Passa al contenuto principale

8. Considerazioni sulla sicurezza (Security Considerations)

Questo documento descrive il formato di quattro record di risorse DNS utilizzati dalle estensioni di sicurezza DNS e fornisce un algoritmo per calcolare un key tag per una chiave pubblica. A parte i seguenti elementi, i record di risorse stessi non introducono considerazioni sulla sicurezza. Vedere [RFC4033] e [RFC4035] per le considerazioni sulla sicurezza relative all'uso di questi record.

Il record DS utilizza un digest crittografico (cryptographic digest), un tipo di algoritmo della chiave e un key tag per puntare a un RR DNSKEY. Il record DS è destinato a identificare un RR DNSKEY esistente, ma un attaccante potrebbe, in teoria, generare un DNSKEY che corrisponde a tutti i campi DS. La probabilità di costruire un DNSKEY corrispondente dipende dal tipo di algoritmo digest utilizzato dal DS. L'algoritmo digest attualmente definito è SHA-1, e il gruppo di lavoro considera che costruire una chiave pubblica che corrisponda all'algoritmo, al key tag e a un digest SHA-1 come dato in un record DS sarebbe un problema sufficientemente difficile e quindi tale attacco non è attualmente una minaccia seria.

Il key tag viene utilizzato per aiutare a selezionare efficientemente i record di risorse DNSKEY, ma non identifica in modo univoco un singolo record di risorsa DNSKEY. È possibile che due RR DNSKEY distinti abbiano lo stesso nome del proprietario, lo stesso tipo di algoritmo e lo stesso key tag. Un'implementazione che utilizza solo il key tag per selezionare un RR DNSKEY potrebbe selezionare la chiave pubblica sbagliata in alcuni casi. Vedere l'Appendice B per ulteriori dettagli.

La tabella degli algoritmi nell'Appendice A e l'algoritmo di calcolo del key tag nell'Appendice B includono l'algoritmo RSA/MD5 per completezza, ma l'uso dell'algoritmo RSA/MD5 NON È RACCOMANDATO, come spiegato in [RFC3110].

Navigazione dei capitoli correlati:

Ultimo aggiornamento il