DNSSEC dağıtımında SHA-256'yı makul bir şekilde kullanabilir miyim?

10

Biliyorum ki RFC 5702 SHA-2 DNSSEC'nin içinde, ve o belgelerin kullanımı RFC 6944 tanımlar RSA / SHA-256 "uygulama önerilir." Şeklinde Ne ben değil farkında yaygın uygulanan SHA-256 çözücüler doğrulayarak ne kadar adildir.

İnternet bölgelerini (özellikle ilgilendiğim .orgalanlar) SHA-256 ile imzalamak pratik mi , yoksa bölgemi DNSSEC bilinçli İnternet'in büyük alanlarına doğru yapamaz mıyım?

Bir takip olarak, anahtar programları aynı güvenlik seviyesini korumak için karma bir değişiklikle değişebilir (örneğin, daha kısa anahtar programları kullanarak SHA-1 kullanarak çalışabilir miyim)?

security  dnssec 
Calrion
kaynak

Yanıtlar:

8

Kök bölgesi (aka .) RSA / SHA256 ile imzalanmıştır (KSK ve ZSK RSA / SHA256'dır).

Bu nedenle, RSA / SHA256'yı desteklemeyen bir doğrulama çözümleyicisi, tüm zinciri doğrulayamayacağı için İnternet'te çoğunlukla işe yaramaz.

RSA / SHA256'nın desteklendiğini varsaymanın güvenli olduğunu düşünüyorum.

http://dnsviz.net/d/org/dnssec/ , orgbölgeye kadar kullanılan anahtarların yararlı bir şekilde görüntülenmesini sağlayabilir .

Håkan Lindqvist
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.