8. 安全考虑事项 (Security Considerations)

本文档描述了DNS安全扩展使用的四个DNS资源记录的格式,并提供了一个用于计算公钥的key tag的算法。除了以下描述的项目外,资源记录本身不会引入安全考虑事项。有关与使用这些记录相关的其他安全考虑事项,请参见[RFC4033]和[RFC4035]。

DS记录使用密码摘要、密钥算法类型和key tag指向DNSKEY RR。DS记录旨在标识现有的DNSKEY RR,但理论上攻击者可能生成一个匹配所有DS字段的DNSKEY。构造匹配DNSKEY的概率取决于使用的摘要算法类型。当前唯一定义的摘要算法是SHA-1,工作组认为,构造一个与DS记录中给出的算法、key tag和SHA-1摘要匹配的公钥将是一个足够困难的问题,因此这种攻击目前不是一个严重的威胁。

key tag用于帮助有效地选择DNSKEY资源记录,但它不能唯一标识单个DNSKEY资源记录。两个不同的DNSKEY RR可能具有相同的所有者名称、相同的算法类型和相同的key tag。在某些情况下,仅使用key tag选择DNSKEY RR的实现可能会选择错误的公钥。有关更多详细信息,请参见附录B。

附录A中的算法表和附录B中的key tag计算算法包括RSA/MD5算法以确保完整性,但不推荐 (NOT RECOMMENDED) 使用RSA/MD5算法,如[RFC3110]中所述。

相关章节导航: