2025-11-28T12:34:19.345321

Double-Signed Fragmented DNSSEC for Countering Quantum Threat

Pan, Nguyen, Doss et al.
DNSSEC, a DNS security extension, is essential to accurately translating domain names to IP addresses. Digital signatures provide the foundation for this reliable translation; however, the evolution of 'Quantum Computers' has made traditional digital signatures vulnerable. In light of this, NIST has recently selected potential post-quantum digital signatures that can operate on conventional computers and resist attacks made with Quantum Computers. Since these post-quantum digital signatures are still in their early stages of development, replacing pre-quantum digital signature schemes in DNSSEC with post-quantum candidates is risky until the post-quantum candidates have undergone a thorough security analysis. Given this, herein, we investigate the viability of employing 'Double-Signatures' in DNSSEC, combining a post-quantum digital signature and a classic one. The rationale is that double-signatures will offer protection against quantum threats on conventional signature schemes as well as unknown non-quantum attacks on post-quantum signature schemes, hence even if one fails, the other provides security guarantees. However, the inclusion of two signatures in the DNSSEC response message doesn't bode well with the maximum allowed size of DNSSEC responses (i.e., 1232B, a limitation enforced by the MTU of physical links). To counter this issue, we leverage a way to do application-layer fragmentation of DNSSEC responses with two signatures. We implement our solution on top of OQS-BIND and, through experiments, show that the addition of two signatures in DNSSEC and application-layer fragmentation of all relevant resource records and their reassembly does not have a substantial impact on the efficiency of the resolution process and thus is suitable for the interim period at least until the quantum computers are fully realized.
academic

কোয়ান্টাম হুমকি মোকাবেলায় দ্বিগুণ-স্বাক্ষরিত খণ্ডিত DNSSEC

মৌলিক তথ্য

  • পেপার আইডি: 2411.07535
  • শিরোনাম: Double-Signed Fragmented DNSSEC for Countering Quantum Threat
  • লেখক: Syed W. Shah, Lei Pan, Dinh Duc Nha Nguyen, Robin Doss, Warren Armstrong, Praveen Gauravaram
  • প্রতিষ্ঠান: Deakin Cyber Research and Innovation Centre (অস্ট্রেলিয়া), Cyber Security Cooperative Research Centre (অস্ট্রেলিয়া), Quintessence Labs (ক্যানবেরা), Tata Consultancy Services (ব্রিসবেন)
  • শ্রেণীবিভাগ: cs.CR (ক্রিপ্টোগ্রাফি এবং নিরাপত্তা)
  • প্রকাশনা সম্মেলন: C'25, নভেম্বর 2025 (প্রাথমিক সংস্করণ ITNAC 2025 দ্বারা গৃহীত)
  • পেপার লিঙ্ক: https://arxiv.org/abs/2411.07535

সারসংক্ষেপ

DNSSEC হল DNS নিরাপত্তা সম্প্রসারণ যা ডোমেইন নামকে IP ঠিকানায় নির্ভুলভাবে রূপান্তরিত করার জন্য অত্যন্ত গুরুত্বপূর্ণ। ডিজিটাল স্বাক্ষর এই নির্ভরযোগ্য রূপান্তরের ভিত্তি প্রদান করে, তবে কোয়ান্টাম কম্পিউটারের উন্নয়ন ঐতিহ্যবাহী ডিজিটাল স্বাক্ষরকে দুর্বল করে তুলেছে। NIST সম্প্রতি এমন পোস্ট-কোয়ান্টাম ডিজিটাল স্বাক্ষর নির্বাচন করেছে যা ঐতিহ্যবাহী কম্পিউটারে চলে এবং কোয়ান্টাম কম্পিউটারের আক্রমণ প্রতিরোধ করে। যেহেতু এই পোস্ট-কোয়ান্টাম ডিজিটাল স্বাক্ষরগুলি এখনও প্রাথমিক উন্নয়ন পর্যায়ে রয়েছে, সম্পূর্ণ নিরাপত্তা বিশ্লেষণের আগে DNSSEC-এ প্রাক-কোয়ান্টাম ডিজিটাল স্বাক্ষরকে পোস্ট-কোয়ান্টাম প্রার্থী দিয়ে প্রতিস্থাপন করা ঝুঁকিপূর্ণ। এই গবেষণা DNSSEC-এ "দ্বিগুণ স্বাক্ষর" গ্রহণের সম্ভাব্যতা অন্বেষণ করে, যা পোস্ট-কোয়ান্টাম ডিজিটাল স্বাক্ষর এবং ক্লাসিক্যাল স্বাক্ষর উভয়কে একত্রিত করে। দ্বিগুণ স্বাক্ষর কোয়ান্টাম হুমকি এবং অজানা অ-কোয়ান্টাম আক্রমণ উভয়ের বিরুদ্ধে সুরক্ষা প্রদান করবে। তবে, দুটি স্বাক্ষরের অন্তর্ভুক্তি DNSSEC প্রতিক্রিয়ার সর্বোচ্চ অনুমোদিত আকারের সাথে (1232B, ভৌত লিঙ্ক MTU দ্বারা সীমাবদ্ধ) সংঘর্ষ করে। এই সমস্যা সমাধানের জন্য, এই পত্রটি দ্বিগুণ স্বাক্ষর সহ DNSSEC প্রতিক্রিয়া পরিচালনার জন্য অ্যাপ্লিকেশন স্তরের খণ্ডীকরণ পদ্ধতি ব্যবহার করে। OQS-BIND-এ বাস্তবায়িত সমাধান দেখায় যে দ্বিগুণ স্বাক্ষর এবং অ্যাপ্লিকেশন স্তরের খণ্ডীকরণ সমাধান প্রক্রিয়ার দক্ষতায় ন্যূনতম প্রভাব ফেলে, যা কোয়ান্টাম কম্পিউটার সম্পূর্ণভাবে বাস্তবায়নের আগের রূপান্তর সময়ের জন্য উপযুক্ত।

