RFC4034 中 DNSEC 中 DNSKEY 记录的 flags 字段,有 2 个数据位
BIT7 值为 1 表示 ZONE 密钥,可用来数据签名验证。 值为 0 表示其他密钥,不可用来数据签名验证。 BIT15 为安全入口点。 [ RFC3757 ] 中对安全入口点有描述。
但是 BIT15 具体作用还是没整明白,有知道的大大能告诉一下使用场景吗?
1
johnjiang85 2020-10-15 10:54:47 +08:00
KSK 用来对常规记录进行签名校验
ZSK 用来对 DNSKEY 记录进行签名校验 |
2
johnjiang85 2020-10-15 10:58:05 +08:00
可以看下《 DNS 与 BIND 》,虽然书比较老,但是讲的比较清楚
|
3
tom82232 OP @johnjiang85 谢谢。
DNS 与 BIND (第五版): DNSKEY 记录中的 SEP 标志位指示软件确定哪个区域的 DNSKEY 记录对应着密钥签名密钥(也就是 SEP 标志设置的记录)。当我们生成主机的密钥对时,我们将要指定哪个时密钥签名密钥。 就是说有了 SEP 标记的就是用来作用 KSK,但是没有 SEP 标记也可以用来做 KSK 吧。在 RFC4034 中没有明确指定 SEP 来区分 ZSK 和 KSK,好像只是使用的一个约定?其实也可以用其他的方式确定 ZSK 和 KSK,或者说只用一个 DNSKEY 。 所以是否也可能存在不通软件对 SEP 的处理方式会有不同的现象。 |
4
johnjiang85 2020-10-15 15:55:19 +08:00
@tom82232 不好意思,1 楼说反了,应该是
ZSK 用来对常规记录进行签名校验,dig 显示标记值为 256 (只有一个 1 ) KSK 只用来对 DNSKEY 记录进行签名校验,dig 显示标记值为 257 (两个 1 ),摘要信息 DS 提交到注册局,用于验证 ZSK |
5
johnjiang85 2020-10-15 16:03:42 +08:00
分成两个的作用吧,主要是 ZSK 签名记录的次数会很多,容易被破解,需要比较频繁的进行密钥更新,但是更新只需要在 DNS 解析商出轮转更新即可
KSK 密钥轮转更新比较麻烦,需要重新生成 DS 摘要提交到注册局进行轮转更新,只用来签名 DNSKEY 记录的话,签名次数较少,就不需要频繁更新了 |
6
tom82232 OP @johnjiang85 嗯,对于 ZSK 和 KSK 了解,我的疑惑是 256 是不是也可以用来做 KSK ( 257 不是必须的,是建议?),所以实际使用可以两个都是 256 (也可以都是 257 ),一个用来 KSK,一个用来 ZSK ;或者反过来 257 做 ZSK,256 做 KSK 。都是可以实现的。
|