RFC2845 日本語訳
2845 Secret Key Transaction Authentication for DNS (TSIG). P. Vixie,O. Gudmundsson, D. Eastlake 3rd, B. Wellington. May 2000. (Format: TXT=32272 bytes) (Updates RFC1035) (Updated by RFC3645) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group P. Vixie Request for Comments: 2845 ISC Category: Standards Track O. Gudmundsson Updates: 1035 NAI Labs D. Eastlake 3rd Motorola B. Wellington Nominum May 2000
Vixieがコメントのために要求するワーキンググループP.をネットワークでつないでください: 2845年のISCカテゴリ: 規格はO.グドムンソンアップデートを追跡します: 2000年の1035のNAI研究室D.イーストレークモトローラB.ウェリントンNominum5月3日
Secret Key Transaction Authentication for DNS (TSIG)
DNSのための秘密鍵トランザクション認証(TSIG)
Status of this Memo
このMemoの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(C)インターネット協会(2000)。 All rights reserved。
Abstract
要約
This protocol allows for transaction level authentication using shared secrets and one way hashing. It can be used to authenticate dynamic updates as coming from an approved client, or to authenticate responses as coming from an approved recursive name server.
このプロトコルは、共有秘密キーと一方通行の論じ尽くすことを使用することでトランザクションレベル認証を考慮します。 承認されたクライアントから来るとダイナミックなアップデートを認証するか、または承認された再帰的なネームサーバから来ると応答を認証するのにそれを使用できます。
No provision has been made here for distributing the shared secrets; it is expected that a network administrator will statically configure name servers and clients using some out of band mechanism such as sneaker-net until a secure automated mechanism for key distribution is available.
ここに共有秘密キーを分配するのに備えました。 ネットワーク管理者が主要な分配のための安全な自動化されたメカニズムが利用可能になるまでスニーカー・ネットなどのバンドメカニズムからいくつかを使用することで静的にネームサーバとクライアントを構成すると予想されます。
1 - Introduction
1--序論
1.1. The Domain Name System (DNS) [RFC1034, RFC1035] is a replicated hierarchical distributed database system that provides information fundamental to Internet operations, such as name <=> address translation and mail handling information. DNS has recently been extended [RFC2535] to provide for data origin authentication, and public key distribution, all based on public key cryptography and public key based digital signatures. To be practical, this form of
1.1. ドメインネームシステム(DNS)[RFC1034、RFC1035]はインターネット操作に基本的な情報を提供する模写された階層的な分散データベースシステムです、名前<=>アドレス変換やメール取り扱い情報のように。 DNSは最近データ発生源認証に備えるために広げられました、そして、[RFC2535]公開鍵分配、公開鍵暗号に基づくすべて、および公開鍵はデジタル署名を基礎づけました。 実用的に、なるように、これは形成されます。
Vixie, et al. Standards Track [Page 1] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[1ページ]。
security generally requires extensive local caching of keys and tracing of authentication through multiple keys and signatures to a pre-trusted locally configured key.
一般に、セキュリティはキーの大規模な地方のキャッシュと複数のキーと署名で認証をたどることをあらかじめ信じられた局所的に構成されたキーに必要とします。
1.2. One difficulty with the [RFC2535] scheme is that common DNS implementations include simple "stub" resolvers which do not have caches. Such resolvers typically rely on a caching DNS server on another host. It is impractical for these stub resolvers to perform general [RFC2535] authentication and they would naturally depend on their caching DNS server to perform such services for them. To do so securely requires secure communication of queries and responses. [RFC2535] provides public key transaction signatures to support this, but such signatures are very expensive computationally to generate. In general, these require the same complex public key logic that is impractical for stubs. This document specifies use of a message authentication code (MAC), specifically HMAC-MD5 (a keyed hash function), to provide an efficient means of point-to-point authentication and integrity checking for transactions.
1.2. [RFC2535]体系における1つの困難は一般的なDNS実装が純真な「スタッブ」レゾルバを含んでいるということです(キャッシュがありません)。 そのようなレゾルバは別のホストの上でキャッシュしているDNSサーバを通常当てにします。 これらのスタッブレゾルバが一般的な[RFC2535]認証を実行するのが、非実用的であり、彼らは自然にそれらのためにそのようなサービスを実行するためにDNSサーバをキャッシュするのによるでしょう。 それほどしっかりとするのは質問と応答の安全なコミュニケーションを必要とします。 [RFC2535]はこれをサポートするために公開鍵トランザクション署名を提供しますが、そのような署名は、計算上生成するために非常に高価です。 一般に、これらはスタッブに、非実用的なのと同じ複雑な公開鍵論理を必要とします。 このドキュメントは、二地点間認証と保全がトランザクションがないかどうかチェックする効率的な手段を提供するためにメッセージ確認コード(MAC)、明確にHMAC-MD5(合わせられたハッシュ関数)の使用を指定します。
1.3. A second area where use of straight [RFC2535] public key based mechanisms may be impractical is authenticating dynamic update [RFC2136] requests. [RFC2535] provides for request signatures but with [RFC2535] they, like transaction signatures, require computationally expensive public key cryptography and complex authentication logic. Secure Domain Name System Dynamic Update ([RFC2137]) describes how different keys are used in dynamically updated zones. This document's secret key based MACs can be used to authenticate DNS update requests as well as transaction responses, providing a lightweight alternative to the protocol described by [RFC2137].
1.3. まっすぐな[RFC2535]公開鍵に基づいているメカニズムの使用が非実用的であるかもしれない2番目の領域はダイナミックなアップデート[RFC2136]要求を認証しています。 [RFC2535]は要求署名に備えますが、トランザクション署名のように、[RFC2535]と共に彼らは計算上高価な公開鍵暗号と複雑な認証論理を必要とします。 安全なドメインネームシステムダイナミック・アップデート([RFC2137])は異なったキーがダイナミックにアップデートされたゾーンでどう使用されるかを説明します。 トランザクション応答と同様にDNS更新要求を認証するのにこのドキュメントの秘密の主要なベースのMACsを使用できます、[RFC2137]によって説明されたプロトコルへの軽量の代替手段を提供して。
1.4. A further use of this mechanism is to protect zone transfers. In this case the data covered would be the whole zone transfer including any glue records sent. The protocol described by [RFC2535] does not protect glue records and unsigned records unless SIG(0) (transaction signature) is used.
