8. Sicherheitsüberlegungen (Security Considerations)
Dieses Dokument beschreibt das Format von vier DNS-Ressourceneinträgen, die von den DNS-Sicherheitserweiterungen verwendet werden, und stellt einen Algorithmus zur Berechnung eines Key Tag für einen öffentlichen Schlüssel bereit. Abgesehen von den folgenden Punkten führen die Ressourceneinträge selbst keine Sicherheitsüberlegungen ein. Siehe [RFC4033] und [RFC4035] für Sicherheitsüberlegungen im Zusammenhang mit der Verwendung dieser Einträge.
Der DS-Eintrag verwendet einen kryptographischen Digest, einen Schlüsselalgorithmustyp und ein Key Tag, um auf einen DNSKEY RR zu verweisen. Der DS-Eintrag soll einen vorhandenen DNSKEY RR identifizieren, aber ein Angreifer könnte theoretisch einen DNSKEY generieren, der allen DS-Feldern entspricht. Die Wahrscheinlichkeit, einen passenden DNSKEY zu konstruieren, hängt vom Digest-Algorithmustyp ab, der vom DS verwendet wird. Der derzeit definierte Digest-Algorithmus ist SHA-1, und die Arbeitsgruppe betrachtet die Konstruktion eines öffentlichen Schlüssels, der dem Algorithmus, Key Tag und SHA-1-Digest wie in einem DS-Eintrag gegeben entspricht, als ausreichend schwieriges Problem, und daher stellt ein solcher Angriff derzeit keine ernsthafte Bedrohung dar.
Das Key Tag wird verwendet, um DNSKEY-Ressourceneinträge effizient auszuwählen, aber es identifiziert einen einzelnen DNSKEY-Ressourceneintrag nicht eindeutig. Es ist möglich, dass zwei unterschiedliche DNSKEY RRs denselben Besitzernamen, denselben Algorithmustyp und dasselbe Key Tag haben. Eine Implementierung, die nur das Key Tag zur Auswahl eines DNSKEY RR verwendet, könnte in einigen Fällen den falschen öffentlichen Schlüssel auswählen. Siehe Anhang B für weitere Details.
Die Algorithmustabelle in Anhang A und der Key Tag-Berechnungsalgorithmus in Anhang B enthalten den Algorithmus RSA/MD5 der Vollständigkeit halber, aber die Verwendung des Algorithmus RSA/MD5 wird NICHT EMPFOHLEN, wie in [RFC3110] erläutert.
Navigation verwandter Kapitel: