Aller au contenu principal

Annexe A. Types d'algorithmes et de condensés DNSSEC (DNSSEC Algorithm and Digest Types)

Les extensions de sécurité DNS sont conçues pour être indépendantes des algorithmes cryptographiques sous-jacents. Les enregistrements de ressources DNSKEY, RRSIG et DS utilisent tous un numéro d'algorithme DNSSEC pour identifier l'algorithme cryptographique utilisé par l'enregistrement de ressource. L'enregistrement de ressource DS spécifie également un numéro d'algorithme de condensé pour identifier l'algorithme de condensé utilisé pour construire l'enregistrement DS. Les algorithmes et types de condensés actuellement définis sont énumérés ci-dessous. Des algorithmes ou types de condensés supplémentaires peuvent être ajoutés à mesure que les développements en cryptographie les justifient.

Les résolveurs et les serveurs de noms prenant en charge DNSSEC DOIVENT implémenter tous les algorithmes OBLIGATOIRES.

A.1. Types d'algorithmes DNSSEC (DNSSEC Algorithm Types)

Les RR DNSKEY, RRSIG et DS utilisent un nombre de 8 bits pour identifier l'algorithme de sécurité utilisé. Ces valeurs sont stockées dans le champ "Algorithm number" dans le RDATA de l'enregistrement de ressource.

Certains algorithmes ne sont disponibles que pour la signature de zone (DNSSEC), certains uniquement pour les mécanismes de sécurité de transaction (SIG(0) et TSIG), et certains pour les deux. Les algorithmes utilisables pour la signature de zone peuvent apparaître dans les RR DNSKEY, RRSIG et DS. Les algorithmes utilisables pour la sécurité de transaction apparaissent dans les RR SIG(0) et KEY, comme décrit dans [RFC2931].

                             Zone
Value Algorithm [Mnemonic]  Signing  References   Status
----- -------------------- --------- ----------  ---------
  0   reserved
  1   RSA/MD5 [RSAMD5]         n      [RFC2537]  NOT RECOMMENDED
  2   Diffie-Hellman [DH]      n      [RFC2539]   -
  3   DSA/SHA-1 [DSA]          y      [RFC2536]  OPTIONAL
  4   Elliptic Curve [ECC]              TBA       -
  5   RSA/SHA-1 [RSASHA1]      y      [RFC3110]  MANDATORY
252   Indirect [INDIRECT]      n                  -
253   Private [PRIVATEDNS]     y      see below  OPTIONAL
254   Private [PRIVATEOID]     y      see below  OPTIONAL
255   reserved

6 - 251  available for assignment by IETF standards action.

A.1.1. Types d'algorithmes privés (Private Algorithm Types)

Le numéro d'algorithme 253 est réservé à un usage privé et ne sera jamais attribué à un algorithme spécifique. La zone de clé publique dans le RR DNSKEY et la zone de signature dans le RR RRSIG commencent par un nom de domaine encodé en transmission, qui NE DOIT PAS être compressé. Le nom de domaine indique l'algorithme privé à utiliser, et le reste de la zone de clé publique est déterminé par cet algorithme. Les entités ne devraient utiliser que des noms de domaine qu'elles contrôlent pour désigner leurs algorithmes privés.

Le numéro d'algorithme 254 est réservé à un usage privé et ne sera jamais attribué à un algorithme spécifique. La zone de clé publique dans le RR DNSKEY et la zone de signature dans le RR RRSIG commencent par un octet de longueur non signé suivi d'un identifiant d'objet (ISO OID) encodé en BER de cette longueur. L'OID indique l'algorithme privé utilisé, et le reste de la zone est ce qui est requis par cet algorithme. Les entités ne devraient utiliser que des OID qu'elles contrôlent pour désigner leurs algorithmes privés.

A.2. Types de condensés DNSSEC (DNSSEC Digest Types)

Le champ "Digest Type" dans le type d'enregistrement de ressource DS identifie l'algorithme de condensé cryptographique utilisé par l'enregistrement de ressource. Le tableau suivant liste les types d'algorithmes de condensé actuellement définis.

           VALUE   Algorithm                 STATUS
             0      Reserved                   -
             1      SHA-1                   MANDATORY
           2-255    Unassigned                 -

Navigation des chapitres connexes :

Dernière mise à jour le