メインコンテンツまでスキップ

付録 A. DNSSEC アルゴリズムとダイジェストタイプ (DNSSEC Algorithm and Digest Types)

DNS セキュリティ拡張は、基礎となる暗号アルゴリズムから独立して設計されています。DNSKEY、RRSIG、および DS リソースレコードはすべて、リソースレコードが使用する暗号アルゴリズムを識別するために DNSSEC アルゴリズム番号を使用します。DS リソースレコードは、DS レコードの構築に使用されるダイジェストアルゴリズムを識別するためにダイジェストアルゴリズム番号も指定します。現在定義されているアルゴリズムとダイジェストタイプを以下にリストします。暗号技術の発展がそれらを正当化する場合、追加のアルゴリズムまたはダイジェストタイプが追加される可能性があります。

DNSSEC をサポートするリゾルバとネームサーバーは、すべての必須 (MANDATORY) アルゴリズムを実装しなければなりません (MUST)。

A.1. DNSSEC アルゴリズムタイプ (DNSSEC Algorithm Types)

DNSKEY、RRSIG、および DS RR は、使用されているセキュリティアルゴリズムを識別するために8ビット番号を使用します。これらの値は、リソースレコード RDATA の "Algorithm number" フィールドに格納されます。

一部のアルゴリズムは、ゾーン署名 (DNSSEC) にのみ使用可能であり、一部はトランザクションセキュリティメカニズム (SIG(0) と TSIG) にのみ使用可能であり、一部は両方に使用可能です。ゾーン署名に使用可能なアルゴリズムは、DNSKEY、RRSIG、および DS RR に現れる場合があります。トランザクションセキュリティに使用可能なアルゴリズムは、[RFC2931] に記述されているように、SIG(0) と KEY RR に現れます。

                             Zone
Value Algorithm [Mnemonic]  Signing  References   Status
----- -------------------- --------- ----------  ---------
  0   reserved
  1   RSA/MD5 [RSAMD5]         n      [RFC2537]  NOT RECOMMENDED
  2   Diffie-Hellman [DH]      n      [RFC2539]   -
  3   DSA/SHA-1 [DSA]          y      [RFC2536]  OPTIONAL
  4   Elliptic Curve [ECC]              TBA       -
  5   RSA/SHA-1 [RSASHA1]      y      [RFC3110]  MANDATORY
252   Indirect [INDIRECT]      n                  -
253   Private [PRIVATEDNS]     y      see below  OPTIONAL
254   Private [PRIVATEOID]     y      see below  OPTIONAL
255   reserved

6 - 251  available for assignment by IETF standards action.

A.1.1. プライベートアルゴリズムタイプ (Private Algorithm Types)

アルゴリズム番号 253 はプライベート使用のために予約されており、特定のアルゴリズムに割り当てられることはありません。DNSKEY RR の公開鍵領域と RRSIG RR の署名領域は、ワイヤエンコードされたドメイン名で始まり、これは圧縮してはなりません (MUST NOT)。ドメイン名は使用するプライベートアルゴリズムを示し、公開鍵領域の残りはそのアルゴリズムによって決定されます。エンティティは、自分たちが管理するドメイン名のみを使用して、自分たちのプライベートアルゴリズムを指定すべきです。

アルゴリズム番号 254 はプライベート使用のために予約されており、特定のアルゴリズムに割り当てられることはありません。DNSKEY RR の公開鍵領域と RRSIG RR の署名領域は、符号なし長さバイトで始まり、その後にその長さの BER エンコードされたオブジェクト識別子 (ISO OID) が続きます。OID は使用中のプライベートアルゴリズムを示し、領域の残りはそのアルゴリズムが必要とするものです。エンティティは、自分たちが管理する OID のみを使用して、自分たちのプライベートアルゴリズムを指定すべきです。

A.2. DNSSEC ダイジェストタイプ (DNSSEC Digest Types)

DS リソースレコードタイプの "Digest Type" フィールドは、リソースレコードが使用する暗号ダイジェストアルゴリズムを識別します。以下の表は、現在定義されているダイジェストアルゴリズムタイプをリストしています。

           VALUE   Algorithm                 STATUS
             0      Reserved                   -
             1      SHA-1                   MANDATORY
           2-255    Unassigned                 -

関連章へのナビゲーション:

最終更新