1.4. このメカニズムのさらなる使用はゾーン転送を保護することです。 この場合、どんな接着剤も含んだ全体のゾーン転送が記録であったならカバーされたデータは発信しました。 SIG(0)(トランザクション署名)が使用されていない場合、[RFC2535]によって説明されたプロトコルは接着剤記録と未署名の記録を保護しません。
1.5. The authentication mechanism proposed in this document uses shared secret keys to establish a trust relationship between two entities. Such keys must be protected in a fashion similar to private keys, lest a third party masquerade as one of the intended parties (forge MACs). There is an urgent need to provide simple and efficient authentication between clients and local servers and this proposal addresses that need. This proposal is unsuitable for general server to server authentication for servers which speak with many other servers, since key management would become unwieldy with
1.5. 本書では提案された認証機構は、2つの実体の間の信頼関係を証明するのに共有秘密キーキーを使用します。 秘密鍵と同様のファッションでそのようなキーを保護しなければなりません、意図のものとしての第三者仮面舞踏会がパーティーへ行くといけないので(MACsを鍛造してください)。 簡単で効率的な認証をクライアントとローカルサーバの間に提供する緊急の必要があります、そして、この提案はその必要性を扱います。 一般的なサーバに、この提案は他の多くのサーバと話すサーバのためのサーバ証明に不適当です、かぎ管理が扱いにくくなるでしょう、したがって
Vixie, et al. Standards Track [Page 2] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[2ページ]。
the number of shared keys going up quadratically. But it is suitable for many resolvers on hosts that only talk to a few recursive servers.
二次関数的に上がる共有されたキーの数。 しかし、それはいくつかの再帰的なサーバと話すだけであるホストの上の多くのレゾルバに適当です。
1.6. A server acting as an indirect caching resolver -- a "forwarder" in common usage -- might use transaction-based authentication when communicating with its small number of preconfigured "upstream" servers. Other uses of DNS secret key authentication and possible systems for automatic secret key distribution may be proposed in separate future documents.
1.6. 少ない番号のあらかじめ設定された「上流」のサーバとコミュニケートするとき、間接的なキャッシュしているレゾルバとして機能するサーバ(一般的な用法による「混載業者」)はトランザクションベースの認証を使用するかもしれません。 自動秘密鍵分配のDNS秘密鍵認証と可能なシステムの他の用途は別々の将来のドキュメントで提案されるかもしれません。
1.7. New Assigned Numbers
1.7. 新しい規定番号
RRTYPE = TSIG (250) ERROR = 0..15 (a DNS RCODE) ERROR = 16 (BADSIG) ERROR = 17 (BADKEY) ERROR = 18 (BADTIME)
RRTYPEはTSIG(250)誤り=0と等しいです。15(DNS RCODE)誤り=16(BADSIG)誤り=17(BADKEY)誤り=18(BADTIME)
1.8. The key words "MUST", "REQUIRED", "SHOULD", "RECOMMENDED", and "MAY" in this document are to be interpreted as described in [RFC 2119].
1.8. このドキュメントのキーワード「必要で」、“SHOULD"の、そして、「お勧め」の“MUST"、および「5月」は[RFC2119]で説明されるように解釈されることです。
2 - TSIG RR Format
2--TSIG RR形式
2.1 TSIG RR Type
2.1 TSIG RRはタイプします。
To provide secret key authentication, we use a new RR type whose mnemonic is TSIG and whose type code is 250. TSIG is a meta-RR and MUST not be cached. TSIG RRs are used for authentication between DNS entities that have established a shared secret key. TSIG RRs are dynamically computed to cover a particular DNS transaction and are not DNS RRs in the usual sense.
秘密鍵認証を提供するために、私たちはニーモニックがTSIGであり、タイプコードが250である新しいRRタイプを使用します。 TSIGはメタ-RRであり、キャッシュされてはいけません。 TSIG RRsは共有された秘密鍵を設立したDNS実体の間の認証に使用されます。 TSIG RRsは特定のDNSトランザクションをカバーするためにダイナミックに計算されて、普通の意味でDNS RRsではありません。
2.2 TSIG Calculation
2.2 TSIG計算
As the TSIG RRs are related to one DNS request/response, there is no value in storing or retransmitting them, thus the TSIG RR is discarded once it has been used to authenticate a DNS message. The only message digest algorithm specified in this document is "HMAC- MD5" (see [RFC1321], [RFC2104]). The "HMAC-MD5" algorithm is mandatory to implement for interoperability. Other algorithms can be specified at a later date. Names and definitions of new algorithms MUST be registered with IANA. All multi-octet integers in the TSIG record are sent in network byte order (see [RFC1035 2.3.2]).
TSIG RRsが1つのDNS要求/応答に関連するとき、彼らを保存するか、または再送するのにおいて値が全くありません、その結果、それがDNSメッセージを認証するのにいったん使用されると、TSIG RRは捨てられます。 本書では指定された唯一のメッセージダイジェストアルゴリズムが「HMAC MD5"([RFC2104]、[RFC1321]を見る)」です。 「HMAC-MD5"アルゴリズムは相互運用性のために実装するために義務的です。」 より後日、他のアルゴリズムを指定できます。 新しいアルゴリズムの名前と定義をIANAに登録しなければなりません。 ネットワークバイトオーダーでTSIG記録のすべてのマルチ八重奏整数を送る、(見る、[RFC1035、2.3、.2、)
Vixie, et al. Standards Track [Page 3] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[3ページ]。
2.3. Record Format
2.3. レコード形式
NAME The name of the key used in domain name syntax. The name should reflect the names of the hosts and uniquely identify the key among a set of keys these two hosts may share at any given time. If hosts A.site.example and B.example.net share a key, possibilities for the key name include <id>.A.site.example, <id>.B.example.net, and <id>.A.site.example.B.example.net. It should be possible for more than one key to be in simultaneous use among a set of interacting hosts. The name only needs to be meaningful to the communicating hosts but a meaningful mnemonic name as above is strongly recommended.
NAME、ドメイン名構文で使用されるキーの名前。 名前は、ホストの名前を反映して、これらの2人のホストがその時々で共有するかもしれないキーのセットの中で唯一キーを特定するべきです。 ホストのA.site.exampleとB.example.netがキーを共有するなら、主要な名前のための可能性は<イド>.A. site.example、<イド>.B. example.net、および<イド>.A. site.example.B. example.netを含んでいます。 1個以上のキーがホストに相互作用するセットの中で同時、使用中であるのは、可能であるべきです。 名前は、交信しているホストにとって重要である必要があるだけですが、上の重要な簡略名は強く推薦されます。
The name may be used as a local index to the key involved and it is recommended that it be globally unique. Where a key is just shared between two hosts, its name actually only need only be meaningful to them but it is recommended that the key name be mnemonic and incorporate the resolver and server host names in that order.