গবেষণা পটভূমি এবং প্রেরণা

1. মূল সমস্যা

DNSSEC ডিজিটাল স্বাক্ষরের মাধ্যমে DNS প্রতিক্রিয়ার সত্যতা এবং সম্পূর্ণতা নিশ্চিত করে, কিন্তু কোয়ান্টাম যুগের তিনটি চ্যালেঞ্জের সম্মুখীন:

  • কোয়ান্টাম হুমকি: ক্রিপ্টোগ্রাফি-সম্পর্কিত কোয়ান্টাম কম্পিউটার (CRQC) Shor অ্যালগরিদমের মাধ্যমে বহুপদী সময়ে পূর্ণসংখ্যা ফ্যাক্টরাইজেশন এবং বিচ্ছিন্ন লগারিদমের উপর ভিত্তি করে তৈরি ঐতিহ্যবাহী স্বাক্ষর ভাঙতে পারে
  • পোস্ট-কোয়ান্টাম অপরিপক্বতা: NIST-নির্বাচিত পোস্ট-কোয়ান্টাম স্বাক্ষর (FALCON, DILITHIUM, SPHINCS+) এখনও পর্যাপ্ত ক্রিপ্টোগ্রাফিক বিশ্লেষণের মধ্য দিয়ে যায়নি এবং ক্লাসিক্যাল কম্পিউটার দ্বারা ব্যবহারযোগ্য ডিজাইন ত্রুটি থাকতে পারে
  • রূপান্তর সময়কালের ঝুঁকি: এখন থেকে CRQC সম্পূর্ণভাবে বাস্তবায়ন পর্যন্ত "রূপান্তর সময়কাল"-এ, শুধুমাত্র ঐতিহ্যবাহী বা পোস্ট-কোয়ান্টাম স্বাক্ষরের উপর নির্ভর করা উভয়ই নিরাপত্তা ঝুঁকি উপস্থাপন করে

2. সমস্যার গুরুত্ব

  • DNS ইন্টারনেট অবকাঠামোর মূল, যেকোনো নিরাপত্তা ত্রুটি ব্যবহারকারীদের দূষিত সার্ভারের দিকে পরিচালিত করতে পারে
  • ENISA সুপারিশ অনুযায়ী, রূপান্তর সময়কালে সাধারণ ক্রিপ্টোগ্রাফিক অ্যালগরিদম প্রতিস্থাপন সামগ্রিক নিরাপত্তা হ্রাস করতে পারে
  • অপ্রকাশিত CRQC অগ্রগতি বা পোস্ট-কোয়ান্টাম অ্যালগরিদম ত্রুটি উভয়ই DNSSEC অকার্যকর করতে পারে

3. বিদ্যমান পদ্ধতির সীমাবদ্ধতা

  • শুধুমাত্র ঐতিহ্যবাহী স্বাক্ষর: ভবিষ্যতের কোয়ান্টাম আক্রমণ প্রতিরোধ করতে পারে না
  • শুধুমাত্র পোস্ট-কোয়ান্টাম স্বাক্ষর: অজানা ক্লাসিক্যাল আক্রমণ ভেক্টর থাকতে পারে
  • বিদ্যমান খণ্ডীকরণ পরিকল্পনা: ARRF অ-মানক RR ব্যবহার করে যা মধ্যবর্তী বাক্স সামঞ্জস্য সমস্যা সৃষ্টি করতে পারে; QBF দ্বিগুণ স্বাক্ষর পরিস্থিতি বিবেচনা করে না
  • TCP ফলব্যাক প্রক্রিয়া: অনেক নেম সার্ভার TCP সমর্থন অভাব, এবং TCP UDP এর মতো হালকা নয়

4. গবেষণা প্রেরণা

"দ্বিগুণ স্বাক্ষর" কৌশল গ্রহণ (বিচ্ছিন্ন-বার্তা ইন্টারফেস):

  • যতক্ষণ একটি স্বাক্ষর নিরাপদ থাকে, সামগ্রিক সিস্টেম নিরাপদ থাকে
  • রূপান্তর সময়কালের জন্য সর্বোচ্চ নিরাপত্তা নিশ্চিত করে
  • দ্বিগুণ স্বাক্ষর দ্বারা সৃষ্ট বার্তা আকার অতিক্রম সমস্যা সমাধান প্রয়োজন (>1232B IP স্তরের খণ্ডীকরণ ট্রিগার করে)

মূল অবদান

  1. সম্পূর্ণ দ্বিগুণ স্বাক্ষর DNSSEC বাস্তবায়ন: Docker-ভিত্তিক DNSSEC পরীক্ষা প্ল্যাটফর্ম বিকাশ করা হয়েছে, বাণিজ্যিক-গ্রেড BIND9 সফটওয়্যার ব্যবহার করে, যা একটি একক UDP প্রতিক্রিয়া বার্তায় প্রাক-কোয়ান্টাম এবং পোস্ট-কোয়ান্টাম স্বাক্ষর এবং জনসাধারণের চাবি উভয়ই পরিচালনা করতে পারে
  2. অ্যাপ্লিকেশন স্তরের খণ্ডীকরণ এবং পুনর্সংযোজন প্রক্রিয়া: দ্বিগুণ স্বাক্ষর পরিস্থিতির জন্য উন্নত QBF খণ্ডীকরণ পরিকল্পনা ডিজাইন করা হয়েছে:
    • পোস্ট-কোয়ান্টাম অ্যালগরিদম ধরন সনাক্ত করতে z-bits ব্যবহার করা
    • RR মূল আদেশ বজায় রাখতে TTL অফসেট ব্যবহার করে সংকোচন পয়েন্টার ত্রুটি এড়ানো
    • সমস্ত প্রাক-কোয়ান্টাম (ECDSA256, RSASHA256) এবং পোস্ট-কোয়ান্টাম (FALCON512, DILITHIUM2, SPHINCS+) সমন্বয় সমর্থন করা
  3. BIND9 উৎস কোড সংশোধন: BIND9 সমাধানকারী উপাদান গভীরভাবে গবেষণা এবং সংশোধন করা হয়েছে, যাতে এটি প্রতিক্রিয়া প্রমাণীকৃত হিসাবে চিহ্নিত করার আগে দুটি স্বাক্ষর যাচাই করতে পারে
  4. কর্মক্ষমতা মূল্যায়ন: অভিজ্ঞতামূলক বিশ্লেষণের মাধ্যমে প্রমাণ করা হয়েছে যে দ্বিগুণ স্বাক্ষর DNSSEC সমাধান সময়ে প্রভাব উপেক্ষণীয় (<9% বৃদ্ধি), রূপান্তর সময়কালের জন্য এর প্রযোজ্যতা নিশ্চিত করে

পদ্ধতি বিস্তারিত

কাজের সংজ্ঞা

ইনপুট: DNS প্রশ্ন (যেমন test.example.com এর A রেকর্ড)
আউটপুট: দ্বিগুণ স্বাক্ষর যাচাইকরণ সহ IP ঠিকানা
সীমাবদ্ধতা:

  • UDP বার্তা আকার ≤1232B (IP স্তরের খণ্ডীকরণ এড়ানো)
  • প্রাক-কোয়ান্টাম এবং পোস্ট-কোয়ান্টাম স্বাক্ষর উভয় যাচাই করা
  • বিদ্যমান DNS অবকাঠামোর সাথে সামঞ্জস্য বজায় রাখা

দ্বিগুণ স্বাক্ষর স্থাপত্য ডিজাইন

1. স্বাক্ষর প্রজন্ম (নেম সার্ভার পক্ষ)

বিচ্ছিন্ন বার্তা ইন্টারফেস ব্যবহার করা হয়:

  • BIND9 সরঞ্জাম ব্যবহার করে দুটি কী জোড়া তৈরি করা (ZSK এবং KSK)
  • একই RRSet এর জন্য স্বাধীনভাবে দুটি স্বাক্ষর তৈরি করা:
    • প্রাক-কোয়ান্টাম স্বাক্ষর X (ECDSA256 বা RSASHA256)
    • পোস্ট-কোয়ান্টাম স্বাক্ষর Y (FALCON512/DILITHIUM2/SPHINCS+)
  • উভয় RRSIG এবং DNSKEY স্বাক্ষর অঞ্চল ফাইলে সংরক্ষণ করা
উদাহরণ (চিত্র 13):
test0.socratescrc. 3600 IN RRSIG A 13 ... (ECDSA স্বাক্ষর)
test0.socratescrc. 3600 IN RRSIG A 249 ... (পোস্ট-কোয়ান্টাম স্বাক্ষর)

2. যাচাইকরণ কৌশল (সমাধানকারী পক্ষ)

BIND9 যাচাইকরণ যুক্তি সংশোধন করা হয়েছে:

  • স্বাধীনভাবে দুটি স্বাক্ষর যাচাই করা
  • শুধুমাত্র যখন উভয় স্বাক্ষর যাচাইকরণ পাস করে প্রতিক্রিয়া গ্রহণ করা
  • কোয়ান্টাম এবং ক্লাসিক্যাল আক্রমণের বিরুদ্ধে দ্বিগুণ সুরক্ষা প্রদান করা

অ্যাপ্লিকেশন স্তরের খণ্ডীকরণ প্রক্রিয়া

মূল চ্যালেঞ্জ

সাধারণ দ্বিগুণ স্বাক্ষর প্রতিক্রিয়া আকার:

  • A রেকর্ড প্রতিক্রিয়া: ~2500B (ECDSA+FALCON512 ন্যূনতম সমন্বয়)
  • DNSKEY প্রতিক্রিয়া: 4462B (RSASHA256+FALCON512)
  • 1232B থ্রেশহোল্ড অনেক অতিক্রম করে

খণ্ডীকরণ কৌশল

মৌলিক নীতি:

  • প্রাক-কোয়ান্টাম RRSIG এবং DNSKEY সর্বদা প্রথম খণ্ডে সম্পূর্ণভাবে পাঠানো হয় (আকার ছোট)
  • পোস্ট-কোয়ান্টাম স্বাক্ষর/চাবি প্রয়োজন অনুযায়ী খণ্ডীকৃত করা হয়

A রেকর্ড প্রতিক্রিয়া খণ্ডীকরণ (চিত্র 8a):

  1. প্রথম খণ্ড অন্তর্ভুক্ত করে: Header + Question + সম্পূর্ণ প্রাক-কোয়ান্টাম RRSIG/DNSKEY + আংশিক পোস্ট-কোয়ান্টাম RRSIG
  2. সমাধানকারী প্রথম খণ্ড থেকে মোট খণ্ড সংখ্যা অনুমান করে
  3. অবশিষ্ট খণ্ড সমান্তরালভাবে অনুরোধ করে (বিন্যাস: ?n?domain_name)

DNSKEY প্রতিক্রিয়া খণ্ডীকরণ (চিত্র 8b):

  • কিছু সমন্বয় (যেমন RSASHA256) প্রথম খণ্ডকে কোনো পোস্ট-কোয়ান্টাম ডেটা ধারণ করতে অক্ষম করে
  • উদ্ভাবনী সমাধান:

Z-bits সনাক্তকরণ পদ্ধতি:

RFC 1035 এ z-bits (3 বিট) ব্যবহার করা:
- পোস্ট-কোয়ান্টাম অ্যালগরিদম ধরন এনকোড করা (FALCON/DILITHIUM/SPHINCS+)
- সমাধানকারী z-bits এবং ইতিমধ্যে প্রাপ্ত প্রাক-কোয়ান্টাম RR অনুযায়ী মোট আকার অনুমান করে

TTL অফসেট প্রক্রিয়া:

সমস্যা: DNS সংকোচন পয়েন্টার RR ক্রমের উপর নির্ভর করে
সমাধান: DNSKEY প্রতিক্রিয়ার TTL ক্ষেত্রে অফসেট যোগ করা
প্রভাব: পুনর্সংযোজনের সময় RR মূল অবস্থান পুনরুদ্ধার করা, "খারাপ সংকোচন পয়েন্টার" ত্রুটি এড়ানো

কর্মপ্রবাহ (চিত্র 10)

নেম সার্ভার daemon:

