[要約] RFC 6725は、DNSSECのDNSKEYアルゴリズムのIANAレジストリの更新に関するものです。その目的は、DNSセキュリティの向上と、新しいアルゴリズムの追加や既存のアルゴリズムの削除を容易にすることです。

Internet Engineering Task Force (IETF)                           S. Rose
Request for Comments: 6725                                          NIST
Category: Standards Track                                    August 2012
ISSN: 2070-1721
        

DNS Security (DNSSEC) DNSKEY Algorithm IANA Registry Updates

DNSセキュリティ(DNSSEC)DNSKEYアルゴリズムIANAレジストリの更新

Abstract

概要

The DNS Security Extensions (DNSSEC) require the use of cryptographic algorithm suites for generating digital signatures over DNS data. The algorithms specified for use with DNSSEC are reflected in an IANA-maintained registry. This document presents a set of changes for some entries of the registry.

DNSセキュリティ拡張機能(DNSSEC)では、DNSデータを介してデジタル署名を生成するために、暗号アルゴリズムスイートを使用する必要があります。 DNSSECで使用するために指定されたアルゴリズムは、IANAが管理するレジストリに反映されます。このドキュメントでは、レジストリの一部のエントリに対する一連の変更について説明します。

Status of This Memo

本文書の状態

This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6725.

このドキュメントの現在のステータス、エラッタ、フィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc6725で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2012 IETF Trustおよびドキュメントの作成者として特定された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents

目次

   1. Introduction ....................................................2
   2. The DNS Security Algorithm Numbers Sub-Registry .................2
      2.1. Updates and Additions ......................................2
      2.2. DNS Security Algorithm Numbers Sub-Registry Table ..........3
   3. IANA Considerations .............................................4
   4. Security Considerations .........................................4
   5. Informative References ..........................................4
        
1. Introduction
1. はじめに

The Domain Name System (DNS) Security Extensions (DNSSEC, defined by [RFC4033], [RFC4034], [RFC4035], [RFC4509], [RFC5155], and [RFC5702]) use digital signatures over DNS data to provide source authentication and integrity protection. DNSSEC uses an IANA registry to list codes for digital signature algorithms (consisting of an asymmetric cryptographic algorithm and a one-way hash function).

ドメインネームシステム(DNS)セキュリティ拡張機能(DNSSEC、[RFC4033]、[RFC4034]、[RFC4035]、[RFC4509]、[RFC5155]、および[RFC5702]で定義)は、DNSデータでデジタル署名を使用してソース認証を提供し、整合性保護。 DNSSECはIANAレジストリを使用して、デジタル署名アルゴリズム(非対称暗号アルゴリズムと一方向ハッシュ関数で構成される)のコードをリストします。

This document updates a set of entries in the IANA registry titled "DNS Security (DNSSEC) Algorithm Numbers". These updated entries are given in Section 2.2 below. This list includes changes to selected entries originally set aside for future algorithm specification that did not occur. These three entries are changed to "Reserved" to avoid potential conflicts with older implementations. This document also brings the list of references for entries up to date.

このドキュメントは、「DNS Security(DNSSEC)Algorithm Numbers」というタイトルのIANAレジストリの一連のエントリを更新します。これらの更新されたエントリは、以下のセクション2.2に記載されています。このリストには、元々発生しなかった将来のアルゴリズム仕様のために取って置かれた、選択されたエントリーへの変更が含まれています。これらの3つのエントリは、古い実装との潜在的な競合を回避するために「予約済み」に変更されています。このドキュメントでは、エントリの参照リストも最新のものにしています。

There are auxiliary sub-registries related to the DNS Security (DNSSEC) Algorithm Numbers registry that deal with various Diffie-Hellman parameters used with DNSSEC. These registry tables are not altered by this document.

