RFC2541 DNS 安全操作考虑

发表于 5年以前  | 总阅读数:644 次
组织:中国互动出版网(http://www.china-pub.com/)
RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm)
E-mail:ouyang@china-pub.com
译者:boniter(boniter@etang.com)
译文发布时间:2001-11-7
版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须
保留本文档的翻译及版权信息。


Network Working Group                                          D. Eastlake
Request for Comments: 2541                                             IBM
Category: Informational                                         March 1999

                              DNS安全操作考虑
本备忘录的状态
    本备忘录为Internet社会提供了信息。它并没有详细说明任何一种Internet标准。发
布此备忘录是无约束的。

版权公告
Copyright (C) The Internet Society (1999).  All Rights Reserved.

目录
概要	2
感谢	2
1. 导论	2
2. 公共/私有密钥产生	2
3. 公共/私有密钥寿命	2
4. 公共/私有密钥长度的考虑	3
4.1 RSA 密钥长度	3
4.2  DSS密钥长度	3
5. 私有密钥存储	3
6. 高级别区域,根区域和Meta-Root密钥	4
7. 安全考虑	4
参考书目	4
作者地址	5
全部版权陈述	5

概要
    安全的DNS是基于密码技术的。这些技术必须的一部分就是对密钥和签名的产生,寿命,
长度和存储的操作方面的仔细关注。额外的,对高级别区域和独特的源区域的安全性必须更
加关注。这篇文档讨论了带有KEY和SIG DNS资源记录连接中使用密钥和签名的操作方面的
问题。

感谢
    以下人的贡献和建议是公认的应受到感谢的(按照字母顺序排列)
        John Gilmore
         Olafur Gudmundsson
         Charlie Kaufman
1. 导论
    这篇文档描述了在KEY和SIG资源使用中的DNS密钥和签名的产生,寿命,长度和存储
的操作考虑[RFC 2535]。特别注意高级别区域和源区域。

2. 公共/私有密钥产生
    所有密钥的精心产生有时会被忽视,但在任何密码安全系统中绝对是必不可少的元素。
如果对手能够缩短可能的密钥空间而使得它能被用尽一切手段破解,那么在足够长的密钥中
使用的强大的运算法则仍然派不上用场。在[RFC 1750]中有针对产生随机密钥的技术建议。
    长期限的密钥有独特的敏锐性,它将会扮演一个更重要的角色,而且被攻击时比短期限
的密钥需要更长的时间。强烈推荐长期限的密钥必须通过间隙以独立于网络的掉线方式在最
小的高级别的可靠硬件上产生。

3. 公共/私有密钥寿命
    没有永久性的密钥。使用中的密钥时间越长,它由于疏忽,意外,侦测或密码破译而被
破解的可能性就越大。此外,如果密钥的变更几乎没有,就会存在一个很大的风险,当要改
变密钥时,在场没有人知道怎样做,或是在密钥变更程序中的操作问题已经发展了。
    如果公共密钥寿命是本地策略中的事件,这些考虑意味着,除非有特殊的情况,长期限
密钥不应该有比4年更长的寿命。实际上,对于长期限秘要的一个更合理的策略就是在预期
的13个月寿命中保持离机状态并谨慎监督,而且每一年必须替换。对于在贸易安全或是同
类事物中使用的密钥的最长寿命预期是在线的36天,它们每个月都要被更换或是更频繁。
在许多情况下,密钥的寿命稍微超过一天可能更加合理。
    另一方面,寿命太短的公共密钥可能会导致在重新标记数据和回收最新的消息方面造成
严重的资源消耗,因为缓存的信息变得很陈旧。在Internet环境中,几乎所有的公共密钥
寿命都不得短于3分钟,这是在特殊情况下最大信息包延时的合理估计。

4. 公共/私有密钥长度的考虑
    在DNS安全扩展中公共密钥长度的选择有一定的要素。不幸的是,这些要素常常不在同
一说明书中指出。区域密钥长度的选择通常是由域管理员依靠本地的条件制定的。
    在大多数方案中,长的密钥更安全但是速度更慢。另外,长的密钥增加了KEY和SIG RRs
的长度。这就增加了DNS UDP包的溢出可能在响应中使用更高花费的TCP的可能。

4.1 RSA 密钥长度
    给出一个小的公共典型,MD5/RSA运算法则中的确认(最普通的操作)将会被模长的平
方粗略地改变,标记会被模长的立方改变,而且密钥的产生(最小的普通操作)将会被模长
的四次方所改变。提取模的公因子常用的最好和打破RSA安全的运算法则是粗略地改变模本
身的1.6次方。因此,从640bit的模到1280bit的模只通过4个要素增加了确认时间,但
是也可能增加了超过2^900的打破密钥的工作要素。
    建议的最小RSA运算法则模的长度是704bit,在此时被创造者认为是安全可靠的。但
在DNS树中的高级别区域可能为了安全考虑,需要设置一个更大的最小长度,也许是
1000bit。(自从United States National Security Agency允许使用高于512bitRSA模的
编密码系统的输出,使用小的模数,i.e.n,必须认为是不可靠的。)
    只用于安全数据而不对于其它安全密钥的RSA密钥,704bit在此时显得更合适。