  1. DNS প্রতিক্রিয়া বাধা দেওয়া, আকার >1232B কিনা পরীক্ষা করা
  2. প্রয়োজনীয় খণ্ড সংখ্যা গণনা করা
  3. z-bits (প্রয়োজনে) এবং TTL অফসেট সেট করা
  4. TC flag=1 সেট করা, প্রথম খণ্ড পাঠানো
  5. অবশিষ্ট খণ্ড ক্যাশ করা

সমাধানকারী daemon:

  1. প্রথম খণ্ড গ্রহণ করা, TC flag পরীক্ষা করা
  2. z-bits বিশ্লেষণ করে পোস্ট-কোয়ান্টাম অ্যালগরিদম নির্ধারণ করা
  3. প্রাক-কোয়ান্টাম RR তথ্য ব্যবহার করে মোট খণ্ড সংখ্যা অনুমান করা
  4. সমস্ত অবশিষ্ট খণ্ড সমান্তরালভাবে অনুরোধ করা (?2?test.socrates, ?3?test.socrates...)
  5. সমস্ত খণ্ড সংগ্রহ করার পরে পুনর্সংযোজন করা:
    • TTL অফসেট ব্যবহার করে মূল RR ক্রম পুনরুদ্ধার করা
    • TC flag এবং অন্যান্য header মান পুনরায় সেট করা
  6. সম্পূর্ণ বার্তা OQS-BIND যাচাইকরণে পাঠানো

প্রযুক্তিগত উদ্ভাবন পয়েন্ট

  1. মানক RR সামঞ্জস্য: ARRF এর কাস্টম RR এর বিপরীতে, মানক DNS বিন্যাস ব্যবহার করে মধ্যবর্তী বাক্স সামঞ্জস্য নিশ্চিত করা
  2. z-bits পুনঃব্যবহার: অপর্যাপ্তভাবে ব্যবহৃত header bits সৃজনশীলভাবে ব্যবহার করে DNSKEY প্রতিক্রিয়া তথ্য অপ্রতুলতা সমস্যা সমাধান করা
  3. TTL অফসেট পরিকল্পনা: DNS সংকোচন প্রক্রিয়া এবং খণ্ড পুনর্সংযোজনের সংঘর্ষ সমাধান করা, যা দ্বিগুণ স্বাক্ষর পরিস্থিতির জন্য অনন্য
  4. সমান্তরাল খণ্ড অনুরোধ: সমাধানকারী সমস্ত খণ্ড সমান্তরালভাবে প্রাপ্ত করে, বিলম্ব ন্যূনতম করে
  5. অ্যালগরিদম স্বাধীনতা: সমস্ত NIST-নির্বাচিত পোস্ট-কোয়ান্টাম অ্যালগরিদম এবং সাধারণ প্রাক-কোয়ান্টাম অ্যালগরিদমের যেকোনো সমন্বয় সমর্থন করা

পরীক্ষা সেটআপ

পরীক্ষা প্ল্যাটফর্ম স্থাপত্য

অবকাঠামো:

  • Amazon EC2 t2.xlarge উদাহরণ (4 কোর 2.3GHz Intel Xeon, 16GB RAM)
  • Docker কন্টেইনারাইজড স্থাপনা (Docker 25.0.3)
  • উপাদান: Client, Resolver, Root Server, Authoritative Server

সফটওয়্যার স্ট্যাক:

  • OQS-BIND: BIND9 এর পোস্ট-কোয়ান্টাম উন্নত সংস্করণ
    • OpenSSL 1.1.1
    • OQS liboqs 0.7.2
    • FALCON512, DILITHIUM2-AES, SPHINCS+-SHA256-128S সমর্থন করে (128-বিট নিরাপত্তা স্তর)
  • সংশোধিত QBF daemon: দ্বিগুণ স্বাক্ষর খণ্ডীকরণ/পুনর্সংযোজন যুক্তি বাস্তবায়ন করে

নেটওয়ার্ক টপোলজি (চিত্র 11):

Client → Resolver → Root Server → Authoritative Server
        ↑                            ↓
        └────────────────────────────┘

ডেটাসেট সেটআপ

  • পরীক্ষা ডোমেইন: 10টি A রেকর্ড (test0.socratescrc - test9.socratescrc)
  • স্বাক্ষর সমন্বয়: 6টি দ্বিগুণ স্বাক্ষর কনফিগারেশন
    • প্রাক-কোয়ান্টাম: ECDSA256, RSASHA256
    • পোস্ট-কোয়ান্টাম: FALCON512, DILITHIUM2, SPHINCS+-SHA256-128S
  • বিশ্বাস শৃঙ্খল: DS রেকর্ড সঠিকভাবে কনফিগার করা, সম্পূর্ণ বিশ্বাস শৃঙ্খল স্থাপন করা

মূল্যায়ন মেট্রিক্স

  1. সমাধান সময়: প্রশ্ন পাঠানো থেকে যাচাইকৃত প্রতিক্রিয়া গ্রহণ পর্যন্ত শেষ থেকে শেষ বিলম্ব
  2. খণ্ড সংখ্যা: A রেকর্ড এবং DNSKEY প্রতিক্রিয়ার জন্য প্রয়োজনীয় খণ্ড
  3. কর্মক্ষমতা ওভারহেড: দ্বিগুণ স্বাক্ষর সম্পর্কিত একক পোস্ট-কোয়ান্টাম স্বাক্ষরের সময় বৃদ্ধি শতাংশ

নেটওয়ার্ক অবস্থা অনুকরণ

Linux tc সরঞ্জাম ব্যবহার করে অনুকরণ করা:

  • ব্যান্ডউইথ: 50 Mbps
  • বিলম্ব: 10 ms
  • বাস্তব ইন্টারনেট অবস্থা অনুকরণ করা

পরীক্ষা পদ্ধতি

  1. প্রতিটি ডোমেইনের জন্য সমাধানকারীতে পুনরাবৃত্তিমূলক প্রশ্ন করা
  2. প্রতিটি প্রশ্নের সমাধান সময় রেকর্ড করা
  3. 10টি প্রশ্নের গড় সমাধান সময় গণনা করা
  4. দ্বিগুণ স্বাক্ষর এবং একক পোস্ট-কোয়ান্টাম স্বাক্ষরের কর্মক্ষমতা তুলনা করা

পরীক্ষা ফলাফল

খণ্ডীকরণ সংখ্যা বিশ্লেষণ (সারণী 1)

স্বাক্ষর অ্যালগরিদমA রেকর্ড খণ্ডDNSKEY খণ্ড
FALCON23
FALCON+ECDSA34
FALCON+RSA34
DILITHIUM77
DILITHIUM+ECDSA88
DILITHIUM+RSA88
SPHINCS+2315
SPHINCS++ECDSA2315
SPHINCS++RSA2315

মূল আবিষ্কার:

  • FALCON এবং DILITHIUM সমন্বয় মাত্র 1টি খণ্ড বৃদ্ধি করে
  • SPHINCS+ সমন্বয় অতিরিক্ত খণ্ড বৃদ্ধি করে না (daemon অপ্টিমাইজেশন অ-গুরুত্বপূর্ণ RR সরিয়ে দেয়)
  • খণ্ড বৃদ্ধি নিয়ন্ত্রণযোগ্য, সূচকীয় বৃদ্ধি সৃষ্টি করে না

গড় সমাধান সময়

FALCON সমন্বয় (সারণী 2):

কনফিগারেশনসমাধান সময় (ms)আপেক্ষিক বৃদ্ধি
FALCON190.1ভিত্তি
FALCON+ECDSA205.9+8.3%
FALCON+RSASHA204.5+7.6%

DILITHIUM সমন্বয় (সারণী 3):

কনফিগারেশনসমাধান সময় (ms)আপেক্ষিক বৃদ্ধি
DILITHIUM214.5ভিত্তি
DILITHIUM+ECDSA225.6+5.2%
DILITHIUM+RSASHA220.7+2.9%

SPHINCS+ সমন্বয় (সারণী 4):

কনফিগারেশনসমাধান সময় (ms)আপেক্ষিক বৃদ্ধি
SPHINCS+245.6ভিত্তি
SPHINCS++ECDSA263.3+7.2%
SPHINCS++RSASHA256.7+4.5%

প্রধান ফলাফল

  1. গ্রহণযোগ্য কর্মক্ষমতা ওভারহেড:
    • সমস্ত দ্বিগুণ স্বাক্ষর সমন্বয়ের কর্মক্ষমতা ওভারহেড <9%
    • TCP ফলব্যাক এর ওভারহেড থেকে অনেক কম (সাধারণত >50%)
  2. সর্বোত্তম কনফিগারেশন:
    • FALCON+RSASHA: 204.5ms (দ্রুততম দ্বিগুণ স্বাক্ষর)
    • DILITHIUM+RSASHA: 220.7ms
    • SPHINCS+ একক স্বাক্ষর (245.6ms) থেকে 14-22% দ্রুত
  3. RSA ECDSA এর চেয়ে উত্তম:
    • সমস্ত সমন্বয়ে RSA যাচাইকরণ দ্রুত
    • উদাহরণ: DILITHIUM+RSA(220.7ms) বনাম DILITHIUM+ECDSA(225.6ms)
  4. স্বাক্ষর যাচাইকরণ সাফল্যের হার:
    • সমস্ত সমন্বয়ের দ্বিগুণ স্বাক্ষর সঠিকভাবে যাচাই করা হয়েছে
    • সংশোধিত BIND9 সমাধানকারী সফলভাবে দুটি স্বাক্ষর যাচাই করেছে (চিত্র 14)

পরীক্ষা আবিষ্কার

  1. জালি-ভিত্তিক অ্যালগরিদমের সুবিধা:
    • FALCON এবং DILITHIUM (জালি-ভিত্তিক) ছোট স্বাক্ষর আকার
    • SPHINCS+ (হ্যাশ-ভিত্তিক) এর চেয়ে উল্লেখযোগ্যভাবে দ্রুত সমাধান সময়
  2. SPHINCS+ এর অসুবিধা:
    • বৃহত্তম স্বাক্ষর আকার (A রেকর্ডের জন্য 23টি খণ্ড)
    • NIST এটি নির্বাচন করেছে প্রধানত জালি-ভিত্তিক অ্যালগরিদমের উপর অত্যধিক নির্ভরতা এড়াতে
    • দ্বিগুণ স্বাক্ষর পরিস্থিতিতে সর্বোত্তম পছন্দ নয়
  3. খণ্ড পুনর্সংযোজন নির্ভরযোগ্যতা:
    • TTL অফসেট প্রক্রিয়া সংকোচন পয়েন্টার সমস্যা কার্যকরভাবে সমাধান করে
    • z-bits পরিকল্পনা অ্যালগরিদম তথ্য সঠিকভাবে প্রদান করে
    • কোনো বার্তা হারানো বা যাচাইকরণ ব্যর্থতা নেই
  4. নিরাপত্তা লাভ:
    • দ্বিগুণ স্বাক্ষর "ব্যর্থতা-নিরাপদ" প্রক্রিয়া প্রদান করে
    • এমনকি যদি জালি-ভিত্তিক অ্যালগরিদম ভাঙা হয়, RSA/ECDSA এখনও ক্লাসিক্যাল নিরাপত্তা প্রদান করে
    • এমনকি যদি কোয়ান্টাম কম্পিউটার বাস্তবায়িত হয়, পোস্ট-কোয়ান্টাম অ্যালগরিদম সুরক্ষা প্রদান করে

সম্পর্কিত কাজ

পোস্ট-কোয়ান্টাম DNSSEC গবেষণা

  1. Müller et al. (2020):
    • NIST তৃতীয় রাউন্ড প্রার্থী অ্যালগরিদম DNSSEC এর জন্য প্রয়োজনীয়তা বিশ্লেষণ করা
    • দ্বিগুণ স্বাক্ষর পরিকল্পনা বিবেচনা করে না
  2. Beernink (2022):
    • বৃহৎ চাবি বাইরে-ব্যান্ড সরবরাহের পদ্ধতি প্রস্তাব করা
    • দ্বিগুণ স্বাক্ষরের বার্তা আকার সমস্যা সমাধান করে না
  3. Goertzen & Stebila (2022) - ARRF:
    • অনুরোধ-ভিত্তিক অ্যাপ্লিকেশন স্তরের খণ্ডীকরণ
    • RRFRAGS সিউডো RR প্রবর্তন করা (অ-মানক)
    • স্মৃতি ক্ষয় আক্রমণ ঝুঁকি
  4. Rawat & Jhanwar (2024) - QBF:
    • QName-ভিত্তিক খণ্ডীকরণ, মানক RR ব্যবহার করে
    • সমান্তরাল খণ্ড অনুরোধ দক্ষতা উন্নত করে
    • দ্বিগুণ স্বাক্ষর সমর্থন করে না