DNSSECで使用されるさまざまなDiffie-Hellmanパラメータを処理するDNS Security(DNSSEC)Algorithm Numbersレジストリに関連する補助サブレジストリがあります。これらのレジストリテーブルは、このドキュメントによって変更されていません。

2. The DNS Security Algorithm Numbers Sub-Registry
2. DNSセキュリティアルゴリズム番号サブレジストリ

The DNS Security Algorithm Numbers sub-registry (part of the Domain Name System Security (DNSSEC) Algorithm Numbers registry) contains a set of entries that contain errors. There are additional differences to entries that are described in Section 2.1, and the complete list of changed registry entries is in Section 2.2.

DNSセキュリティアルゴリズム番号サブレジストリ(ドメインネームシステムセキュリティ(DNSSEC)アルゴリズム番号レジストリの一部)には、エラーを含む一連のエントリが含まれています。セクション2.1で説明されているエントリには追加の違いがあり、変更されたレジストリエントリの完全なリストはセクション2.2にあります。

2.1. Updates and Additions
2.1. 更新と追加

This document updates three entries in the Domain Name System Security (DNSSEC) Algorithm Numbers registry:

このドキュメントは、ドメインネームシステムセキュリティ(DNSSEC)アルゴリズム番号レジストリの3つのエントリを更新します。

The description for assignment number 4 is changed to "Reserved".

割り当て番号4の​​説明が「予約済み」に変更されました。

The description for assignment number 9 is changed to "Reserved".

割り当て番号9の説明が「予約済み」に変更されました。

The description for assignment number 11 is changed to "Reserved".

割り当て番号11の説明が「予約済み」に変更されました。

The above entries are changed to "Reserved" because they were placeholders for algorithms that were not fully specified for use with DNSSEC. Older implementations may still have these algorithm codes assigned, so these codes are reserved to prevent potential incompatibilities.

上記のエントリは、DNSSECでの使用が完全に指定されていないアルゴリズムのプレースホルダーだったため、「予約済み」に変更されています。古い実装でもこれらのアルゴリズムコードが割り当てられている可能性があるため、これらのコードは非互換性の可能性を防ぐために予約されています。

2.2. DNS Security Algorithm Numbers Sub-Registry Table
2.2. DNSセキュリティアルゴリズム番号のサブレジストリテーブル

The list of DNS Security Algorithm Numbers sub-registry entry changes is given below. All other existing entries in the sub-registry table are unchanged by this document and are not shown. The other two sub-registries in the Domain Name System Security (DNSSEC) Algorithm Numbers registry (DNS KEY Record Diffie-Hellman Prime Lengths and DNS KEY Record Diffie-Hellman Well-Known Prime/Generator Pairs) are not changed in any way by this document.

DNSセキュリティアルゴリズム番号のサブレジストリエントリの変更のリストを以下に示します。サブレジストリテーブル内の他の既存のエントリはすべてこのドキュメントで変更されておらず、表示されていません。ドメインネームシステムセキュリティ(DNSSEC)アルゴリズム番号レジストリ内の他の2つのサブレジストリ(DNS KEYレコードDiffie-Hellman素数長さとDNS KEYレコードDiffie-Hellman既知の素数/ジェネレーターペア)は、これによって変更されません。資料。

                                          Zone     Trans.
    Number  Description       Mnemonic   Signing   Sec.       Reference
    ------  -----------       --------   -------   ---------  ---------
      0      Reserved                                         [RFC4034],
                                                              [RFC4398]
        

1 RSA/MD5 RSAMD5 N Y [RFC3110], (deprecated; [RFC4034] see 5)

1 RSA / MD5 RSAMD5 N Y [RFC3110](非推奨。[RFC4034] 5を参照)

4 Reserved [RFC6725]

4予約済み[RFC6725]

5 RSA/SHA-1 RSASHA1 Y Y [RFC3110], [RFC4034]

5 RSA / SHA-1 RSASHA1 AND AND [RFC3110]、[RFC4034]

9 Reserved [RFC6725]

9予約済み[RFC6725]

