Posso usar razoavelmente o SHA-256 em uma implantação do DNSSEC?

10

Eu sei que o RFC 5702 documenta o uso do SHA-2 no DNSSEC, e que A RFC 6944 define o RSA / SHA-256 como" recomendado para implementar ". O que eu estou não ciente é o quão amplamente implementado o SHA-256 está na validação de resolvedores.

É prático assinar zonas da Internet (com as quais estou particularmente interessado são .org domains) com SHA-256, ou estou tornando minha zona não-verificável para grandes áreas da Internet com reconhecimento de DNSSEC?

Como acompanhamento, os principais agendamentos podem mudar com uma alteração de hash para manter o mesmo nível de segurança (por exemplo, posso trabalhar usando o SHA-1 com agendamentos de chaves mais curtos)?

    
por Calrion 26.03.2014 / 08:38

1 resposta

7

A zona de raiz (também conhecida como . ) é assinada com RSA / SHA256 (o KSK e o ZSK são RSA / SHA256).

Assim, um resolvedor de validação que não suporte RSA / SHA256 será inútil na Internet, já que não seria capaz de validar toda a cadeia.

Acho que é seguro para você assumir que o RSA / SHA256 é suportado.

O

link pode fornecer uma visualização útil das chaves em uso até a org zone.

    
por 06.04.2014 / 22:36