[要約] RFC 6725は、DNSSECのDNSKEYアルゴリズムのIANAレジストリの更新に関するものです。その目的は、DNSセキュリティの向上と、新しいアルゴリズムの追加や既存のアルゴリズムの削除を容易にすることです。
Internet Engineering Task Force (IETF) S. Rose
Request for Comments: 6725 NIST
Category: Standards Track August 2012
ISSN: 2070-1721
DNS Security (DNSSEC) DNSKEY Algorithm IANA Registry Updates
DNSセキュリティ(DNSSEC)DNSKEYアルゴリズムIANAレジストリの更新
Abstract
概要
The DNS Security Extensions (DNSSEC) require the use of cryptographic algorithm suites for generating digital signatures over DNS data. The algorithms specified for use with DNSSEC are reflected in an IANA-maintained registry. This document presents a set of changes for some entries of the registry.
DNSセキュリティ拡張機能(DNSSEC)では、DNSデータを介してデジタル署名を生成するために、暗号アルゴリズムスイートを使用する必要があります。 DNSSECで使用するために指定されたアルゴリズムは、IANAが管理するレジストリに反映されます。このドキュメントでは、レジストリの一部のエントリに対する一連の変更について説明します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6725.
このドキュメントの現在のステータス、エラッタ、フィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc6725で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2012 IETF Trustおよびドキュメントの作成者として特定された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction ....................................................2
2. The DNS Security Algorithm Numbers Sub-Registry .................2
2.1. Updates and Additions ......................................2
2.2. DNS Security Algorithm Numbers Sub-Registry Table ..........3
3. IANA Considerations .............................................4
4. Security Considerations .........................................4
5. Informative References ..........................................4
The Domain Name System (DNS) Security Extensions (DNSSEC, defined by [RFC4033], [RFC4034], [RFC4035], [RFC4509], [RFC5155], and [RFC5702]) use digital signatures over DNS data to provide source authentication and integrity protection. DNSSEC uses an IANA registry to list codes for digital signature algorithms (consisting of an asymmetric cryptographic algorithm and a one-way hash function).
ドメインネームシステム(DNS)セキュリティ拡張機能(DNSSEC、[RFC4033]、[RFC4034]、[RFC4035]、[RFC4509]、[RFC5155]、および[RFC5702]で定義)は、DNSデータでデジタル署名を使用してソース認証を提供し、整合性保護。 DNSSECはIANAレジストリを使用して、デジタル署名アルゴリズム(非対称暗号アルゴリズムと一方向ハッシュ関数で構成される)のコードをリストします。
This document updates a set of entries in the IANA registry titled "DNS Security (DNSSEC) Algorithm Numbers". These updated entries are given in Section 2.2 below. This list includes changes to selected entries originally set aside for future algorithm specification that did not occur. These three entries are changed to "Reserved" to avoid potential conflicts with older implementations. This document also brings the list of references for entries up to date.
このドキュメントは、「DNS Security(DNSSEC)Algorithm Numbers」というタイトルのIANAレジストリの一連のエントリを更新します。これらの更新されたエントリは、以下のセクション2.2に記載されています。このリストには、元々発生しなかった将来のアルゴリズム仕様のために取って置かれた、選択されたエントリーへの変更が含まれています。これらの3つのエントリは、古い実装との潜在的な競合を回避するために「予約済み」に変更されています。このドキュメントでは、エントリの参照リストも最新のものにしています。
There are auxiliary sub-registries related to the DNS Security (DNSSEC) Algorithm Numbers registry that deal with various Diffie-Hellman parameters used with DNSSEC. These registry tables are not altered by this document.
DNSSECで使用されるさまざまなDiffie-Hellmanパラメータを処理するDNS Security(DNSSEC)Algorithm Numbersレジストリに関連する補助サブレジストリがあります。これらのレジストリテーブルは、このドキュメントによって変更されていません。
The DNS Security Algorithm Numbers sub-registry (part of the Domain Name System Security (DNSSEC) Algorithm Numbers registry) contains a set of entries that contain errors. There are additional differences to entries that are described in Section 2.1, and the complete list of changed registry entries is in Section 2.2.
DNSセキュリティアルゴリズム番号サブレジストリ(ドメインネームシステムセキュリティ(DNSSEC)アルゴリズム番号レジストリの一部)には、エラーを含む一連のエントリが含まれています。セクション2.1で説明されているエントリには追加の違いがあり、変更されたレジストリエントリの完全なリストはセクション2.2にあります。
This document updates three entries in the Domain Name System Security (DNSSEC) Algorithm Numbers registry:
このドキュメントは、ドメインネームシステムセキュリティ(DNSSEC)アルゴリズム番号レジストリの3つのエントリを更新します。
The description for assignment number 4 is changed to "Reserved".
割り当て番号4の説明が「予約済み」に変更されました。
The description for assignment number 9 is changed to "Reserved".
割り当て番号9の説明が「予約済み」に変更されました。
The description for assignment number 11 is changed to "Reserved".
割り当て番号11の説明が「予約済み」に変更されました。
The above entries are changed to "Reserved" because they were placeholders for algorithms that were not fully specified for use with DNSSEC. Older implementations may still have these algorithm codes assigned, so these codes are reserved to prevent potential incompatibilities.
上記のエントリは、DNSSECでの使用が完全に指定されていないアルゴリズムのプレースホルダーだったため、「予約済み」に変更されています。古い実装でもこれらのアルゴリズムコードが割り当てられている可能性があるため、これらのコードは非互換性の可能性を防ぐために予約されています。
The list of DNS Security Algorithm Numbers sub-registry entry changes is given below. All other existing entries in the sub-registry table are unchanged by this document and are not shown. The other two sub-registries in the Domain Name System Security (DNSSEC) Algorithm Numbers registry (DNS KEY Record Diffie-Hellman Prime Lengths and DNS KEY Record Diffie-Hellman Well-Known Prime/Generator Pairs) are not changed in any way by this document.
DNSセキュリティアルゴリズム番号のサブレジストリエントリの変更のリストを以下に示します。サブレジストリテーブル内の他の既存のエントリはすべてこのドキュメントで変更されておらず、表示されていません。ドメインネームシステムセキュリティ(DNSSEC)アルゴリズム番号レジストリ内の他の2つのサブレジストリ(DNS KEYレコードDiffie-Hellman素数長さとDNS KEYレコードDiffie-Hellman既知の素数/ジェネレーターペア)は、これによって変更されません。資料。
Zone Trans.
Number Description Mnemonic Signing Sec. Reference
------ ----------- -------- ------- --------- ---------
0 Reserved [RFC4034],
[RFC4398]
1 RSA/MD5 RSAMD5 N Y [RFC3110], (deprecated; [RFC4034] see 5)
1 RSA / MD5 RSAMD5 N Y [RFC3110](非推奨。[RFC4034] 5を参照)
4 Reserved [RFC6725]
4予約済み[RFC6725]
5 RSA/SHA-1 RSASHA1 Y Y [RFC3110], [RFC4034]
5 RSA / SHA-1 RSASHA1 AND AND [RFC3110]、[RFC4034]
9 Reserved [RFC6725]
9予約済み[RFC6725]
11 Reserved [RFC6725]
11予約済み[RFC6725]
15-122 Unassigned
15-122未割り当て
123-251 Reserved [RFC4034], [RFC6014]
123-251予約済み[RFC4034]、[RFC6014]
253 private PRIVATEDNS Y Y [RFC4034] algorithm
253プライベートPRIVATEDNS Y Y [RFC4034]アルゴリズム
254 private PRIVATEOID Y Y [RFC4034] algorithm OID
254プライベートPRIVATEOID Y Y [RFC4034]アルゴリズムOID
This document updates a set of DNS Security Algorithm Numbers sub-registry entries as given in Section 2.2. The changes include moving three registry entries to "Reserved" and updating the reference list for entries.
このドキュメントでは、セクション2.2に示すように、DNSセキュリティアルゴリズム番号のサブレジストリエントリのセットを更新します。変更には、3つのレジストリエントリを「予約済み」に移動し、エントリの参照リストを更新することが含まれます。
This document updates the Domain Name System Security (DNSSEC) Algorithm Numbers registry. It is not meant to be a discussion on algorithm superiority. No new security considerations are raised in this document.
このドキュメントでは、ドメインネームシステムセキュリティ(DNSSEC)アルゴリズム番号レジストリを更新します。アルゴリズムの優位性についての説明を意図したものではありません。このドキュメントでは、セキュリティに関する新しい考慮事項はありません。
[RFC3110] Eastlake, D., "RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System (DNS)", RFC 3110, May 2001.
[RFC3110]イーストレイク、D。、「ドメインネームシステム(DNS)のRSA / SHA-1 SIGとRSAキー」、RFC 3110、2001年5月。
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, March 2005.
[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの概要と要件」、RFC 4033、2005年3月。
[RFC4034] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for the DNS Security Extensions", RFC 4034, March 2005.
[RFC4034] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNS Security Extensionsのリソースレコード」、RFC 4034、2005年3月。
[RFC4035] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, March 2005.
[RFC4035] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティ拡張機能のプロトコル変更」、RFC 4035、2005年3月。
[RFC4398] Josefsson, S., "Storing Certificates in the Domain Name System (DNS)", RFC 4398, March 2006.
[RFC4398] Josefsson、S.、「証明書のドメインネームシステム(DNS)への保存」、RFC 4398、2006年3月。
[RFC4509] Hardaker, W., "Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)", RFC 4509, May 2006.
[RFC4509] Hardaker、W。、「DNSSEC委任署名者(DS)リソースレコード(RR)でのSHA-256の使用」、RFC 4509、2006年5月。
[RFC5155] Laurie, B., Sisson, G., Arends, R., and D. Blacka, "DNS Security (DNSSEC) Hashed Authenticated Denial of Existence", RFC 5155, March 2008.
[RFC5155] Laurie、B.、Sisson、G.、Arends、R。、およびD. Blacka、「DNS Security(DNSSEC)Hashed Authenticated Denial of Existence」、RFC 5155、2008年3月。
[RFC5702] Jansen, J., "Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC", RFC 5702, October 2009.
[RFC5702] Jansen、J。、「DNSKEYのRSAを使用したSHA-2アルゴリズムとDNSSECのRRSIGリソースレコードの使用」、RFC 5702、2009年10月。
[RFC6014] Hoffman, P., "Cryptographic Algorithm Identifier Allocation for DNSSEC", RFC 6014, November 2010.
[RFC6014] Hoffman、P。、「DNSSECの暗号化アルゴリズム識別子の割り当て」、RFC 6014、2010年11月。
Author's Address
著者のアドレス
Scott Rose NIST 100 Bureau Dr. Gaithersburg, MD 20899 USA
Scott Rose NIST 100 Bureau Dr. Gaithersburg、MD 20899 USA
Phone: +1-301-975-8439
EMail: scottr.nist@gmail.com