名前はローカルのインデックスとしてかかわったキーに使用されるかもしれません、そして、それがグローバルにユニークであることは、お勧めです。 キーが2人のホストの間で共有されている、彼らには、名前が実際に重要であるだけでよいのですが、主要な名前が簡略記憶であり、レゾルバとサーバホスト名をそれに取り入れるのが、ちょうどお勧めであるところでは、注文してください。
TYPE TSIG (250: Transaction SIGnature)
TSIGをタイプしてください。(250: トランザクション署名)
CLASS ANY
何でも属させてください。
TTL 0
TTL0
RdLen (variable)
RdLen(可変)です。
RDATA
RDATA
Field Name Data Type Notes -------------------------------------------------------------- Algorithm Name domain-name Name of the algorithm in domain name syntax. Time Signed u_int48_t seconds since 1-Jan-70 UTC. Fudge u_int16_t seconds of error permitted in Time Signed. MAC Size u_int16_t number of octets in MAC. MAC octet stream defined by Algorithm Name. Original ID u_int16_t original message ID Error u_int16_t expanded RCODE covering TSIG processing. Other Len u_int16_t length, in octets, of Other Data. Other Data octet stream empty unless Error == BADTIME
フィールド名データ型注意-------------------------------------------------------------- ドメイン名構文によるアルゴリズムのアルゴリズムNameドメイン名Name。 1970年1月1日UTC以来の時間Signed u_int48_t秒。 ファッジu_int16_t秒の誤りはTime Signedで可能にしました。 MACの八重奏のMAC Size u_int16_t番号。 Algorithm Nameによって定義されたMAC八重奏ストリーム。 オリジナルのIDのu_int16_tオリジナルのメッセージID Error u_int16_tは、TSIG処理をカバーしながら、RCODEを広げました。 Other Dataの八重奏における他のレンu_int16_tの長さ。 他のData八重奏ストリーム空である、Error=BADTIME
Vixie, et al. Standards Track [Page 4] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[4ページ]。
2.4. Example
2.4. 例
NAME HOST.EXAMPLE.
HOST.EXAMPLEを命名してください。
TYPE TSIG
TSIGをタイプしてください。
CLASS ANY
何でも属させてください。
TTL 0
TTL0
RdLen as appropriate
適切な同じくらいRdLen
RDATA
RDATA
Field Name Contents ------------------------------------- Algorithm Name SAMPLE-ALG.EXAMPLE. Time Signed 853804800 Fudge 300 MAC Size as appropriate MAC as appropriate Original ID as appropriate Error 0 (NOERROR) Other Len 0 Other Data empty
フィールド名コンテンツ------------------------------------- アルゴリズム名前サンプル-ALG.EXAMPLE。 適切なError0(NOERROR)他のレン0Other DataとしてOriginal IDを当てるとき適切なMACとしてのSigned853804800Fudge300MAC Sizeが空になる時
3 - Protocol Operation
3--プロトコル操作
3.1. Effects of adding TSIG to outgoing message
3.1. TSIGを送信されるメッセージに追加するという効果
Once the outgoing message has been constructed, the keyed message digest operation can be performed. The resulting message digest will then be stored in a TSIG which is appended to the additional data section (the ARCOUNT is incremented to reflect this). If the TSIG record cannot be added without causing the message to be truncated, the server MUST alter the response so that a TSIG can be included. This response consists of only the question and a TSIG record, and has the TC bit set and RCODE 0 (NOERROR). The client SHOULD at this point retry the request using TCP (per [RFC1035 4.2.2]).
送信されるメッセージがいったん構成されると、合わせられたメッセージダイジェスト操作を実行できます。 そして、結果として起こるメッセージダイジェストは追加資料課に追加されるTSIGに保存されるでしょう(ARCOUNTはこれを反映するために増加されます)。 先端を切るべきメッセージを引き起こさないでTSIG記録を加えることができないなら、サーバは、TSIGを含むことができるように応答を変更しなければなりません。 この応答は、質問とTSIG記録だけから成って、TCビットセットとRCODE0(NOERROR)を持っています。 クライアントSHOULDは、ここにTCP([RFC1035 4.2.2]あたりの)を使用することで要求を再試行します。
3.2. TSIG processing on incoming messages
3.2. 入力メッセージにおけるTSIG処理
If an incoming message contains a TSIG record, it MUST be the last record in the additional section. Multiple TSIG records are not allowed. If a TSIG record is present in any other position, the packet is dropped and a response with RCODE 1 (FORMERR) MUST be returned. Upon receipt of a message with a correctly placed TSIG RR, the TSIG RR is copied to a safe location, removed from the DNS
入力メッセージがTSIG記録を含んでいるなら、それは追加セクションで最後の記録であるに違いありません。 複数のTSIG記録は許されていません。 TSIG記録がいかなる他の位置にも存在しているなら、パケットを下げます、そして、RCODE1(FORMERR)との応答を返さなければなりません。 メッセージを受け取り次第、TSIG RRはDNSから取り除かれた安全な位置にコピーされます。
Vixie, et al. Standards Track [Page 5] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[5ページ]。
Message, and decremented out of the DNS message header's ARCOUNT. At this point the keyed message digest operation is performed. If the algorithm name or key name is unknown to the recipient, or if the message digests do not match, the whole DNS message MUST be discarded. If the message is a query, a response with RCODE 9 (NOTAUTH) MUST be sent back to the originator with TSIG ERROR 17 (BADKEY) or TSIG ERROR 16 (BADSIG). If no key is available to sign this message it MUST be sent unsigned (MAC size == 0 and empty MAC). A message to the system operations log SHOULD be generated, to warn the operations staff of a possible security incident in progress. Care should be taken to ensure that logging of this type of event does not open the system to a denial of service attack.
