DNSSEC 배포에서 SHA-256을 합리적으로 사용할 수 있습니까?

10

내가 알고 RFC 5702 SHA-2 DNSSEC에서의 그 문서를 사용하는 RFC 6944 을 정의 RSA / SHA-256 "구현하는 것이 좋습니다."라고 어떤 난 하지 의 인식은 널리 구현 SHA-256 리졸버 검증에 얼마나 단지입니다.

.orgSHA-256을 사용하여 인터넷 영역 (특히 관심있는 영역) 에 서명하는 것이 실용적입니까 , 아니면 DNSSEC 인식 인터넷의 큰 영역에서 영역을 확인할 수 없습니까?

후속 조치로 동일한 일정 수준의 보안을 유지하기 위해 키 일정을 해시 변경으로 변경할 수 있습니까 (예 : 더 짧은 키 일정을 설정하여 SHA-1을 사용하여 문제를 해결할 수 있습니까)?

security  dnssec 
캘리 온
소스

답변:

8

루트 영역 (일명 .) 자체는 RSA / SHA256으로 서명됩니다 (ZSK는 물론 RSA / SHA256 임).

따라서 RSA / SHA256을 지원하지 않는 유효성 확인 분석기는 전체 체인을 확인할 수 없으므로 인터넷에서 대부분 쓸모가 없습니다.

RSA / SHA256이 지원된다고 가정하는 것이 안전하다고 생각합니다.

http://dnsviz.net/d/org/dnssec/org영역 까지 사용중인 키의 유용한 시각화를 제공 할 수 있습니다 .

하칸 린드 비스트
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.