8. セキュリティに関する考察 (Security Considerations)

この文書は、DNS セキュリティ拡張で使用される4つの DNS リソースレコードの形式を説明し、公開鍵の Key Tag を計算するアルゴリズムを提供します。以下の項目以外では、リソースレコード自体はセキュリティに関する考察を導入しません。これらのレコードの使用に関連するセキュリティに関する考察については、[RFC4033] と [RFC4035] を参照してください。

DS レコードは、暗号ダイジェスト (cryptographic digest)、鍵アルゴリズムタイプ、および Key Tag を使用して DNSKEY RR を指します。DS レコードは既存の DNSKEY RR を識別することを意図していますが、理論的には、攻撃者がすべての DS フィールドに一致する DNSKEY を生成できる可能性があります。一致する DNSKEY を構築する確率は、DS が使用するダイジェストアルゴリズムタイプに依存します。現在定義されているダイジェストアルゴリズムは SHA-1 であり、ワーキンググループは、DS レコードで与えられたアルゴリズム、Key Tag、および SHA-1 ダイジェストに一致する公開鍵を構築することは十分に困難な問題であり、したがって、このような攻撃は現在深刻な脅威ではないと考えています。

Key Tag は DNSKEY リソースレコードを効率的に選択するのに役立ちますが、単一の DNSKEY リソースレコードを一意に識別するわけではありません。2つの異なる DNSKEY RR が同じ所有者名、同じアルゴリズムタイプ、および同じ Key Tag を持つことが可能です。Key Tag のみを使用して DNSKEY RR を選択する実装は、場合によっては誤った公開鍵を選択する可能性があります。詳細については付録 B を参照してください。

付録 A のアルゴリズムテーブルと付録 B の Key Tag 計算アルゴリズムには、完全性のために RSA/MD5 アルゴリズムが含まれていますが、[RFC3110] で説明されているように、RSA/MD5 アルゴリズムの使用は推奨されません (NOT RECOMMENDED)。

---

関連章へのナビゲーション:

• 前: 7. IANA に関する考察 (IANA Considerations)
• 次: 9. 謝辞 (Acknowledgements)