Aller au contenu principal

8. Considérations de sécurité (Security Considerations)

Ce document décrit le format de quatre enregistrements de ressources DNS utilisés par les extensions de sécurité DNS et fournit un algorithme pour calculer une étiquette de clé pour une clé publique. Outre les éléments suivants, les enregistrements de ressources eux-mêmes n'introduisent pas de considérations de sécurité. Voir [RFC4033] et [RFC4035] pour les considérations de sécurité liées à l'utilisation de ces enregistrements.

L'enregistrement DS utilise un condensé cryptographique (cryptographic digest), un type d'algorithme de clé et une étiquette de clé pour pointer vers un RR DNSKEY. L'enregistrement DS est destiné à identifier un RR DNSKEY existant, mais un attaquant pourrait, en théorie, générer un DNSKEY correspondant à tous les champs DS. La probabilité de construire un DNSKEY correspondant dépend du type d'algorithme de condensé utilisé par le DS. L'algorithme de condensé actuellement défini est SHA-1, et le groupe de travail considère que la construction d'une clé publique correspondant à l'algorithme, à l'étiquette de clé et à un condensé SHA-1 tels que donnés dans un enregistrement DS serait un problème suffisamment difficile et, par conséquent, une telle attaque n'est pas actuellement une menace sérieuse.

L'étiquette de clé est utilisée pour aider à sélectionner efficacement les enregistrements de ressources DNSKEY, mais elle n'identifie pas de manière unique un seul enregistrement de ressource DNSKEY. Il est possible pour deux RR DNSKEY distincts d'avoir le même nom de propriétaire, le même type d'algorithme et la même étiquette de clé. Une implémentation qui utilise uniquement l'étiquette de clé pour sélectionner un RR DNSKEY pourrait sélectionner la mauvaise clé publique dans certains cas. Voir l'annexe B pour plus de détails.

La table d'algorithmes de l'annexe A et l'algorithme de calcul d'étiquette de clé de l'annexe B incluent l'algorithme RSA/MD5 par souci d'exhaustivité, mais l'utilisation de l'algorithme RSA/MD5 N'EST PAS RECOMMANDÉE, comme expliqué dans [RFC3110].

Navigation des chapitres connexes :

Dernière mise à jour le