এই পত্রের অবদান তুলনা

বৈশিষ্ট্যARRFQBFএই পত্র
মানক RR
দ্বিগুণ স্বাক্ষর
সমান্তরাল অনুরোধ
সংকোচন পয়েন্টার পরিচালনাN/AN/A✓(TTL অফসেট)
অ্যালগরিদম সনাক্তকরণকাস্টমঅনুমান✓(z-bits)

ক্রিপ্টোগ্রাফি সমন্বয়কারী গবেষণা

  • ENISA (2022) রূপান্তর সময়কালে হাইব্রিড ক্রিপ্টোগ্রাফি সিস্টেম ব্যবহার সুপারিশ করে
  • এই পত্র DNSSEC-এ দ্বিগুণ স্বাক্ষর বাস্তবায়ন এবং মূল্যায়নের প্রথম কাজ
  • বিচ্ছিন্ন-বার্তা ইন্টারফেস ব্যবহার করে (সহজ একীকরণ)

উপসংহার এবং আলোচনা

প্রধান উপসংহার

  1. প্রযুক্তিগত সম্ভাব্যতা: দ্বিগুণ স্বাক্ষর DNSSEC বিদ্যমান অবকাঠামোতে সম্পূর্ণভাবে সম্ভব, প্রোটোকল-স্তরের সংশোধন প্রয়োজন নেই
  2. গ্রহণযোগ্য কর্মক্ষমতা: কর্মক্ষমতা ওভারহেড <9%, TCP ফলব্যাক থেকে অনেক কম, ব্যবহারকারীর অভিজ্ঞতায় উল্লেখযোগ্য প্রভাব ফেলবে না
  3. নিরাপত্তা বৃদ্ধি: কোয়ান্টাম এবং ক্লাসিক্যাল আক্রমণের বিরুদ্ধে দ্বিগুণ সুরক্ষা প্রদান করে, রূপান্তর সময়কালের স্থাপনার জন্য উপযুক্ত
  4. সর্বোত্তম অনুশীলন: FALCON বা DILITHIUM এবং RSA এর সমন্বয় ব্যবহার সুপারিশ করা, নিরাপত্তা এবং কর্মক্ষমতা ভারসাম্য রাখা

সীমাবদ্ধতা

  1. পরীক্ষা স্কেল সীমিত:
    • শুধুমাত্র একক EC2 উদাহরণে পরীক্ষা করা
    • বৃহৎ-স্কেল ইন্টারনেট স্থাপনা পরিস্থিতি অনুকরণ করা হয়নি
    • বাস্তব নেটওয়ার্ক ট্রাফিক পরীক্ষা অভাব
  2. নেটওয়ার্ক অবস্থা সরলীকৃত:
    • শুধুমাত্র 50Mbps ব্যান্ডউইথ এবং 10ms বিলম্ব অনুকরণ করা
    • প্যাকেট হারানো, জিটার ইত্যাদি জটিল পরিস্থিতি বিবেচনা করা হয়নি
    • বিভিন্ন MTU পরিবেশ পরীক্ষা করা হয়নি
  3. Daemon ওভারহেড:
    • খণ্ডীকরণ/পুনর্সংযোজন যুক্তি স্বাধীন daemon-এ বাস্তবায়িত
    • প্রক্রিয়া-মধ্যে যোগাযোগ অতিরিক্ত বিলম্ব প্রবর্তন করতে পারে
    • BIND9 মূলে সরাসরি একীভূত নয়
  4. মধ্যবর্তী বাক্স সামঞ্জস্য:
    • ফায়ারওয়াল, NAT ইত্যাদি মধ্যবর্তী বাক্স আচরণ সম্পূর্ণভাবে পরীক্ষা করা হয়নি
    • z-bits পুনঃব্যবহার কিছু বাস্তবায়নে সমস্যা সৃষ্টি করতে পারে
  5. ক্যাশে প্রভাব:
    • খণ্ডীকরণ DNS ক্যাশে দক্ষতায় প্রভাব বিশ্লেষণ করা হয়নি
    • একাধিক খণ্ড ক্যাশে জটিলতা বৃদ্ধি করতে পারে
  6. নিরাপত্তা বিশ্লেষণ অপর্যাপ্ত:
    • আনুষ্ঠানিক নিরাপত্তা প্রমাণ পরিচালিত হয়নি
    • DoS আক্রমণের বিরুদ্ধে স্থিতিস্থাপকতা মূল্যায়ন করা হয়নি
    • খণ্ড পুনর্সংযোজনের পার্শ্ব-চ্যানেল ঝুঁকি বিশ্লেষণ করা হয়নি

ভবিষ্যত দিকনির্দেশনা

  1. BIND9 সরাসরি একীকরণ:
    • খণ্ডীকরণ যুক্তি BIND9 মূলে সরাসরি একীভূত করা
    • সমাধান সময় আরও হ্রাস করা প্রত্যাশিত
  2. বৃহৎ-স্কেল স্থাপনা পরীক্ষা:
    • বাস্তব DNS অবকাঠামোতে পাইলট পরিচালনা করা
    • বিভিন্ন ধরনের মধ্যবর্তী বাক্সের সাথে সামঞ্জস্য মূল্যায়ন করা
  3. অ্যালগরিদম নির্বাচন অপ্টিমাইজেশন:
    • প্রশ্ন ধরনের উপর ভিত্তি করে গতিশীলভাবে অ্যালগরিদম সমন্বয় নির্বাচন করা
    • স্ব-অভিযোজী খণ্ডীকরণ কৌশল অন্বেষণ করা
  4. মান সংজ্ঞায়ন অগ্রগতি:
    • IETF-এ খসড়া জমা দেওয়া
    • দ্বিগুণ স্বাক্ষরকে রূপান্তর সময়কালের মান অনুশীলন হিসাবে প্রচার করা
  5. নিরাপত্তা বৃদ্ধি:
    • DoS সুরক্ষা প্রক্রিয়া যোগ করা
    • খণ্ড পুনর্সংযোজনের সময় আক্রমণ প্রতিরক্ষা গবেষণা করা

