Kann ich SHA-256 in einer DNSSEC-Bereitstellung angemessen verwenden?

10

Ich weiß, dass RFC 5702 die Verwendung von SHA-2 in DNSSEC dokumentiert und dass RFC 6944 RSA / SHA-256 als "zur Implementierung empfohlen" definiert. Was mir nicht bewusst ist, ist, wie weit verbreitet SHA-256 bei der Validierung von Resolvern ist.

Ist es praktisch, Internetzonen (die mich besonders interessieren, sind .orgDomains) mit SHA-256 zu signieren , oder mache ich meine Zone für große Teile des DNSSEC-fähigen Internets nicht überprüfbar?

Können sich im Nachhinein Schlüsselpläne mit einer Hash-Änderung ändern, um das gleiche Sicherheitsniveau beizubehalten (z. B. kann ich SHA-1 mit kürzeren Schlüsselplänen umgehen)?

Calrion
quelle

Antworten:

8

Die Root-Zone (auch bekannt als .) selbst ist mit RSA / SHA256 signiert (KSK und ZSK sind RSA / SHA256).

Daher ist ein validierender Resolver, der RSA / SHA256 nicht unterstützt, im Internet meistens nutzlos, da er nicht in der Lage ist, die gesamte Kette zu validieren.

Ich denke, Sie können davon ausgehen, dass RSA / SHA256 unterstützt wird.

http://dnsviz.net/d/org/dnssec/ bietet möglicherweise eine nützliche Visualisierung der bis zur orgZone verwendeten Schlüssel .

Håkan Lindqvist
quelle