量子DNSSEC功能的研究工作。该团队开发了一个支持五大PQC签名算法家族的插件:ML-DSA、FALCON、SPHINCS+、MAYO和SNOVA。该实现方案在保持现有DNS解析流程兼容性的同时,提供了基于抗量子签名的实时签名功能。性能基准测试结果表明,安全性与效率之间存在显著权衡。数据表明,虽然PQC算法会带来运行开销,但部分候选算法为DNSSEC向抗量子密码体系过渡提供了可行的折中方案。
