未分類
23 10 月 2020

DNSEC 中 DNSKEY 记录的 Flags 字段中 BIT15 安全入口点的使用场景?

DNSEC 中 DNSKEY 记录的 Flags 字段中 BIT15 安全入口点的使用场景?

資深大佬 : tom82232 4

RFC4034 中 DNSEC 中 DNSKEY 记录的 flags 字段,有 2 个数据位

BIT7 值为 1 表示 ZONE 密钥,可用来数据签名验证。 值为 0 表示其他密钥,不可用来数据签名验证。 BIT15 为安全入口点。 [ RFC3757 ] 中对安全入口点有描述。

但是 BIT15 具体作用还是没整明白,有知道的大大能告诉一下使用场景吗?

大佬有話說 (5)

  • 資深大佬 : johnjiang85

    KSK 用来对常规记录进行签名校验
    ZSK 用来对 DNSKEY 记录进行签名校验

  • 資深大佬 : johnjiang85

    可以看下《 DNS 与 BIND 》,虽然书比较老,但是讲的比较清楚

  • 資深大佬 : tom82232

    @johnjiang85 谢谢。

    DNS 与 BIND (第五版):
    DNSKEY 记录中的 SEP 标志位指示软件确定哪个区域的 DNSKEY 记录对应着密钥签名密钥(也就是 SEP 标志设置的记录)。当我们生成主机的密钥对时,我们将要指定哪个时密钥签名密钥。

    就是说有了 SEP 标记的就是用来作用 KSK,但是没有 SEP 标记也可以用来做 KSK 吧。在 RFC4034 中没有明确指定 SEP 来区分 ZSK 和 KSK,好像只是使用的一个约定?其实也可以用其他的方式确定 ZSK 和 KSK,或者说只用一个 DNSKEY 。

    所以是否也可能存在不通软件对 SEP 的处理方式会有不同的现象。

  • 資深大佬 : johnjiang85

    @tom82232 不好意思,1 说反了,应该是
    ZSK 用来对常规记录进行签名校验,dig 显示标记值为 256 (只有一个 1 )
    KSK 只用来对 DNSKEY 记录进行签名校验,dig 显示标记值为 257 (两个 1 ),摘要信息 DS 提交到注册局,用于验证 ZSK

  • 資深大佬 : johnjiang85

    分成两个的作用吧,主要是 ZSK 签名记录的次数会很多,容易被破解,需要比较频繁的进行密钥更新,但是更新只需要在 DNS 解析商出轮转更新即可

    KSK 密钥轮转更新比较麻烦,需要重新生成 DS 摘要提交到注册局进行轮转更新,只用来签名 DNSKEY 记录的话,签名次数较少,就不需要频繁更新了