গভীর মূল্যায়ন

শক্তি

  1. সমস্যা সনাক্তকরণ নির্ভুল:
    • রূপান্তর সময়কালের নিরাপত্তা দ্বিধা স্পষ্টভাবে চিহ্নিত করা
    • দ্বিগুণ স্বাক্ষর কৌশল ENISA ইত্যাদি কর্তৃপক্ষের সুপারিশের সাথে সামঞ্জস্যপূর্ণ
    • বাস্তব স্থাপনায় মূল প্রযুক্তিগত বাধা সমাধান করা
  2. প্রযুক্তিগত পরিকল্পনা সম্পূর্ণ:
    • z-bits এবং TTL অফসেট উদ্ভাবনী প্রকৌশল সমাধান
    • কর্মক্ষমতা, সামঞ্জস্য এবং নিরাপত্তা ভারসাম্য রাখা
    • বাস্তবায়ন বিবরণ যথেষ্ট (উৎস কোড সংশোধন, daemon ডিজাইন)
  3. পরীক্ষা ডিজাইন যুক্তিসঙ্গত:
    • বাণিজ্যিক-গ্রেড BIND9 সফটওয়্যার ব্যবহার ব্যবহারিকতা বৃদ্ধি করে
    • সমস্ত প্রধান অ্যালগরিদম সমন্বয় পরীক্ষা করা
    • নেটওয়ার্ক অবস্থা অনুকরণ বাস্তব পরিস্থিতির সাথে সামঞ্জস্যপূর্ণ
  4. ফলাফল প্রভাবশালী:
    • কর্মক্ষমতা ডেটা স্পষ্ট (<9% ওভারহেড)
    • সমস্ত সমন্বয়ের সঠিকতা যাচাই করা
    • স্পষ্ট স্থাপনা সুপারিশ প্রদান করা (FALCON/DILITHIUM+RSA)
  5. প্রকৌশল মূল্য উচ্চ:
    • খোলা উৎস OQS-BIND ভিত্তিক, পুনরুৎপাদনযোগ্যতা ভাল
    • Docker-ভিত্তিক স্থাপনা প্রচার সহজ করে
    • বাস্তব স্থাপনার জন্য সম্ভাব্য পথ প্রদান করে

অপূর্ণতা

  1. তাত্ত্বিক বিশ্লেষণ অভাব:
    • দ্বিগুণ স্বাক্ষর পরিকল্পনার আনুষ্ঠানিক নিরাপত্তা প্রমাণ অভাব
    • স্বাক্ষর সমন্বয়ের ক্রিপ্টোগ্রাফিক শক্তি আলোচনা করা হয়নি
    • "একটি স্বাক্ষর ব্যর্থ অন্যটি এখনও নিরাপদ" অনুমানের কঠোর যুক্তি অভাব
  2. মূল্যায়ন পরিসীমা সীমিত:
    • শুধুমাত্র 10টি পরীক্ষা ডোমেইন, নমুনা আকার ছোট
    • উচ্চ লোড, উচ্চ সমসাময়িকতা পরিস্থিতি পরীক্ষা করা হয়নি
    • দীর্ঘমেয়াদী স্থিতিশীলতা পরীক্ষা অভাব
  3. বিদ্যমান পরিকল্পনার সাথে তুলনা অপর্যাপ্ত:
    • TCP ফলব্যাক এর সাথে সরাসরি কর্মক্ষমতা তুলনা করা হয়নি
    • EDNS(0) প্যাডিং ইত্যাদি বিকল্প পরিকল্পনার সাথে সুবিধা তুলনা করা হয়নি
    • বিশুদ্ধ FALCON, বিশুদ্ধ DILITHIUM স্থাপনার সাথে নিরাপত্তা তুলনা বিশ্লেষণ অভাব
  4. ব্যবহারিক বিবেচনা অসম্পূর্ণ:
    • চাবি ব্যবস্থাপনা জটিলতা আলোচনা করা হয়নি (দুটি চাবি সেট)
    • বিদ্যমান DNSSEC অবকাঠামোর আপগ্রেড খরচ বিশ্লেষণ করা হয়নি
    • পিছিয়ে সামঞ্জস্যতা পরীক্ষা অভাব (পুরানো সংস্করণ সমাধানকারী)
  5. লেখা উন্নত করা যায়:
    • কিছু প্রযুক্তিগত বিবরণ বর্ণনা দীর্ঘ (Section 2 এর DNS ভিত্তি)
    • চিত্র আরও স্পষ্ট হতে পারে (চিত্র 8, চিত্র 10 জটিল)
    • অ্যালগরিদম সিউডোকোড অভাব

প্রভাব

ক্ষেত্রে অবদান:

  • অগ্রগামী: DNSSEC দ্বিগুণ স্বাক্ষর বাস্তবায়ন এবং মূল্যায়নের প্রথম কাজ
  • সময়োপযোগী: NIST PQC মান সংজ্ঞায়ন প্রক্রিয়ায় সময়োপযোগী প্রতিক্রিয়া
  • ব্যবহারিক: DNS অপারেটরদের জন্য অবিলম্বে স্থাপনযোগ্য রূপান্তর সমাধান প্রদান করে

ব্যবহারিক মূল্য:

  • স্বল্পমেয়াদী: DNS অপারেটরদের রূপান্তর সময়কালে নিরাপত্তা বৃদ্ধি সমাধান প্রদান করে
  • মধ্যমেয়াদী: IETF মান সংজ্ঞায়নের জন্য অভিজ্ঞতামূলক ডেটা প্রদান করে
  • দীর্ঘমেয়াদী: অন্যান্য প্রোটোকলের কোয়ান্টাম নিরাপত্তা রূপান্তরের জন্য রেফারেন্স প্রদান করে

