1000bit 。(自从UnitedStatesNationalSecurityAgency答应使用高于512bitRSA模的
编密码系统的输出,使用小的模数,i.e.n,必须认为是不可靠的 。)
只用于安全数据而不对于其它安全密钥的RSA密钥,704bit在此时显得更合适 。
4.2DSS密钥长度
DSS密钥在相同的长度下可能与RSA密钥有相同的安全性,但是DSS运算法制更小 。
5.私有密钥存储
建议那里可能的话,区域私有密钥和区域原版拷贝文件必须只在脱机,无网络连接,本
身绝对可靠的机器上保留和使用 。周期性的,一个应用程序可以通过对分区/运算法则增加
SIG与NXTRRs并增加无密钥类型的KEYRR用来增强验证,在这些地方带有这种运算法则
的分区的确切的KEYRR并不被提供 。那样扩展文件就能被传输,也许通过暗网,到达初级
服务机的网络区域 。
这个想法对于网络来说是避免来自网络的损害的一种信息流 。在网络上在线保留区域原
版文件并简单地通过立宪的签名人回收并不像以上所说的那样 。假如主机借居的环境是是危
险的话,这种再现的译本仍然会被损害 。为了最大的安全考虑,区域的原版拷贝文件应该离
线并不应该在基于以通信为媒介的不可靠网络上被升级 。
区域的动态安全更新是不可能的[RFC2137] 。在这种情况下,私有密钥的更新SOA和
NXT系列至少必须是在线的 。
安全问题的解决者必须用一些可信的在线公共密钥信息(或是对解决者来说的一个安全
路径)来完成配置,否则他们不能进行鉴别 。尽管在线,这种公共密钥信息必须被保护,否
则它就能被改变,以致骗取DNS数据成为可信的 。
无区域私有密钥,例如主机或者用户的密钥,一般必须保持在线,用于像DNS事务安全
方面的实际目的 。
6.高级别区域,根区域和Meta-Root密钥
高级别区域通常比的级别区域更敏感 。任何控制或是破坏一个区域安全的人能获取它的
子域的所有权力(除非解决问题的人在本地配置了子域的公共密钥) 。因此,对于高级别区
域必须非凡地小心并使用强大的密钥 。
根区域是所有区域中最危急的 。某个控制或危机根区域安全的人将控制使用根区域的所
有用户的完全DNS名称空间(除非解决问题的人在本地配置了子域的公共密钥) 。因此,根
区域必须尽最大可能的小心 。必须使用最强大和最小心的密钥 。根区域私有密钥应该一直处
于离线状态 。
许多问题的解决者将会在原服务器开始使用和验证DNS数据 。全世界庞大的问题解决人
员的安全升级将会变得相当的困难 。尽管在上面第3节的指导政策暗示根区域密钥一年改变
一次或是更频繁,假如它在所有问题解决这种实行静态配置,它将会在改变的时候被更新 。
答应根区域密钥的相关频繁改变使得DNS树的最终密钥的暴露减为最小,将会有一个使
用很少的“meta-root”密钥,只用来标记带有重叠时间有效性的滚动周期的常规根密钥RR
的次序 。根区域包含meta-root和通用常规的根KEYRR(s),在meta-root和其它根私有密
钥自身下被SIGRRs标记 。
在存储和使用meta-root密钥中使用尽可能强的安全机制是很有必要的 。用于防范的精
确技术的使用不在这篇文章的讨论范围 。由于它的非凡地位,它也许最好是由对于扩展时段,
例如5到10年,的相同meta-root密钥来延续 。
7.安全考虑
整篇文章是出于公共/私有密钥这一对DNS安全性的可操作考虑的 。
参考书目
[RFC1034]Mockapetris,P.,"DomainNames-Conceptsand
推荐阅读
- Photoshop排版一寸照片具体操作流程
- wps中替换字体具体操作方法
- 魅族16s怎么添加安全扫码
- iPhone远程格式化详细操作
- 使用Axure RP 8设计弹窗交互模型具体操作步骤
- A615摇动换壁纸操作简要
- 抖音中随拍设置好友可见具体操作方法
- 在网易云音乐里查看歌词操作流程
- 如何判断安全玻璃
- 如何连接公司的打印机