メッセージであって、DNSメッセージヘッダーのARCOUNTから減少しています。 ここに、合わせられたメッセージダイジェスト操作は実行されます。 受取人にとって、メッセージダイジェストが合っていないならアルゴリズム名か主要な名前が未知であるなら、全体のDNSメッセージを捨てなければなりません。 メッセージが質問であるなら、TSIG ERROR17(BADKEY)かTSIG ERROR16(BADSIG)の創始者にRCODE9(NOTAUTH)との応答を送り返さなければなりません。 どんなキーもこのメッセージに署名するために利用可能でないなら、未署名で(MACサイズ=0と空のMAC)それを送らなければなりません。 システム・オペレーションログSHOULDへのメッセージが生成されて、中で可能なセキュリティインシデントについて操作スタッフに警告するために、進歩をしてください。 このタイプのイベントの伐採がサービス不能攻撃にシステムを開けないのを保証するために注意するべきです。
3.3. Time values used in TSIG calculations
3.3. TSIG計算に使用される時間的価値
The data digested includes the two timer values in the TSIG header in order to defend against replay attacks. If this were not done, an attacker could replay old messages but update the "Time Signed" and "Fudge" fields to make the message look new. This data is named "TSIG Timers", and for the purpose of digest calculation they are invoked in their "on the wire" format, in the following order: first Time Signed, then Fudge. For example:
読みこなされたデータは、反射攻撃に対して防御するためにTSIGヘッダーの2つのタイマ値を含んでいます。 これをしないなら、攻撃者は、古いメッセージを再演しますが、メッセージを新しく見えさせるように「時間は署名し」て「ファッジ」分野をアップデートできるでしょうに。 このデータは「TSIGタイマ」と命名されます、そして、ダイジェスト計算の目的のために、それらは「ワイヤ」形式で呼び出されます、以下のオーダーで: 最初に、Time Signed、当時のFudge。 例えば:
Field Name Value Wire Format Meaning ---------------------------------------------------------------------- Time Signed 853804800 00 00 32 e4 07 00 Tue Jan 21 00:00:00 1997 Fudge 300 01 2C 5 minutes
フィールド名値のワイヤ形式意味---------------------------------------------------------------------- C5が書き留める時間Signed853804800 00 00 32e4 07 00 1997年1月21日火曜日0時0分0秒Fudge300 01 2
3.4. TSIG Variables and Coverage
3.4. TSIG変数と適用範囲
When generating or verifying the contents of a TSIG record, the following data are digested, in network byte order or wire format, as appropriate:
TSIG記録のコンテンツについて生成するか、または確かめるとき、以下のデータは読みこなされます、ネットワークバイトオーダーかワイヤ形式で、適宜:
3.4.1. DNS Message
3.4.1. DNSメッセージ
A whole and complete DNS message in wire format, before the TSIG RR has been added to the additional data section and before the DNS Message Header's ARCOUNT field has been incremented to contain the TSIG RR. If the message ID differs from the original message ID, the original message ID is substituted for the message ID. This could happen when forwarding a dynamic update request, for example.
ワイヤ形式における全体の、そして、完全なDNSメッセージ、TSIG RRは、以前、追加資料課に追加されて、DNS Message HeaderのARCOUNT分野の前にTSIG RRを含むように増加されたことがあります。 メッセージIDがオリジナルのメッセージIDと異なっているなら、オリジナルのメッセージIDをメッセージIDに代入します。 例えばダイナミックな更新要求を転送するとき、これは起こることができました。
Vixie, et al. Standards Track [Page 6] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[6ページ]。
3.4.2. TSIG Variables
3.4.2. TSIG変数
Source Field Name Notes ----------------------------------------------------------------------- TSIG RR NAME Key name, in canonical wire format TSIG RR CLASS (Always ANY in the current specification) TSIG RR TTL (Always 0 in the current specification) TSIG RDATA Algorithm Name in canonical wire format TSIG RDATA Time Signed in network byte order TSIG RDATA Fudge in network byte order TSIG RDATA Error in network byte order TSIG RDATA Other Len in network byte order TSIG RDATA Other Data exactly as transmitted
ソースフィールド名前注意----------------------------------------------------------------------- TSIG RR NAME Keyはちょうど伝えられるとしてネットワークバイトオーダーTSIG RDATA Other Dataで正準なワイヤ形式TSIG RR CLASS(いつも現在の仕様によるいずれも)TSIG RR TTLでネットワークバイトオーダーにおけるネットワークバイトオーダーTSIG RDATA ErrorのネットワークバイトオーダーTSIG RDATA Fudgeの正準なワイヤ形式TSIG RDATA Time Signedの(いつも現在の仕様による0)TSIG RDATA Algorithm NameをTSIG RDATA Otherレンと命名します。
The RR RDLEN and RDATA MAC Length are not included in the hash since they are not guaranteed to be knowable before the MAC is generated.
それらがMACが発生している前に知ることのできるように保証されないので、RR RDLENとRDATA MAC Lengthはハッシュに含まれていません。
The Original ID field is not included in this section, as it has already been substituted for the message ID in the DNS header and hashed.
Original ID分野はこのセクションに含まれていません、それが既にDNSヘッダーのメッセージIDに代入されて、論じ尽くされたとき。
For each label type, there must be a defined "Canonical wire format" that specifies how to express a label in an unambiguous way. For label type 00, this is defined in [RFC2535], for label type 01, this is defined in [RFC2673]. The use of label types other than 00 and 01 is not defined for this specification.
各ラベル形式のために、明白な方法でラベルを急送する方法を指定する定義された「正準なワイヤ形式」があるに違いありません。 ラベル形式00において、これはラベル形式01のために[RFC2535]で定義されて、[RFC2673]で定義されます。 00と01以外のラベル形式の使用はこの仕様のために定義されません。
3.4.3. Request MAC
3.4.3. MACを要求してください。
When generating the MAC to be included in a response, the request MAC must be included in the digest. The request's MAC is digested in wire format, including the following fields:
応答に含まれるようにMACを生成するとき、ダイジェストに要求MACを含まなければなりません。 要求のMACは以下の分野を含むワイヤ形式で読みこなされます:
Field Type Description --------------------------------------------------- MAC Length u_int16_t in network byte order MAC Data octet stream exactly as transmitted
フィールド・タイプ記述--------------------------------------------------- ちょうど伝えられるとしてのネットワークバイトオーダーMAC Data八重奏ストリームにおけるMAC Length u_int16_t
3.5. Padding
3.5. 詰め物
Digested components are fed into the hashing function as a continuous octet stream with no interfield padding.
interfieldが全くそっと歩いていなく、読みこなされたコンポーネントは連続した八重奏ストリームとして論じ尽くす機能に食べさせられます。
Vixie, et al. Standards Track [Page 7] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[7ページ]。
4 - Protocol Details
4--プロトコルの詳細
4.1. TSIG generation on requests
4.1. 要求におけるTSIG世代
Client performs the message digest operation and appends a TSIG record to the additional data section and transmits the request to the server. The client MUST store the message digest from the request while awaiting an answer. The digest components for a request are:
クライアントは、メッセージダイジェスト操作を実行して、TSIG記録を追加資料課に追加して、要求をサーバに伝えます。クライアントは返事を待っている間、要求からメッセージダイジェストを保存しなければなりません。 要求のためのダイジェストコンポーネントは以下の通りです。
DNS Message (request) TSIG Variables (request)
DNSメッセージ(要求する)TSIG変数(要求)
Note that some older name servers will not accept requests with a nonempty additional data section. Clients SHOULD only attempt signed transactions with servers who are known to support TSIG and share some secret key with the client -- so, this is not a problem in practice.
