Zum Hauptinhalt springen

Anhang A. DNSSEC-Algorithmus- und Digest-Typen (DNSSEC Algorithm and Digest Types)

Die DNS-Sicherheitserweiterungen sind so konzipiert, dass sie unabhängig von den zugrunde liegenden kryptographischen Algorithmen sind. Die Ressourceneinträge DNSKEY, RRSIG und DS verwenden alle eine DNSSEC-Algorithmusnummer, um den vom Ressourceneintrag verwendeten kryptographischen Algorithmus zu identifizieren. Der DS-Ressourceneintrag gibt auch eine Digest-Algorithmusnummer an, um den zum Konstruieren des DS-Eintrags verwendeten Digest-Algorithmus zu identifizieren. Die derzeit definierten Algorithmen und Digest-Typen sind unten aufgeführt. Zusätzliche Algorithmen oder Digest-Typen können hinzugefügt werden, wenn Entwicklungen in der Kryptographie dies rechtfertigen.

Resolver und Nameserver, die DNSSEC unterstützen, MÜSSEN alle OBLIGATORISCHEN Algorithmen implementieren.

A.1. DNSSEC-Algorithmustypen (DNSSEC Algorithm Types)

DNSKEY-, RRSIG- und DS-RRs verwenden eine 8-Bit-Zahl, um den verwendeten Sicherheitsalgorithmus zu identifizieren. Diese Werte werden im Feld "Algorithm number" im RDATA des Ressourceneintrags gespeichert.

Einige Algorithmen sind nur für die Verwendung zur Zonensignierung (DNSSEC) verfügbar, einige nur für Transaktionssicherheitsmechanismen (SIG(0) und TSIG) und einige für beides. Algorithmen, die für die Zonensignierung verwendbar sind, können in DNSKEY-, RRSIG- und DS-RRs erscheinen. Algorithmen, die für Transaktionssicherheit verwendbar sind, erscheinen in SIG(0)- und KEY-RRs, wie in [RFC2931] beschrieben.

                             Zone
Value Algorithm [Mnemonic]  Signing  References   Status
----- -------------------- --------- ----------  ---------
  0   reserved
  1   RSA/MD5 [RSAMD5]         n      [RFC2537]  NOT RECOMMENDED
  2   Diffie-Hellman [DH]      n      [RFC2539]   -
  3   DSA/SHA-1 [DSA]          y      [RFC2536]  OPTIONAL
  4   Elliptic Curve [ECC]              TBA       -
  5   RSA/SHA-1 [RSASHA1]      y      [RFC3110]  MANDATORY
252   Indirect [INDIRECT]      n                  -
253   Private [PRIVATEDNS]     y      see below  OPTIONAL
254   Private [PRIVATEOID]     y      see below  OPTIONAL
255   reserved

6 - 251  available for assignment by IETF standards action.

A.1.1. Private Algorithmustypen (Private Algorithm Types)

Algorithmusnummer 253 ist für private Verwendung reserviert und wird niemals einem bestimmten Algorithmus zugewiesen. Der Bereich für öffentliche Schlüssel im DNSKEY RR und der Signaturbereich im RRSIG RR beginnen mit einem wire-kodierten Domänennamen, der NICHT komprimiert werden darf. Der Domänenname gibt den zu verwendenden privaten Algorithmus an, und der Rest des Bereichs für öffentliche Schlüssel wird durch diesen Algorithmus bestimmt. Entitäten sollten nur Domänennamen verwenden, die sie kontrollieren, um ihre privaten Algorithmen zu bezeichnen.

Algorithmusnummer 254 ist für private Verwendung reserviert und wird niemals einem bestimmten Algorithmus zugewiesen. Der Bereich für öffentliche Schlüssel im DNSKEY RR und der Signaturbereich im RRSIG RR beginnen mit einem vorzeichenlosen Längenbyte, gefolgt von einer BER-kodierten Objekt-Kennung (ISO OID) dieser Länge. Die OID gibt den verwendeten privaten Algorithmus an, und der Rest des Bereichs ist das, was dieser Algorithmus erfordert. Entitäten sollten nur OIDs verwenden, die sie kontrollieren, um ihre privaten Algorithmen zu bezeichnen.

A.2. DNSSEC-Digest-Typen (DNSSEC Digest Types)

Das Feld "Digest Type" im DS-Ressourceneintragstyp identifiziert den vom Ressourceneintrag verwendeten kryptographischen Digest-Algorithmus. Die folgende Tabelle listet die derzeit definierten Digest-Algorithmustypen auf.

           VALUE   Algorithm                 STATUS
             0      Reserved                   -
             1      SHA-1                   MANDATORY
           2-255    Unassigned                 -

Navigation verwandter Kapitel:

Letztes Update am