Fragen? Antworten! Siehe auch: Alternativlos
Der Vorschlag fußt darauf, dass er pro Minute eine Million verschlüsselte Pakete gemessen hat, wobei jedes Paket einen eigenen Schlüssel gekriegt hat, also tatsächlich 1 Million Public Key Operationen pro Minute. Das ist auf einem Intel Quad Core, aber nicht die High-End-Variante meinte er, das sei ja inzwischen billig genug, dass man Performance nicht mehr als Ausrede hernehmen dürfe, das nicht zu tun.
Seine Argumentation hätte ich stringenter gefunden, wenn er da nicht im Wesentlichen Dinge tut, die er vorher bei DNSSEC kritisiert hat. Z.B. hat sein Modell einen kleinen Proxy für den Übergang, und bei DNSSEC hat er kritisiert, dass zwischen Stub Resolver und Resolver nicht geschützt ist. Außerdem griff er DNSSEC damit an, dass man es für Denial of Service benutzen kann, weil die Antworten so viel größer sind als die Anfragen. Er muß auch Krypto-Schlüssel verteilen per DNS, auch wenn die weniger groß sind als bei DNSSEC, weil er statt RSA ECC benutzt.
Dennoch hatte der Vorschlag soweit Hand und Fuß und ist einen Test wert. Und besser als die Alternativen ist es allemal.