いくつかの、より古いネームサーバがnonemptyの追加資料課による要求を受け入れないことに注意してください。 クライアントとTSIGをサポートして、いくらかの秘密鍵を共有するのが知られていて、試みだけがそうするサーバでトランザクションに署名したクライアントSHOULD--それで、これは実際には問題ではありません。
4.2. TSIG on Answers
4.2. 答えでのTSIG
When a server has generated a response to a signed request, it signs the response using the same algorithm and key. The server MUST not generate a signed response to an unsigned request. The digest components are:
サーバが署名している要求への応答を生成したとき、それは応答が同じアルゴリズムを使用して、キーであると署名します。 サーバは未署名の要求への署名している応答を生成してはいけません。 ダイジェストコンポーネントは以下の通りです。
Request MAC DNS Message (response) TSIG Variables (response)
MAC DNSメッセージ(応答)TSIG変数を要求してください。(応答)
4.3. TSIG on TSIG Error returns
4.3. TSIG Errorの上のTSIGは戻ります。
When a server detects an error relating to the key or MAC, the server SHOULD send back an unsigned error message (MAC size == 0 and empty MAC). If an error is detected relating to the TSIG validity period, the server SHOULD send back a signed error message. The digest components are:
サーバがキーに関連する誤りかMACを検出するとき、サーバSHOULDは未署名のエラーメッセージ(MACサイズ=0と空のMAC)を返送します。 誤りがTSIG有効期間まで関係するのが検出されるなら、サーバSHOULDは署名しているエラーメッセージを返送します。 ダイジェストコンポーネントは以下の通りです。
Request MAC (if the request MAC validated) DNS Message (response) TSIG Variables (response)
MACを要求してください、(MACが有効にした要求) DNS Message(応答)TSIG Variablesです。(応答)
The reason that the request is not included in this digest in some cases is to make it possible for the client to verify the error. If the error is not a TSIG error the response MUST be generated as specified in [4.2].
要求がこのダイジェストに含まれていない理由はいくつかの場合、クライアントが誤りについて確かめるのを可能にすることです。 誤りがTSIG誤りでないなら、応答は[4.2]で指定されるように発生しているに違いありません。
Vixie, et al. Standards Track [Page 8] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[8ページ]。
4.4. TSIG on TCP connection
4.4. TCP接続でのTSIG
A DNS TCP session can include multiple DNS envelopes. This is, for example, commonly used by zone transfer. Using TSIG on such a connection can protect the connection from hijacking and provide data integrity. The TSIG MUST be included on the first and last DNS envelopes. It can be optionally placed on any intermediary envelopes. It is expensive to include it on every envelopes, but it MUST be placed on at least every 100'th envelope. The first envelope is processed as a standard answer, and subsequent messages have the following digest components:
DNS TCPセッションは複数のDNS封筒を含むことができます。 例えば、これはゾーン転送で一般的に使用されます。 そのような接続のときにTSIGを使用すると、ハイジャックから接続を保護して、データ保全を提供できます。 TSIG MUSTは1日に含まれていて、DNS封筒を持続します。 任意にどんな仲介者封筒にもそれを置くことができます。 それがそれを含むように高価である、あらゆる、少なくともあらゆる100'に封筒、しかし、それを置かなければならない、第封筒、' 最初の封筒は標準の答えとして処理されます、そして、その後のメッセージで、以下はコンポーネントを読みこなします:
Prior Digest (running) DNS Messages (any unsigned messages since the last TSIG) TSIG Timers (current message)
先のDigest(実行すること)のDNS Messages(最後のTSIG以来のどんな未署名のメッセージも)TSIG Timers(現在のメッセージ)
This allows the client to rapidly detect when the session has been altered; at which point it can close the connection and retry. If a client TSIG verification fails, the client MUST close the connection. If the client does not receive TSIG records frequently enough (as specified above) it SHOULD assume the connection has been hijacked and it SHOULD close the connection. The client SHOULD treat this the same way as they would any other interrupted transfer (although the exact behavior is not specified).
これで、クライアントは、セッションがいつ変更されたかを急速に検出できます。 それのポイントでは、それは、接続を終えて、再試行されることができます。 クライアントTSIG検証が失敗するなら、クライアントは接続を終えなければなりません。 クライアントが受信しないならTSIGが十分頻繁(上で指定されるとして)にそれを記録するのでSHOULDが、接続がハイジャックされたと仮定する、それ、SHOULDは接続を終えます。 クライアントSHOULDはいかなる他のもそうするように転送を中断した(正確な振舞いが指定されませんが)同じようにこれを扱います。
4.5. Server TSIG checks
4.5. サーバTSIGチェック
Upon receipt of a message, server will check if there is a TSIG RR. If one exists, the server is REQUIRED to return a TSIG RR in the response. The server MUST perform the following checks in the following order, check KEY, check TIME values, check MAC.
メッセージを受け取り次第、サーバは、TSIG RRがあるかどうかチェックするでしょう。 1つが存在しているなら、サーバは応答でTSIG RRを返すREQUIREDです。 サーバは以下のオーダーにおける以下のチェックを実行しなければならなくて、チェックKEY(チェックタイム誌値)はMACをチェックします。
4.5.1. KEY check and error handling
4.5.1. KEYチェックとエラー処理
If a non-forwarding server does not recognize the key used by the client, the server MUST generate an error response with RCODE 9 (NOTAUTH) and TSIG ERROR 17 (BADKEY). This response MUST be unsigned as specified in [4.3]. The server SHOULD log the error.
