Passa al contenuto principale

Appendice A. Tipi di algoritmo e digest DNSSEC (DNSSEC Algorithm and Digest Types)

Le estensioni di sicurezza DNS sono progettate per essere indipendenti dagli algoritmi crittografici sottostanti. I record di risorse DNSKEY, RRSIG e DS utilizzano tutti un numero di algoritmo DNSSEC per identificare l'algoritmo crittografico utilizzato dal record di risorsa. Il record di risorsa DS specifica anche un numero di algoritmo digest per identificare l'algoritmo digest utilizzato per costruire il record DS. Gli algoritmi e i tipi di digest attualmente definiti sono elencati di seguito. Algoritmi o tipi di digest aggiuntivi possono essere aggiunti man mano che gli sviluppi nella crittografia li giustificano.

I resolver e i nameserver che supportano DNSSEC DEVONO implementare tutti gli algoritmi OBBLIGATORI.

A.1. Tipi di algoritmo DNSSEC (DNSSEC Algorithm Types)

I RR DNSKEY, RRSIG e DS utilizzano un numero a 8 bit per identificare l'algoritmo di sicurezza in uso. Questi valori sono memorizzati nel campo "Algorithm number" nel RDATA del record di risorsa.

Alcuni algoritmi sono disponibili per l'uso solo per la firma di zona (DNSSEC), alcuni solo per i meccanismi di sicurezza delle transazioni (SIG(0) e TSIG), e alcuni per entrambi. Gli algoritmi utilizzabili per la firma di zona possono apparire nei RR DNSKEY, RRSIG e DS. Gli algoritmi utilizzabili per la sicurezza delle transazioni appaiono nei RR SIG(0) e KEY, come descritto in [RFC2931].

                             Zone
Value Algorithm [Mnemonic]  Signing  References   Status
----- -------------------- --------- ----------  ---------
  0   reserved
  1   RSA/MD5 [RSAMD5]         n      [RFC2537]  NOT RECOMMENDED
  2   Diffie-Hellman [DH]      n      [RFC2539]   -
  3   DSA/SHA-1 [DSA]          y      [RFC2536]  OPTIONAL
  4   Elliptic Curve [ECC]              TBA       -
  5   RSA/SHA-1 [RSASHA1]      y      [RFC3110]  MANDATORY
252   Indirect [INDIRECT]      n                  -
253   Private [PRIVATEDNS]     y      see below  OPTIONAL
254   Private [PRIVATEOID]     y      see below  OPTIONAL
255   reserved

6 - 251  available for assignment by IETF standards action.

A.1.1. Tipi di algoritmo privati (Private Algorithm Types)

Il numero di algoritmo 253 è riservato per uso privato e non sarà mai assegnato a un algoritmo specifico. L'area della chiave pubblica nel RR DNSKEY e l'area della firma nel RR RRSIG iniziano con un nome di dominio codificato in formato wire, che NON DEVE essere compresso. Il nome di dominio indica l'algoritmo privato da utilizzare, e il resto dell'area della chiave pubblica è determinato da quell'algoritmo. Le entità dovrebbero utilizzare solo nomi di dominio che controllano per designare i loro algoritmi privati.

Il numero di algoritmo 254 è riservato per uso privato e non sarà mai assegnato a un algoritmo specifico. L'area della chiave pubblica nel RR DNSKEY e l'area della firma nel RR RRSIG iniziano con un byte di lunghezza senza segno seguito da un identificatore di oggetto (ISO OID) codificato BER di quella lunghezza. L'OID indica l'algoritmo privato in uso, e il resto dell'area è ciò che è richiesto da quell'algoritmo. Le entità dovrebbero utilizzare solo OID che controllano per designare i loro algoritmi privati.

A.2. Tipi di digest DNSSEC (DNSSEC Digest Types)

Il campo "Digest Type" nel tipo di record di risorsa DS identifica l'algoritmo digest crittografico utilizzato dal record di risorsa. La seguente tabella elenca i tipi di algoritmo digest attualmente definiti.

           VALUE   Algorithm                 STATUS
             0      Reserved                   -
             1      SHA-1                   MANDATORY
           2-255    Unassigned                 -

Navigazione dei capitoli correlati:

Ultimo aggiornamento il