附录A. DNSSEC算法和摘要类型 (DNSSEC Algorithm and Digest Types)

DNS安全扩展被设计为独立于底层密码算法。DNSKEY、RRSIG和DS资源记录都使用DNSSEC算法编号来标识资源记录使用的密码算法。DS资源记录还指定摘要算法编号来标识用于构造DS记录的摘要算法。当前定义的算法和摘要类型如下所列。随着密码学的进步,可以添加其他算法或摘要类型。

支持DNSSEC的解析器或名称服务器必须 (MUST) 实现所有必需 (MANDATORY) 算法。

A.1. DNSSEC算法类型 (DNSSEC Algorithm Types)

DNSKEY、RRSIG和DS RR使用8位数字来标识正在使用的安全算法。这些值存储在资源记录RDATA的"算法编号"字段中。

某些算法仅可用于区域签名 (DNSSEC),某些仅用于事务安全机制 (SIG(0)和TSIG),某些可同时用于两者。可用于区域签名的算法可能出现在DNSKEY、RRSIG和DS RR中。可用于事务安全的算法将出现在SIG(0)和KEY RR中,如[RFC2931]中所述。

                             Zone
Value Algorithm [Mnemonic]  Signing  References   Status
----- -------------------- --------- ----------  ---------
 reserved
 RSA/MD5 [RSAMD5]         n      [RFC2537]  NOT RECOMMENDED
 Diffie-Hellman [DH]      n      [RFC2539]   -
 DSA/SHA-1 [DSA]          y      [RFC2536]  OPTIONAL
 Elliptic Curve [ECC]              TBA       -
 RSA/SHA-1 [RSASHA1]      y      [RFC3110]  MANDATORY
 Indirect [INDIRECT]      n                  -
 Private [PRIVATEDNS]     y      see below  OPTIONAL
 Private [PRIVATEOID]     y      see below  OPTIONAL
 reserved

- 251  可通过IETF标准行动分配。

A.1.1. 私有算法类型 (Private Algorithm Types)

算法编号253保留供私人使用,永远不会分配给特定算法。DNSKEY RR中的公钥区域和RRSIG RR中的签名区域以线编码域名开始,该域名禁止 (MUST NOT) 被压缩。域名指示要使用的私有算法,公钥区域的其余部分由该算法确定。实体应仅使用其控制的域名来指定其私有算法。

算法编号254保留供私人使用,永远不会分配给特定算法。DNSKEY RR中的公钥区域和RRSIG RR中的签名区域以无符号长度字节开始,后跟该长度的BER编码对象标识符 (ISO OID)。OID指示使用的私有算法,该区域的其余部分是该算法所需的任何内容。实体应仅使用其控制的OID来指定其私有算法。

A.2. DNSSEC摘要类型 (DNSSEC Digest Types)

DS资源记录类型中的"摘要类型"字段标识资源记录使用的密码摘要算法。下表列出了当前定义的摘要算法类型。

           VALUE   Algorithm                 STATUS
             0      Reserved                   -
             1      SHA-1                   MANDATORY
           2-255    Unassigned                 -

相关章节导航:

A.1. DNSSEC算法类型 (DNSSEC Algorithm Types)​

A.1.1. 私有算法类型 (Private Algorithm Types)​

A.2. DNSSEC摘要类型 (DNSSEC Digest Types)​

A.1. DNSSEC算法类型 (DNSSEC Algorithm Types)

A.1.1. 私有算法类型 (Private Algorithm Types)

A.2. DNSSEC摘要类型 (DNSSEC Digest Types)