পুনরুৎপাদনযোগ্যতা:

  • ✓ খোলা উৎস সফটওয়্যার ভিত্তিক (OQS-BIND)
  • ✓ বিস্তারিত বাস্তবায়ন বর্ণনা
  • ✗ কোড প্রকাশ্যে প্রকাশিত নয় (পত্রে GitHub লিঙ্ক উল্লেখ করা হয়নি)
  • ✓ Docker-ভিত্তিক স্থাপনা পুনরুৎপাদন কঠিনতা হ্রাস করে

সম্ভাব্য প্রভাব:

  • DNS সম্প্রদায়কে দ্বিগুণ স্বাক্ষর কৌশল গ্রহণ করতে প্রভাবিত করতে পারে
  • অন্যান্য অ্যাপ্লিকেশন-স্তরের প্রোটোকল (যেমন TLS, SSH) এর খণ্ডীকরণ কৌশলের জন্য রেফারেন্স প্রদান করে
  • পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফির বাস্তব স্থাপনা ত্বরান্বিত করতে সহায়তা করে

প্রযোজ্য পরিস্থিতি

আদর্শ প্রয়োগ পরিস্থিতি:

  1. গুরুত্বপূর্ণ অবকাঠামো DNS: আর্থিক, সরকার ইত্যাদি উচ্চ নিরাপত্তা প্রয়োজনীয় ডোমেইন
  2. রূপান্তর সময়কাল স্থাপনা: 2025-2030 CRQC হুমকি ক্রমবর্ধমান কিন্তু পোস্ট-কোয়ান্টাম অ্যালগরিদম এখনও যাচাইকরণ প্রয়োজন
  3. উচ্চ-মূল্য লক্ষ্য: জাতীয় স্তরের আক্রমণকারীর হুমকির সম্মুখীন সংস্থা

অপ্রযোজ্য পরিস্থিতি:

  1. সম্পদ-সীমিত পরিবেশ: IoT ডিভাইস, এমবেডেড সিস্টেম (গণনা এবং সংরক্ষণ ওভারহেড)
  2. কম বিলম্ব প্রয়োজনীয়তা: রিয়েল-টাইম যোগাযোগ সিস্টেম (অতিরিক্ত 8% বিলম্ব অগ্রহণযোগ্য হতে পারে)
  3. পোস্ট-কোয়ান্টাম যুগ: একবার পোস্ট-কোয়ান্টাম অ্যালগরিদম সম্পূর্ণভাবে পরিপক্ক হলে, দ্বিগুণ স্বাক্ষরের প্রয়োজনীয়তা হ্রাস পায়

স্থাপনা সুপারিশ:

  • মূল সার্ভার এবং TLD সার্ভারে প্রথমে স্থাপনা করা
  • FALCON+RSA বা DILITHIUM+RSA সমন্বয় ব্যবহার করা
  • বিদ্যমান DNSSEC অবকাঠামোর সাথে সহাবস্থান (ক্রমান্বয়ে আপগ্রেড)
  • কর্মক্ষমতা এবং নিরাপত্তা ট্র্যাক করার জন্য পর্যবেক্ষণ প্রক্রিয়া স্থাপনা করা

মূল সাহিত্য (সংক্ষিপ্ত)

  1. Shor (1994): "Algorithms for quantum computation" - কোয়ান্টাম হুমকির তাত্ত্বিক ভিত্তি
  2. NIST PQC মান সংজ্ঞায়ন: FALCON, DILITHIUM, SPHINCS+ অ্যালগরিদম বিশেষ
  3. RFC 4034: DNSSEC সম্পদ রেকর্ড বিশেষ
  4. RFC 6891: EDNS(0) সম্প্রসারণ প্রক্রিয়া
  5. ENISA (2022): "Post-Quantum Cryptography Integration Study" - দ্বিগুণ স্বাক্ষর কৌশলের নীতি ভিত্তি
  6. Goertzen & Stebila (2022): ARRF খণ্ডীকরণ পরিকল্পনা
  7. Rawat & Jhanwar (2024): QBF খণ্ডীকরণ পরিকল্পনা (এই পত্রের সরাসরি ভিত্তি)

সারসংক্ষেপ

এই পত্রটি DNSSEC কোয়ান্টাম নিরাপত্তা রূপান্তর সময়কালের অনন্য চ্যালেঞ্জের জন্য একটি প্রকৌশল-সম্ভাব্য দ্বিগুণ স্বাক্ষর সমাধান প্রস্তাব করে। চতুর অ্যাপ্লিকেশন-স্তরের খণ্ডীকরণ ডিজাইনের মাধ্যমে (z-bits সনাক্তকরণ, TTL অফসেট), দ্বিগুণ স্বাক্ষর দ্বারা সৃষ্ট বার্তা অতিক্রম সমস্যা সফলভাবে সমাধান করা হয়েছে। পরীক্ষা নিয়ন্ত্রণযোগ্য কর্মক্ষমতা ওভারহেড প্রমাণ করে (<9%), বাস্তব স্থাপনার জন্য উপযুক্ত। এটি একটি সাধারণ "প্রকৌশল-চালিত গবেষণা" কেস, যদিও তাত্ত্বিক উদ্ভাবন সীমিত, প্রকৌশল মূল্য উল্লেখযোগ্য, DNS সম্প্রদায়কে সময়োপযোগী এবং ব্যবহারিক রূপান্তর সমাধান প্রদান করে। পত্রের প্রধান মূল্য প্রথম বাস্তবায়ন এবং যাচাইকরণে, তাত্ত্বিক অগ্রগতিতে নয়, যা প্রয়োগ ক্রিপ্টোগ্রাফি ক্ষেত্রে সমানভাবে গুরুত্বপূর্ণ। লেখকদের পরবর্তী কাজে আনুষ্ঠানিক নিরাপত্তা বিশ্লেষণ এবং বৃহৎ-স্কেল স্থাপনা পরীক্ষা যোগ করা এবং প্রভাব বৃদ্ধির জন্য কোড খোলা উৎস করা সুপারিশ করা হয়।