Zum Hauptinhalt springen

6.2. HTTP Signature Algorithms Registry (Algorithmen-Register)

6.2. HTTP Signature Algorithms Registry (Register „HTTP Signature Algorithms“)

Dieses Dokument definiert HTTP-Signaturalgorithmen; IANA hat das neue Register „HTTP Signature Algorithms“ angelegt und führt es. Anfangswerte stehen in Abschnitt 6.2.2. Weitere Einträge und Änderungen erfolgen nach der Richtlinie „Specification Required“ [RFC8126].

Die im Register genannten Algorithmen sind mögliche kryptografische Verfahren für Anwendungen mit dieser Spezifikation; sie sind weder vollständig noch ein Urteil über Eignung für einen bestimmten Anwendungsfall. Eine Anwendung darf jedes passende Verfahren implementieren, sofern Signierender und Verifizierender sich sicher und deterministisch auf die Parameter einigen. Soll zur Laufzeit über den Signaturparameter alg ein bestimmter Algorithmus signalisiert werden, liefert das Register die Zuordnung von Parameterwert zu Verfahren. Die Nutzung von alg erfordert Vorsicht wegen Algorithmusverwechslung und Substitution (Abschnitt 7).

Der Statuswert sollte Standardisierungsstand und breite Meinung relevanter Gruppen (z. B. IETF oder sicherheitsbezogene SDOs) widerspiegeln. Bei Ersteintrag soll der Designated Expert (DE) den Status auf „Active“ setzen, wenn Konsens besteht, das Verfahren sei allgemein als sicher empfehlenswert, oder auf „Provisional“, wenn dieser Konsens fehlt (z. B. experimentell). „Provisional“ bedeutet nicht zwingend bekannte Unsicherheit, sondern fehlenden Konsens über die Eigenschaften. Werden später Mängel bekannt, kann der Eintrag auf „Deprecated“ gesetzt werden. Das verbietet die Nutzung nicht, warnt aber vor bekannten Problemen. Der DE sollte eine Begründung und Referenz zum Status sicherstellen, besonders bei deprecated Algorithmen.

Der DE soll insbesondere:

  • sicherstellen, dass referenzierte Algorithmen mit allen Parametern (Salt, Hash, Schlüssellänge usw.) in definierendem Text festgelegt sind;

  • sicherstellen, dass die Definition HTTP_SIGN und HTTP_VERIFY vollständig festlegt, einschließlich Abbildung aller Ein- und Ausgaben auf das zugrunde liegende kryptografische Verfahren;

  • Aliase bestehender Einträge ablehnen;

  • sicherstellen, dass Einträge der Vorlage aus Abschnitt 6.2.1 folgen, der Name nicht übermäßig lang, aber eindeutig und erkennbar ist.

Algorithmus-Identifikatoren fassen Hauptparameter im String zusammen, um Eindeutigkeit und Erkennbarkeit zu gewährleisten. Sie sind jedoch als ganze String-Werte zu interpretieren, nicht als zerlegbare Teile. Implementierer verstehen rsa-pss-sha512 als ein spezifisches Verfahren mit in definierendem Text festgelegten Hash-, Masken- und Salt-Werten; sie parsen den String nicht in rsa, pss, sha512, um Parameter abzuleiten. Die Registrierung einer Kombination impliziert keine anderen Kombinationen.

Letztes Update am