11 Reserved [RFC6725]

11予約済み[RFC6725]

15-122 Unassigned

15-122未割り当て

123-251 Reserved [RFC4034], [RFC6014]

123-251予約済み[RFC4034]、[RFC6014]

253 private PRIVATEDNS Y Y [RFC4034] algorithm

253プライベートPRIVATEDNS Y Y [RFC4034]アルゴリズム

254 private PRIVATEOID Y Y [RFC4034] algorithm OID

254プライベートPRIVATEOID Y Y [RFC4034]アルゴリズムOID

3. IANA Considerations
3. IANAに関する考慮事項

This document updates a set of DNS Security Algorithm Numbers sub-registry entries as given in Section 2.2. The changes include moving three registry entries to "Reserved" and updating the reference list for entries.

このドキュメントでは、セクション2.2に示すように、DNSセキュリティアルゴリズム番号のサブレジストリエントリのセットを更新します。変更には、3つのレジストリエントリを「予約済み」に移動し、エントリの参照リストを更新することが含まれます。

4. Security Considerations
4. セキュリティに関する考慮事項

This document updates the Domain Name System Security (DNSSEC) Algorithm Numbers registry. It is not meant to be a discussion on algorithm superiority. No new security considerations are raised in this document.

このドキュメントでは、ドメインネームシステムセキュリティ(DNSSEC)アルゴリズム番号レジストリを更新します。アルゴリズムの優位性についての説明を意図したものではありません。このドキュメントでは、セキュリティに関する新しい考慮事項はありません。

5. Informative References
5. 参考引用

[RFC3110] Eastlake, D., "RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System (DNS)", RFC 3110, May 2001.

[RFC3110]イーストレイク、D。、「ドメインネームシステム(DNS)のRSA / SHA-1 SIGとRSAキー」、RFC 3110、2001年5月。

[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.

[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの概要と要件」、RFC 4033、2005年3月。

[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.

[RFC4034] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNS Security Extensionsのリソースレコード」、RFC 4034、2005年3月。

[RFC4035] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.

[RFC4035] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張機能のプロトコル変更」、RFC 4035、2005年3月。

[RFC4398] Josefsson, S., "Storing Certificates in the Domain Name System (DNS)", RFC 4398, March 2006.

[RFC4398] Josefsson、S.、「証明書のドメインネームシステム(DNS)への保存」、RFC 4398、2006年3月。

[RFC4509] Hardaker, W., "Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)", RFC 4509, May 2006.

[RFC4509] Hardaker、W。、「DNSSEC委任署名者(DS)リソースレコード(RR)でのSHA-256の使用」、RFC 4509、2006年5月。

[RFC5155] Laurie, B., Sisson, G., Arends, R., and D. Blacka, "DNS Security (DNSSEC) Hashed Authenticated Denial of Existence", RFC 5155, March 2008.

[RFC5155] Laurie、B.、Sisson、G.、Arends、R。、およびD. Blacka、「DNS Security(DNSSEC)Hashed Authenticated Denial of Existence」、RFC 5155、2008年3月。

[RFC5702] Jansen, J., "Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC", RFC 5702, October 2009.

[RFC5702] Jansen、J。、「DNSKEYのRSAを使用したSHA-2アルゴリズムとDNSSECのRRSIGリソースレコードの使用」、RFC 5702、2009年10月。

[RFC6014] Hoffman, P., "Cryptographic Algorithm Identifier Allocation for DNSSEC", RFC 6014, November 2010.

[RFC6014] Hoffman、P。、「DNSSECの暗号化アルゴリズム識別子の割り当て」、RFC 6014、2010年11月。

Author's Address

著者のアドレス

Scott Rose NIST 100 Bureau Dr. Gaithersburg, MD 20899 USA

Scott Rose NIST 100 Bureau Dr. Gaithersburg、MD 20899 USA

   Phone: +1-301-975-8439
   EMail: scottr.nist@gmail.com