非推進サーバがクライアントによって使用されたキーを認識しないなら、サーバはRCODE9(NOTAUTH)とTSIG ERROR17(BADKEY)との誤り応答を生成しなければなりません。 この応答は[4.3]で指定されるように未署名であるに違いありません。 サーバSHOULDは誤りを登録します。
4.5.2. TIME check and error handling
4.5.2. タイム誌のチェックとエラー処理
If the server time is outside the time interval specified by the request (which is: Time Signed, plus/minus Fudge), the server MUST generate an error response with RCODE 9 (NOTAUTH) and TSIG ERROR 18 (BADTIME). The server SHOULD also cache the most recent time signed value in a message generated by a key, and SHOULD return BADTIME if a message received later has an earlier time signed value. A response indicating a BADTIME error MUST be signed by the same key as the
サーバ時間が要求(:時間Signed、プラス/マイナスしているFudgeである)で指定された時間間隔にあるなら、サーバはRCODE9(NOTAUTH)とTSIG ERROR18(BADTIME)との誤り応答を生成しなければなりません。 また、サーバSHOULDはキーによって生成されたメッセージの値であると署名される最新の時間をキャッシュします、そして、後で受け取られたメッセージで値であると以前の時間に署名するなら、SHOULDはBADTIMEを返します。 BADTIME誤りを示すのに同じキーに署名しなければならない応答
Vixie, et al. Standards Track [Page 9] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[9ページ]。
request. It MUST include the client's current time in the time signed field, the server's current time (a u_int48_t) in the other data field, and 6 in the other data length field. This is done so that the client can verify a message with a BADTIME error without the verification failing due to another BADTIME error. The data signed is specified in [4.3]. The server SHOULD log the error.
要求します。 それは分野であると署名される時間、もう片方のデータ・フィールドのサーバの現在の時間(u_int48_t)、およびもう片方のデータ長さの分野の6にクライアントの現在の時間を含まなければなりません。 クライアントが検証のないBADTIME誤りが別のBADTIME誤りのため失敗しているメッセージについて確かめることができるように、これをします。 署名されるデータは[4.3]で指定されます。 サーバSHOULDは誤りを登録します。
4.5.3. MAC check and error handling
4.5.3. MACチェックとエラー処理
If a TSIG fails to verify, the server MUST generate an error response as specified in [4.3] with RCODE 9 (NOTAUTH) and TSIG ERROR 16 (BADSIG). This response MUST be unsigned as specified in [4.3]. The server SHOULD log the error.
確かめるa TSIGやり損ない、サーバがそうしなければならないなら、RCODE9(NOTAUTH)とTSIG ERROR16(BADSIG)と共に[4.3]の指定されるとしての誤り応答を生成してください。 この応答は[4.3]で指定されるように未署名であるに違いありません。 サーバSHOULDは誤りを登録します。
4.6. Client processing of answer
4.6. 答えのクライアント処理
When a client receives a response from a server and expects to see a TSIG, it first checks if the TSIG RR is present in the response. Otherwise, the response is treated as having a format error and discarded. The client then extracts the TSIG, adjusts the ARCOUNT, and calculates the keyed digest in the same way as the server. If the TSIG does not validate, that response MUST be discarded, unless the RCODE is 9 (NOTAUTH), in which case the client SHOULD attempt to verify the response as if it were a TSIG Error response, as specified in [4.3]. A message containing an unsigned TSIG record or a TSIG record which fails verification SHOULD not be considered an acceptable response; the client SHOULD log an error and continue to wait for a signed response until the request times out.
クライアントが、サーバから応答を受けて、TSIGを見ると予想するとき、それは、最初に、TSIG RRが応答で存在しているかどうかチェックします。 さもなければ、応答は、形式誤りを持っているとして扱われて、捨てられます。 サーバと同様に、クライアントが次に、TSIGを抽出して、ARCOUNTを調整して、合わせられたダイジェストについて計算する、TSIGが有効にしない、その応答を捨てなければなりません、RCODEが9(NOTAUTH)、その場合、まるでそれがTSIG Error応答であるかのように応答について確かめるクライアントSHOULD試みでないなら、[4.3]で指定されるように。 未署名のTSIG記録かTSIGを含むメッセージは、どれが検証SHOULDに失敗するかを記録します。許容できる応答であることは考えられないでください。 クライアントSHOULDは、誤りを登録して、外で要求時間までの応答であると署名されたaを待ち続けています。
4.6.1. Key error handling
4.6.1. 主要なエラー処理
If an RCODE on a response is 9 (NOTAUTH), and the response TSIG validates, and the TSIG key is different from the key used on the request, then this is a KEY error. The client MAY retry the request using the key specified by the server. This should never occur, as a server MUST NOT sign a response with a different key than signed the request.
応答でのRCODEが9(NOTAUTH)と、TSIGが有効にする応答であり、TSIGキーが要求のときに使用されたキーと異なるなら、これはKEY誤りです。 サーバによって指定されたキーを使用して、クライアントは要求を再試行するかもしれません。これは決して起こるべきではありません、サーバが要求であると署名されるのと異なったキーで応答に署名してはいけないとき。
4.6.2. Time error handling
4.6.2. 時間エラー処理
If the response RCODE is 9 (NOTAUTH) and the TSIG ERROR is 18 (BADTIME), or the current time does not fall in the range specified in the TSIG record, then this is a TIME error. This is an indication that the client and server clocks are not synchronized. In this case the client SHOULD log the event. DNS resolvers MUST NOT adjust any clocks in the client based on BADTIME errors, but the server's time in the other data field SHOULD be logged.
応答RCODEが9歳(NOTAUTH)であり、TSIG ERRORが18歳(BADTIME)であるか現在の時間がTSIG記録で指定された範囲に下がらないなら、これはタイム誌誤りです。 これはクライアントとサーバ時計が連動しないという指示です。 この場合、クライアントSHOULDはイベントを登録します。 DNSレゾルバはBADTIME誤りに基づくクライアントのどんな時計も調整するのではなく、もう片方のデータ・フィールドSHOULDのサーバの時間を調整しなければなりません。登録されます。
Vixie, et al. Standards Track [Page 10] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[10ページ]。
4.6.3. MAC error handling
4.6.3. MACエラー処理
If the response RCODE is 9 (NOTAUTH) and TSIG ERROR is 16 (BADSIG), this is a MAC error, and client MAY retry the request with a new request ID but it would be better to try a different shared key if one is available. Client SHOULD keep track of how many MAC errors are associated with each key. Clients SHOULD log this event.
応答RCODEが9歳(NOTAUTH)であり、TSIG ERRORが16歳(BADSIG)であるなら、これはMAC誤りです、そして、クライアントは新しい要求IDとの要求を再試行するかもしれませんが、1つが利用可能であるなら、異なった共有されたキーを試すほうがよいでしょう。 クライアントSHOULDはいくつのMAC誤りが各キーに関連しているかに関する道を保ちます。 クライアントSHOULDはこのイベントを登録します。
4.7. Special considerations for forwarding servers
4.7. 推進サーバのための特別な問題
A server acting as a forwarding server of a DNS message SHOULD check for the existence of a TSIG record. If the name on the TSIG is not of a secret that the server shares with the originator the server MUST forward the message unchanged including the TSIG. If the name of the TSIG is of a key this server shares with the originator, it MUST process the TSIG. If the TSIG passes all checks, the forwarding server MUST, if possible, include a TSIG of his own, to the destination or the next forwarder. If no transaction security is available to the destination and the response has the AD flag (see [RFC2535]), the forwarder MUST unset the AD flag before adding the TSIG to the answer.
