日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

DNS安全操作考慮

云知道

【DNS安全操作考慮】概要
安全的DNS是基于密碼技術的 。這些技術必須的一部分就是對密鑰和簽名的產(chǎn)生,壽命,
長度和存儲的操作方面的仔細關注 。額外的,對高級別區(qū)域和獨特的源區(qū)域的安全性必須更
加關注 。這篇文檔討論了帶有KEY和SIGDNS資源記錄連接中使用密鑰和簽名的操作方面的
問題 。
感謝
以下人的貢獻和建議是公認的應受到感謝的(按照字母順序排列)
JohnGilmore
OlafurGudmundsson
CharlieKaufman
1.導論
這篇文檔描述了在KEY和SIG資源使用中的DNS密鑰和簽名的產(chǎn)生,壽命,長度和存儲
的操作考慮[RFC2535] 。非凡注重高級別區(qū)域和源區(qū)域 。
2.公共/私有密鑰產(chǎn)生
所有密鑰的精心產(chǎn)生有時會被忽視,但在任何密碼安全系統(tǒng)中絕對是必不可少的元素 。
假如對手能夠縮短可能的密鑰空間而使得它能被用盡一切手段破解,那么在足夠長的密鑰中
使用的強大的運算法則仍然派不上用場 。在[RFC1750]中有針對產(chǎn)生隨機密鑰的技術建議 。
長期限的密鑰有獨特的敏銳性,它將會扮演一個更重要的角色,而且被攻擊時比短期限
的密鑰需要更長的時間 。強烈推薦長期限的密鑰必須通過間隙以獨立于網(wǎng)絡的掉線方式在最
小的高級別的可靠硬件上產(chǎn)生 。
3.公共/私有密鑰壽命
沒有永久性的密鑰 。使用中的密鑰時間越長,它由于疏忽,意外,偵測或密碼破譯而被
破解的可能性就越大 。此外,假如密鑰的變更幾乎沒有,就會存在一個很大的風險,當要改
變密鑰時,在場沒有人知道怎樣做,或是在密鑰變更程序中的操作問題已經(jīng)發(fā)展了 。
假如公共密鑰壽命是本地策略中的事件,這些考慮意味著,除非有非凡的情況,長期限
密鑰不應該有比4年更長的壽命 。實際上,對于長期限秘要的一個更合理的策略就是在預期
的13個月壽命中保持離機狀態(tài)并謹慎監(jiān)督,而且每一年必須替換 。對于在貿(mào)易安全或是同
類事物中使用的密鑰的最長壽命預期是在線的36天,它們每個月都要被更換或是更頻繁 。
在許多情況下,密鑰的壽命稍微超過一天可能更加合理 。
另一方面,壽命太短的公共密鑰可能會導致在重新標記數(shù)據(jù)和回收最新的消息方面造成
嚴重的資源消耗,因為緩存的信息變得很陳舊 。在Internet環(huán)境中,幾乎所有的公共密鑰
壽命都不得短于3分鐘,這是在非凡情況下最大信息包延時的合理估計 。
4.公共/私有密鑰長度的考慮
在DNS安全擴展中公共密鑰長度的選擇有一定的要素 。不幸的是,這些要素經(jīng)常不在同
一說明書中指出 。區(qū)域密鑰長度的選擇通常是由域治理員依靠本地的條件制定的 。
在大多數(shù)方案中,長的密鑰更安全但是速度更慢 。另外,長的密鑰增加了KEY和SIGRRs
的長度 。這就增加了DNSUDP包的溢出可能在響應中使用更高花費的TCP的可能 。
4.1RSA密鑰長度
給出一個小的公共典型,MD5/RSA運算法則中的確認(最普通的操作)將會被模長的平
方粗略地改變,標記會被模長的立方改變,而且密鑰的產(chǎn)生(最小的普通操作)將會被模長
的四次方所改變 。提取模的公因子常用的最好和打破RSA安全的運算法則是粗略地改變模本
身的1.6次方 。因此,從640bit的模到1280bit的模只通過4個要素增加了確認時間,但
是也可能增加了超過2^900的打破密鑰的工作要素 。
建議的最小RSA運算法則模的長度是704bit,在此時被創(chuàng)造者認為是安全可靠的 。但
在DNS樹中的高級別區(qū)域可能為了安全考慮,需要設置一個更大的最小長度,也許是

推薦閱讀