Quando si utilizza una rete di comunicazione anonima come Tor, per garantire la privacy è necessario instradare il traffico DNS attraverso il sistema anche se il computer utilizza sempre DNSSEC per le ricerche DNS, sarebbe vero? Se sì, perché?
DNSSEC non protegge da intercettazioni, in questo senso firma solo la risposta in modo che il client sappia che non è stato spoofing:
It is a set of extensions to DNS which provide to DNS clients (resolvers) origin authentication of DNS data, authenticated denial of existence, and data integrity, but not availability or confidentiality.
Enfasi minime.
Se esegui il DNS sulla tua rete locale non crittografata, una terza parte potrebbe vedere quali nomi stavi cercando e potrebbe essere in grado di ricavare alcune informazioni da quelle ricerche. Se sei un agente della CIA in copertura profonda da qualche parte e puoi vedere che stai andando a super-sekret-email.cia.gov, beh, anche senza quel traffico potresti essere nei guai. C'è anche la possibilità che possano avvelenare le tue ricerche (quindi il tuo traffico andrebbe oltre Tor ai loro server) o bloccarle interamente per negarti l'accesso. DNSSEC impedisce solo una di queste tre minacce.
Quando il tuo sistema effettua richieste DNS senza la rete di anonimizzazione che stai usando normalmente un intercettatore è in grado di prevedere quali siti stai visitando. Supponi di voler visitare il link . Il tuo browser effettua una richiesta DNS e la invia alla tua rete di anonimizzazione, che a sua volta richiede il sito. Quindi l'intercettatore ha un'idea di ciò che stai facendo attualmente.
DNSSEC fornisce risposte DNS autenticate. Quindi nell'esempio sopra un utente malintenzionato potrebbe falsificare la richiesta e inviarti a un altro sito dannoso. Con DNSSEC questo non è possibile. Tuttavia l'intercettatore vede ancora quali richieste DNS fai e può comunque prevedere i siti.
Ecco perché è importante che anche le richieste DNS (o DNSSEC) passino attraverso la rete di anonimizzazione.