TSIG記録の存在のためのDNSメッセージSHOULDチェックの推進サーバとして機能するサーバ。 TSIGの上の名前が秘密でないなら、サーバが創始者と共有するTSIGを含んでいて、サーバは変わりがない状態でメッセージを転送しなければなりません。 TSIGという名前がこのサーバが創始者と共有するキーのものであるなら、それはTSIGを処理しなければなりません。 TSIGがすべてのチェックを通過するなら、できれば、推進サーバは彼自身のTSIGを含まなければなりません、目的地か次の混載業者に。 どんなトランザクションセキュリティも目的地に利用可能でなく、応答がAD旗を持っているなら([RFC2535]を見てください)、混載業者は答えにTSIGを加える前にADが旗を揚げさせるunsetを持たなければなりません。
5 - Shared Secrets
5--共有されたシークレット
5.1. Secret keys are very sensitive information and all available steps should be taken to protect them on every host on which they are stored. Generally such hosts need to be physically protected. If they are multi-user machines, great care should be taken that unprivileged users have no access to keying material. Resolvers often run unprivileged, which means all users of a host would be able to see whatever configuration data is used by the resolver.
5.1. 秘密鍵は非常に機密の情報です、そして、それらが保存されるすべてのホストの上にそれらを保護するためにすべての利用可能な方法を取るべきです。 一般にそのようなホストは、物理的に保護される必要があります。 それらがマルチユーザマシンであるなら、「非-特権を与え」させられたユーザが材料を合わせながらアクセスを全く持っていない高度の注意を取るべきです。 しばしば車で送られたレゾルバは「非-特権を与え」て、どれが、ホストのすべてのユーザがどういったコンフィギュレーション・データを見ることができることを意味するかレゾルバによって使用されます。
5.2. A name server usually runs privileged, which means its configuration data need not be visible to all users of the host. For this reason, a host that implements transaction-based authentication should probably be configured with a "stub resolver" and a local caching and forwarding name server. This presents a special problem for [RFC2136] which otherwise depends on clients to communicate only with a zone's authoritative name servers.
5.2. 通常、ネームサーバは稼働しています。特権があります、ホストのすべてのユーザにとって、コンフィギュレーション・データを意味するものは目に見える必要はありません。 この理由で、トランザクションベースの認証を実装するホストはたぶん「スタッブレゾルバ」、地方のキャッシュ、および推進ネームサーバによって構成されるべきです。これはそうでなければゾーンの正式のネームサーバだけで交信するためにクライアントに頼る[RFC2136]のために特別な問題を提示します。
5.3. Use of strong random shared secrets is essential to the security of TSIG. See [RFC1750] for a discussion of this issue. The secret should be at least as long as the keyed message digest, i.e. 16 bytes for HMAC-MD5 or 20 bytes for HMAC-SHA1.
5.3. 強い無作為の共有秘密キーの使用はTSIGのセキュリティに不可欠です。 この問題の議論に関して[RFC1750]を見てください。 秘密は合わせられたメッセージダイジェストと少なくとも同じくらい長いはずであり、すなわち、HMAC-MD5か20のための16バイトはHMAC-SHA1のためのバイトです。
Vixie, et al. Standards Track [Page 11] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[11ページ]。
6 - Security Considerations
6--セキュリティ問題
6.1. The approach specified here is computationally much less expensive than the signatures specified in [RFC2535]. As long as the shared secret key is not compromised, strong authentication is provided for the last hop from a local name server to the user resolver.
6.1. ここで指定されたアプローチは署名が[RFC2535]で指定したより計算上あまり高価ではありません。 共有された秘密鍵が感染されない限り、地方名サーバからユーザレゾルバまで強い認証を最後のホップに提供します。
6.2. Secret keys should be changed periodically. If the client host has been compromised, the server should suspend the use of all secrets known to that client. If possible, secrets should be stored in encrypted form. Secrets should never be transmitted in the clear over any network. This document does not address the issue on how to distribute secrets. Secrets should never be shared by more than two entities.
6.2. 定期的に秘密鍵を変えるべきです。 クライアントホストが感染されたなら、サーバはそのクライアントにとって知られているすべての秘密の使用を中断させるべきです。 できれば、秘密は暗号化されたフォームに保存されるべきです。 シークレットはどんなネットワークの上の明確で決して伝えられるべきではありません。 このドキュメントはどう秘密を分配するかに関する問題を扱いません。 シークレットは2つ以上の実体によって決して共有されるべきではありません。
6.3. This mechanism does not authenticate source data, only its transmission between two parties who share some secret. The original source data can come from a compromised zone master or can be corrupted during transit from an authentic zone master to some "caching forwarder." However, if the server is faithfully performing the full [RFC2535] security checks, then only security checked data will be available to the client.
6.3. このメカニズムは何らかの秘密を共有する2回のパーティーの間でソースデータ、トランスミッションだけを認証しません。 一次資料データは、「混載業者をキャッシュし」ながら、感染しているゾーンマスターから来ることができるか、または正統のゾーンマスターからいくつかまでのトランジットの間、崩壊できます。 しかしながら、サーバが完全な[RFC2535]セキュリティチェックを忠実に実行していると、セキュリティチェックのデータだけがクライアントにとって利用可能になるでしょう。
6.4. A fudge value that is too large may leave the server open to replay attacks. A fudge value that is too small may cause failures if machines are not time synchronized or there are unexpected network delays. The recommended value in most situation is 300 seconds.
6.4. 大き過ぎるファッジ値はサーバを反射攻撃に開かれているままにするかもしれません。 連動して、マシンが時間でない予期していなかったネットワーク遅延があれば、小さ過ぎるファッジ値は失敗を引き起こすかもしれません。 ほとんどの状況における推奨値は300秒です。
7 - IANA Considerations
7--IANA問題
IANA is expected to create and maintain a registry of algorithm names to be used as "Algorithm Names" as defined in Section 2.3. The initial value should be "HMAC-MD5.SIG-ALG.REG.INT". Algorithm names are text strings encoded using the syntax of a domain name. There is no structure required other than names for different algorithms must be unique when compared as DNS names, i.e., comparison is case insensitive. Note that the initial value mentioned above is not a domain name, and therefore need not be a registered name within the DNS. New algorithms are assigned using the IETF Consensus policy defined in RFC 2434. The algorithm name HMAC-MD5.SIG-ALG.REG.INT looks like a FQDN for historical reasons; future algorithm names are expected to be simple (i.e., single-component) names.