4.2  DSS密钥长度
    DSS密钥在相同的长度下可能与RSA密钥有相同的安全性,但是DSS运算法制更小。

5. 私有密钥存储
    建议那里可能的话,区域私有密钥和区域原版拷贝文件必须只在脱机,无网络连接,本
身绝对可靠的机器上保留和使用。周期性的,一个应用程序可以通过对分区/运算法则增加
SIG与NXT RRs并增加无密钥类型的KEY RR用来增强验证,在这些地方带有这种运算法则
的分区的确切的KEY RR并不被提供。那样扩展文件就能被传输,也许通过暗网,到达初级
服务机的网络区域。
    这个想法对于网络来说是避免来自网络的损害的一种信息流。在网络上在线保留区域原
版文件并简单地通过立宪的签名人回收并不像以上所说的那样。如果主机寄居的环境是是危
险的话,这种再现的译本仍然会被损害。为了最大的安全考虑,区域的原版拷贝文件应该离
线并不应该在基于以通信为媒介的不可靠网络上被升级。
    区域的动态安全更新是不可能的[RFC 2137]。在这种情况下,私有密钥的更新SOA和
NXT系列至少必须是在线的。
    安全问题的解决者必须用一些可信的在线公共密钥信息(或是对解决者来说的一个安全
路径)来完成配置,否则他们不能进行鉴别。尽管在线,这种公共密钥信息必须被保护,否
则它就能被改变,以致骗取DNS数据成为可信的。
    无区域私有密钥,例如主机或者用户的密钥,一般必须保持在线,用于像DNS事务安全
方面的实际目的。

6. 高级别区域,根区域和Meta-Root密钥
    高级别区域通常比的级别区域更敏感。任何控制或是破坏一个区域安全的人能获取它的
子域的所有权力(除非解决问题的人在本地配置了子域的公共密钥)。因此,对于高级别区
域必须特别地小心并使用强大的密钥。
    根区域是所有区域中最危急的。某个控制或危机根区域安全的人将控制使用根区域的所
有用户的完全DNS名称空间(除非解决问题的人在本地配置了子域的公共密钥)。因此,根
区域必须尽最大可能的小心。必须使用最强大和最小心的密钥。根区域私有密钥应该一直处
于离线状态。
    许多问题的解决者将会在原服务器开始使用和验证DNS数据。全世界庞大的问题解决人
员的安全升级将会变得相当的困难。尽管在上面第3节的指导政策暗示根区域密钥一年改变
一次或是更频繁,如果它在所有问题解决这种实行静态配置,它将会在改变的时候被更新。
    允许根区域密钥的相关频繁改变使得DNS树的最终密钥的暴露减为最小,将会有一个使
用很少的“meta-root”密钥,只用来标记带有重叠时间有效性的滚动周期的常规根密钥RR
的次序。根区域包含meta-root和通用常规的根KEY RR(s),在meta-root和其它根私有密
钥自身下被SIG RRs标记。
    在存储和使用meta-root密钥中使用尽可能强的安全机制是很有必要的。用于防范的精
确技术的使用不在这篇文章的讨论范围。由于它的特殊地位,它也许最好是由对于扩展时段,
例如5到10年,的相同meta-root密钥来延续。

7. 安全考虑
    整篇文章是出于公共/私有密钥这一对DNS安全性的可操作考虑的。

参考书目
   [RFC 1034]   Mockapetris, P., "Domain Names - Concepts and
                Facilities", STD 13, RFC 1034, November 1987.

   [RFC 1035]   Mockapetris, P., "Domain Names - Implementation and
                Specifications", STD 13, RFC 1035, November 1987.

   [RFC 1750]   Eastlake, D., Crocker, S. and J. Schiller, "Randomness
                Requirements for Security", RFC 1750, December 1994.

   [RFC 2065]   Eastlake, D. and C. Kaufman, "Domain Name System
                Security Extensions", RFC 2065, January 1997.

   [RFC 2137]   Eastlake, D., "Secure Domain Name System Dynamic
                Update", RFC 2137, April 1997.

   [RFC 2535]   Eastlake, D., "Domain Name System Security Extensions",
                RFC 2535, March 1999.

   [RSA FAQ]    RSADSI Frequently Asked Questions periodic posting.

作者地址
   Donald E. Eastlake 3rd
   IBM
   65 Shindegan Hill Road, RR #1
   Carmel, NY 10512

   Phone:   +1-914-276-2668(h)
            +1-914-784-7913(w)
   Fax:     +1-914-784-3833(w)
   EMail:   dee3@us.ibm.com

全部版权陈述
  Copyright (C) The Internet Society (1999).  All Rights Reserved.

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
RFC2541――DNS Security Operational Consideration                          DNS安全操作考虑


2
RFC文档中文翻译计划
 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »