【DNS安全操作考虑】概要
安全的DNS是基于密码技术的 。这些技术必须的一部分就是对密钥和签名的产生,寿命,
长度和存储的操作方面的仔细关注 。额外的,对高级别区域和独特的源区域的安全性必须更
加关注 。这篇文档讨论了带有KEY和SIGDNS资源记录连接中使用密钥和签名的操作方面的
问题 。
感谢
以下人的贡献和建议是公认的应受到感谢的(按照字母顺序排列)
JohnGilmore
OlafurGudmundsson
CharlieKaufman
1.导论
这篇文档描述了在KEY和SIG资源使用中的DNS密钥和签名的产生,寿命,长度和存储
的操作考虑[RFC2535] 。非凡注重高级别区域和源区域 。
2.公共/私有密钥产生
所有密钥的精心产生有时会被忽视,但在任何密码安全系统中绝对是必不可少的元素 。
假如对手能够缩短可能的密钥空间而使得它能被用尽一切手段破解,那么在足够长的密钥中
使用的强大的运算法则仍然派不上用场 。在[RFC1750]中有针对产生随机密钥的技术建议 。
长期限的密钥有独特的敏锐性,它将会扮演一个更重要的角色,而且被攻击时比短期限
的密钥需要更长的时间 。强烈推荐长期限的密钥必须通过间隙以独立于网络的掉线方式在最
小的高级别的可靠硬件上产生 。
3.公共/私有密钥寿命
没有永久性的密钥 。使用中的密钥时间越长,它由于疏忽,意外,侦测或密码破译而被
破解的可能性就越大 。此外,假如密钥的变更几乎没有,就会存在一个很大的风险,当要改
变密钥时,在场没有人知道怎样做,或是在密钥变更程序中的操作问题已经发展了 。
假如公共密钥寿命是本地策略中的事件,这些考虑意味着,除非有非凡的情况,长期限
密钥不应该有比4年更长的寿命 。实际上,对于长期限秘要的一个更合理的策略就是在预期
的13个月寿命中保持离机状态并谨慎监督,而且每一年必须替换 。对于在贸易安全或是同
类事物中使用的密钥的最长寿命预期是在线的36天,它们每个月都要被更换或是更频繁 。
在许多情况下,密钥的寿命稍微超过一天可能更加合理 。
另一方面,寿命太短的公共密钥可能会导致在重新标记数据和回收最新的消息方面造成
严重的资源消耗,因为缓存的信息变得很陈旧 。在Internet环境中,几乎所有的公共密钥
寿命都不得短于3分钟,这是在非凡情况下最大信息包延时的合理估计 。
4.公共/私有密钥长度的考虑
在DNS安全扩展中公共密钥长度的选择有一定的要素 。不幸的是,这些要素经常不在同
一说明书中指出 。区域密钥长度的选择通常是由域治理员依靠本地的条件制定的 。
在大多数方案中,长的密钥更安全但是速度更慢 。另外,长的密钥增加了KEY和SIGRRs
的长度 。这就增加了DNSUDP包的溢出可能在响应中使用更高花费的TCP的可能 。
4.1RSA密钥长度
给出一个小的公共典型,MD5/RSA运算法则中的确认(最普通的操作)将会被模长的平
方粗略地改变,标记会被模长的立方改变,而且密钥的产生(最小的普通操作)将会被模长
的四次方所改变 。提取模的公因子常用的最好和打破RSA安全的运算法则是粗略地改变模本
身的1.6次方 。因此,从640bit的模到1280bit的模只通过4个要素增加了确认时间,但
是也可能增加了超过2^900的打破密钥的工作要素 。
建议的最小RSA运算法则模的长度是704bit,在此时被创造者认为是安全可靠的 。但
在DNS树中的高级别区域可能为了安全考虑,需要设置一个更大的最小长度,也许是
推荐阅读
- Photoshop排版一寸照片具体操作流程
- wps中替换字体具体操作方法
- 魅族16s怎么添加安全扫码
- iPhone远程格式化详细操作
- 使用Axure RP 8设计弹窗交互模型具体操作步骤
- A615摇动换壁纸操作简要
- 抖音中随拍设置好友可见具体操作方法
- 在网易云音乐里查看歌词操作流程
- 如何判断安全玻璃
- 如何连接公司的打印机