IANAはセクション2.3で定義される「アルゴリズム名」として使用されるためにアルゴリズム名の登録を作成して、維持すると予想されます。 初期の値は"HMAC-MD5.SIG-ALG.REG.INT"であるべきです。 アルゴリズム名はドメイン名の構文を使用することでコード化されたテキスト文字列です。 DNS名として比べると異なったアルゴリズムがユニークであるに違いないので名前を除いて、必要である構造が全くありません、すなわち、比較は大文字と小文字を区別しないです。 前記のように初期の値がドメイン名でなく、したがって、DNSの中の登録名である必要はないことに注意してください。 新しいアルゴリズムは、RFC2434で定義されたIETF Consensus方針を使用することで割り当てられます。 HMAC-MD5.SIG-ALG.REG.INTというアルゴリズム名は歴史的な理由でFQDNに似ています。 将来のアルゴリズム名は簡単な(すなわち、シングルコンポーネント)名前であると予想されます。
Vixie, et al. Standards Track [Page 12] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[12ページ]。
IANA is expected to create and maintain a registry of "TSIG Error values" to be used for "Error" values as defined in section 2.3. Initial values should be those defined in section 1.7. New TSIG error codes for the TSIG error field are assigned using the IETF Consensus policy defined in RFC 2434.
IANAは「誤り」値にセクション2.3で定義されるように使用されるために「TSIG Error値」の登録を作成して、維持すると予想されます。 初期の値はセクション1.7で定義されたものであるべきです。 TSIG誤り分野への新しいTSIGエラーコードは、RFC2434で定義されたIETF Consensus方針を使用することで割り当てられます。
8 - References
8--参照
[RFC1034] Mockapetris, P., "Domain Names - Concepts and Facilities", STD 13, RFC 1034, November 1987.
[RFC1034]Mockapetris、P.、「ドメイン名--、概念と施設、」、STD13、RFC1034、11月1987日
[RFC1035] Mockapetris, P., "Domain Names - Implementation and Specification", STD 13, RFC 1034, November 1987.
[RFC1035]Mockapetris、P.、「ドメイン名--、実装と仕様、」、STD13、RFC1034、11月1987日
[RFC1321] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
[RFC1321] Rivest、R.、「MD5メッセージダイジェストアルゴリズム」、RFC1321、1992年4月。
[RFC1750] Eastlake, D., Crocker, S. and J. Schiller, "Randomness Recommendations for Security", RFC 1750, December 1995.
[RFC1750] イーストレークとD.とクロッカーとS.とJ.シラー、「セキュリティのための偶発性推薦」、RFC1750、1995年12月。
[RFC2104] Krawczyk, H., Bellare, M. and R. Canetti, "HMAC-MD5: Keyed-MD5 for Message Authentication", RFC 2104, February 1997.
[RFC2104] Krawczyk、H.、Bellare、M.、およびR.カネッティ、「HMAC-MD5:」 「通報認証のための合わせられたMD5」、RFC2104、1997年2月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。
[RFC2136] Vixie, P., Thomson, S., Rekhter, Y. and J. Bound "Dynamic Updates in the Domain Name System", RFC 2136, April 1997.
[RFC2136] Vixie、P.、トムソン、S.、Rekhter、Y.、およびJ.は「ドメインネームシステムにおけるダイナミックなアップデート」を縛りました、RFC2136、1997年4月。
[RFC2137] Eastlake 3rd, D., "Secure Domain Name System Dynamic Update", RFC 2137, April 1997.
[RFC2137] 1997年4月のイーストレーク3番目、D.、「安全なドメインネームシステムダイナミック・アップデート」RFC2137。
[RFC2535] Eastlake, D., "Domain Name System Security Extensions", RFC 2535, March 1999.
[RFC2535] イーストレーク、D.、「ドメインネームシステムセキュリティ拡大」、RFC2535、1999年3月。
[RFC2673] Crawford, M., "Binary Labels in the Domain Name System", RFC 2673, August 1999.
[RFC2673] クロフォード、M.、「ドメインネームシステムにおける2進のラベル」、RFC2673、1999年8月。
Vixie, et al. Standards Track [Page 13] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[13ページ]。
9 - Authors' Addresses
9 --作者のアドレス
Paul Vixie Internet Software Consortium 950 Charter Street Redwood City, CA 94063
通りレッドウッドシティー、ポールVixieインターネットソフトウェア共同体950Charterカリフォルニア 94063
Phone: +1 650 779 7001 EMail: vixie@isc.org
以下に電話をしてください。 +1 7001年の650 779メール: vixie@isc.org
Olafur Gudmundsson NAI Labs 3060 Washington Road, Route 97 Glenwood, MD 21738
OlafurグドムンソンNAI研究室3060ワシントンRoad、グレンウッド、Route97MD 21738
Phone: +1 443 259 2389 EMail: ogud@tislabs.com
以下に電話をしてください。 +1 2389年の443 259メール: ogud@tislabs.com
Donald E. Eastlake 3rd Motorola 140 Forest Avenue Hudson, MA 01749 USA
ドナルドE.イーストレーク第3モトローラ140の森林Avenue MA01749ハドソン(米国)
Phone: +1 508 261 5434 EMail: dee3@torque.pothole.com
以下に電話をしてください。 +1 5434年の508 261メール: dee3@torque.pothole.com
Brian Wellington Nominum, Inc. 950 Charter Street Redwood City, CA 94063
通りレッドウッドシティー、ブライアンウェリントンNominum Inc.950Charterカリフォルニア 94063
Phone: +1 650 779 6022 EMail: Brian.Wellington@nominum.com
以下に電話をしてください。 +1 6022年の650 779メール: Brian.Wellington@nominum.com
Vixie, et al. Standards Track [Page 14] RFC 2845 DNS TSIG May 2000
Vixie、他 規格はDNS TSIG2000年5月にRFC2845を追跡します[14ページ]。
10 Full Copyright Statement
10 完全な著作権宣言文
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(C)インターネット協会(2000)。 All rights reserved。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上に承諾された限られた許容は、永久であり、インターネット協会、後継者または案配によって取り消されないでしょう。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Vixie, et al. Standards Track [Page 15]
Vixie、他 標準化過程[15ページ]
一覧
スポンサーリンク