Tôi có thể sử dụng hợp lý SHA-256 trong triển khai DNSSEC không?

10

Tôi biết rằng RFC 5702 ghi lại việc sử dụng SHA-2 trong DNSSEC và RFC 6944 định nghĩa RSA / SHA-256 là "khuyến nghị thực hiện". Điều tôi không biết chỉ là SHA-256 được triển khai rộng rãi như thế nào trong việc xác thực các bộ phân giải.

Có thực tế không khi ký các vùng Internet (những khu vực tôi đặc biệt quan tâm là .orgcác miền) với SHA-256, hoặc tôi đang làm cho khu vực của mình không thể kiểm chứng được các vùng rộng lớn của Internet nhận biết DNSSEC?

Theo dõi, lịch biểu khóa có thể thay đổi với thay đổi băm để giữ cùng mức bảo mật (ví dụ: tôi có thể làm việc xung quanh bằng SHA-1 bằng cách có lịch trình khóa ngắn hơn) không?

security  dnssec 
Calrion
nguồn

Câu trả lời:

8

Bản thân vùng gốc (aka .) được ký với RSA / SHA256 (KSK cũng như ZSK là RSA / SHA256).

Do đó, một trình giải quyết xác thực không hỗ trợ RSA / SHA256 sẽ hầu như vô dụng trên Internet vì nó sẽ không thể xác thực chuỗi đầy đủ.

Tôi nghĩ an toàn cho bạn khi cho rằng RSA / SHA256 được hỗ trợ.

http://dnsviz.net/d/org/dnssec/ có thể cung cấp một hình ảnh hữu ích của các phím được sử dụng cho đến orgkhu vực.

Håkan Lindqvist
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.