V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tom82232
V2EX  ›  DNS

DNSEC 中 DNSKEY 记录的 Flags 字段中 BIT15 安全入口点的使用场景?

  •  
  •   tom82232 · 2020-10-15 09:46:54 +08:00 · 3341 次点击
    这是一个创建于 1505 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RFC4034 中 DNSEC 中 DNSKEY 记录的 flags 字段,有 2 个数据位

    BIT7 值为 1 表示 ZONE 密钥,可用来数据签名验证。 值为 0 表示其他密钥,不可用来数据签名验证。 BIT15 为安全入口点。 [ RFC3757 ] 中对安全入口点有描述。

    但是 BIT15 具体作用还是没整明白,有知道的大大能告诉一下使用场景吗?

    6 条回复    2020-10-19 09:48:47 +08:00
    johnjiang85
        1
    johnjiang85  
       2020-10-15 10:54:47 +08:00
    KSK 用来对常规记录进行签名校验
    ZSK 用来对 DNSKEY 记录进行签名校验
    johnjiang85
        2
    johnjiang85  
       2020-10-15 10:58:05 +08:00
    可以看下《 DNS 与 BIND 》,虽然书比较老,但是讲的比较清楚
    tom82232
        3
    tom82232  
    OP
       2020-10-15 14:54:21 +08:00
    @johnjiang85 谢谢。

    DNS 与 BIND (第五版):
    DNSKEY 记录中的 SEP 标志位指示软件确定哪个区域的 DNSKEY 记录对应着密钥签名密钥(也就是 SEP 标志设置的记录)。当我们生成主机的密钥对时,我们将要指定哪个时密钥签名密钥。

    就是说有了 SEP 标记的就是用来作用 KSK,但是没有 SEP 标记也可以用来做 KSK 吧。在 RFC4034 中没有明确指定 SEP 来区分 ZSK 和 KSK,好像只是使用的一个约定?其实也可以用其他的方式确定 ZSK 和 KSK,或者说只用一个 DNSKEY 。

    所以是否也可能存在不通软件对 SEP 的处理方式会有不同的现象。
    johnjiang85
        4
    johnjiang85  
       2020-10-15 15:55:19 +08:00
    @tom82232 不好意思,1 楼说反了,应该是
    ZSK 用来对常规记录进行签名校验,dig 显示标记值为 256 (只有一个 1 )
    KSK 只用来对 DNSKEY 记录进行签名校验,dig 显示标记值为 257 (两个 1 ),摘要信息 DS 提交到注册局,用于验证 ZSK
    johnjiang85
        5
    johnjiang85  
       2020-10-15 16:03:42 +08:00
    分成两个的作用吧,主要是 ZSK 签名记录的次数会很多,容易被破解,需要比较频繁的进行密钥更新,但是更新只需要在 DNS 解析商出轮转更新即可

    KSK 密钥轮转更新比较麻烦,需要重新生成 DS 摘要提交到注册局进行轮转更新,只用来签名 DNSKEY 记录的话,签名次数较少,就不需要频繁更新了
    tom82232
        6
    tom82232  
    OP
       2020-10-19 09:48:47 +08:00
    @johnjiang85 嗯,对于 ZSK 和 KSK 了解,我的疑惑是 256 是不是也可以用来做 KSK ( 257 不是必须的,是建议?),所以实际使用可以两个都是 256 (也可以都是 257 ),一个用来 KSK,一个用来 ZSK ;或者反过来 257 做 ZSK,256 做 KSK 。都是可以实现的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5005 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 09:49 · PVG 17:49 · LAX 01:49 · JFK 04:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.