RFC4025 日本語訳
4025 A Method for Storing IPsec Keying Material in DNS. M. Richardson. March 2005. (Format: TXT=25408 bytes) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group M. Richardson Request for Comments: 4025 SSW Category: Standards Track February 2005
コメントを求めるワーキンググループM.リチャードソンの要求をネットワークでつないでください: 4025年のSSWカテゴリ: 標準化過程2005年2月
A Method for Storing IPsec Keying Material in DNS
DNSで材料を合わせるIPsecを保存するためのメソッド
Status of This Memo
このメモの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2005).
Copyright(C)インターネット協会(2005)。
Abstract
要約
This document describes a new resource record for the Domain Name System (DNS). This record may be used to store public keys for use in IP security (IPsec) systems. The record also includes provisions for indicating what system should be contacted when an IPsec tunnel is established with the entity in question.
このドキュメントはドメインネームシステム(DNS)のための新しいリソース記録について説明します。 この記録は、IPセキュリティ(IPsec)システムにおける使用のために公開鍵を保存するのに使用されるかもしれません。また、記録は実体がはっきりしていなくIPsecトンネルが確立されるとき、どんなシステムが連絡されるべきであるかを示すための条項を含んでいます。
This record replaces the functionality of the sub-type #4 of the KEY Resource Record, which has been obsoleted by RFC 3445.
この記録はRFC3445によって時代遅れにされたKEY Resource Recordのサブタイプ#4の機能性を置き換えます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Overview . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2. Use of DNS Address-to-Name Maps (IN-ADDR.ARPA and
IP6.ARPA) . . . . . . . . . . . . . . . . . . . . . . . 3
1.3. Usage Criteria . . . . . . . . . . . . . . . . . . . . . 3
2. Storage Formats . . . . . . . . . . . . . . . . . . . . . . . 3
2.1. IPSECKEY RDATA Format . . . . . . . . . . . . . . . . . 3
2.2. RDATA Format - Precedence . . . . . . . . . . . . . . . 4
2.3. RDATA Format - Gateway Type . . . . . . . . . . . . . . 4
2.4. RDATA Format - Algorithm Type . . . . . . . . . . . . . 4
2.5. RDATA Format - Gateway . . . . . . . . . . . . . . . . . 5
2.6. RDATA Format - Public Keys . . . . . . . . . . . . . . . 5
3. Presentation Formats . . . . . . . . . . . . . . . . . . . . . 6
3.1. Representation of IPSECKEY RRs . . . . . . . . . . . . . 6
3.2. Examples . . . . . . . . . . . . . . . . . . . . . . . . 6
4. Security Considerations . . . . . . . . . . . . . . . . . . . 7
1. 序論. . . . . . . . . . . . . . . . . . . . . . . . . 2 1.1。 概要. . . . . . . . . . . . . . . . . . . . . . . . 2 1.2。 DNSの使用は、地図(IN-ADDR.ARPAとIP6.ARPA)が.31.3であると名前に扱います。 用法評価基準. . . . . . . . . . . . . . . . . . . . . 3 2。 ストレージは.32.1をフォーマットします。 IPSECKEY RDATAは.32.2をフォーマットします。 RDATA形式--先行. . . . . . . . . . . . . . . 4 2.3。 RDATA形式--ゲートウェイタイプ. . . . . . . . . . . . . . 4 2.4。 RDATA形式--アルゴリズムタイプ. . . . . . . . . . . . . 4 2.5。 RDATA形式--ゲートウェイ. . . . . . . . . . . . . . . . . 5 2.6。 RDATA形式--公開鍵. . . . . . . . . . . . . . . 5 3。 プレゼンテーションは.63.1をフォーマットします。 IPSECKEY RRs. . . . . . . . . . . . . 6 3.2の表現。 例. . . . . . . . . . . . . . . . . . . . . . . . 6 4。 セキュリティ問題. . . . . . . . . . . . . . . . . . . 7
Richardson Standards Track [Page 1] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[1ページ]RFC4025
4.1. Active Attacks Against Unsecured IPSECKEY Resource
Records . . . . . . . . . . . . . . . . . . . . . . . . 8
4.1.1. Active Attacks Against IPSECKEY Keying
Materials. . . . . . . . . . . . . . . . . . . . 8
4.1.2. Active Attacks Against IPSECKEY Gateway
Material. . . . . . . . . . . . . . . . . . . . 8
5. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 9
6. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 10
7. References . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.1. Normative References . . . . . . . . . . . . . . . . . . 10
7.2. Informative References . . . . . . . . . . . . . . . . . 10
Author's Address . . . . . . . . . . . . . . . . . . . . . . . . . 11
Full Copyright Statement . . . . . . . . . . . . . . . . . . . . . 12
4.1. Unsecured IPSECKEYリソース記録. . . . . . . . . . . . . . . . . . . . . . . . 8 4.1.1に対する活発な攻撃。 材料を合わせるIPSECKEYに対する活発な攻撃。 . . . . . . . . . . . . . . . . . . . 8 4.1.2. IPSECKEYゲートウェイの材料に対する活発な攻撃。 . . . . . . . . . . . . . . . . . . . 8 5. IANA問題. . . . . . . . . . . . . . . . . . . . . 9 6。 承認. . . . . . . . . . . . . . . . . . . . . . . 10 7。 参照. . . . . . . . . . . . . . . . . . . . . . . . . . 10 7.1。 引用規格. . . . . . . . . . . . . . . . . . 10 7.2。 有益な参照. . . . . . . . . . . . . . . . . 10作者のアドレスの.11の完全な著作権宣言文. . . . . . . . . . . . . . . . . . . . . 12
1. Introduction
1. 序論
Suppose a host wishes (or is required by policy) to establish an IPsec tunnel with some remote entity on the network prior to allowing normal communication to take place. In many cases, this end system will be able to determine the DNS name for the remote entity (either by having the DNS name given explicitly, by performing a DNS PTR query for a particular IP address, or through some other means, e.g., by extracting the DNS portion of a "user@FQDN" name for a remote entity). In these cases, the host will need to obtain a public key to authenticate the remote entity, and may also need some guidance about whether it should contact the entity directly or use another node as a gateway to the target entity. The IPSECKEY RR provides a mechanism for storing such information.
何らかのリモート実体がネットワークにある状態でホストが正常なコミュニケーションが行われるのを許容する前にIPsecトンネルを確立したがっている(または、方針が必要である)と仮定してください。 多くの場合、このエンドシステムはリモート実体(どちらか特定のIPアドレスか、ある他の手段を通してDNS PTR質問を実行することによってDNS名を明らかに与えさせる例えば、リモート実体のために" user@FQDN "名のDNS部分を抽出するのによる)のためにDNS名を決定できるでしょう。 ケース..ホスト..必要..得る..公開鍵..認証..リモート..実体..また..必要..指導..連絡..実体..直接..使用..ノード..ゲートウェイ..目標..実体 IPSECKEY RRはそのような情報を保存するのにメカニズムを提供します。
The type number for the IPSECKEY RR is 45.
IPSECKEY RRの形式数は45です。
This record replaces the functionality of the sub-type #4 of the KEY Resource Record, which has been obsoleted by RFC 3445 [11].
この記録はRFC3445[11]によって時代遅れにされたKEY Resource Recordのサブタイプ#4の機能性を置き換えます。
1.1. Overview
1.1. 概要
The IPSECKEY resource record (RR) is used to publish a public key that is to be associated with a Domain Name System (DNS) [1] name for use with the IPsec protocol suite. This can be the public key of a host, network, or application (in the case of per-port keying).
IPSECKEYリソース記録(RR)は、IPsecプロトコル群で使用のためのドメインネームシステム(DNS)[1]名に関連させていることになっている公開鍵を発行するのに使用されます。 これはホスト、ネットワーク、またはアプリケーション(1ポートあたり合わせることの場合における)の公開鍵であるかもしれません。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [3].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTはRFC2119[3]で説明されるように本書では解釈されることであるべきですか?
Richardson Standards Track [Page 2] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[2ページ]RFC4025
1.2. Use of DNS Address-to-Name Maps (IN-ADDR.ARPA and IP6.ARPA)
1.2. DNS命名するアドレス地図の使用(IN-ADDR.ARPAとIP6.ARPA)
Often a security gateway will only have access to the IP address of the node with which communication is desired and will not know any other name for the target node. Because of this, frequently the best way of looking up IPSECKEY RRs will be by using the IP address as an index into one of the reverse mapping trees (IN-ADDR.ARPA for IPv4 or IP6.ARPA for IPv6).
しばしば、セキュリティゲートウェイはコミュニケーションが望まれているノードのIPアドレスに近づく手段を持つだけでしょう、そして、目標ノードでいかなる他の名前も知らないでしょう。 これのために、頻繁のIPSECKEY RRsを見上げる最も良い方法はインデックスとして木(IPv4のためのIN-ADDR.ARPAかIPv6のためのIP6.ARPA)を写像する逆の1つにIPアドレスを使用することでしょう。
The lookup is done in the fashion usual for PTR records. The IP address' octets (IPv4) or nibbles (IPv6) are reversed and looked up with the appropriate suffix. Any CNAMEs or DNAMEs found MUST be followed.
PTR記録に、普通のファッションでルックアップをします。 IPアドレスの八重奏(IPv4)か少量(IPv6)が、適切な接尾語で逆にされて、見上げられます。 見つけられたどんなCNAMEsやDNAMEsにも続かなければなりません。
Note: even when the IPsec function is contained in the end-host, often only the application will know the forward name used. Although the case where the application knows the forward name is common, the user could easily have typed in a literal IP address. This storage mechanism does not preclude using the forward name when it is available but does not require it.
以下に注意してください。 IPsec機能が終わりホストに含まれるときさえ、しばしば、アプリケーションだけが使用という前進の名前を知るでしょう。 アプリケーションが前進の名前を知っているケースは一般的ですが、ユーザは容易に文字通りのIPアドレスをタイプしたかもしれません。 このストレージメカニズムは、それが利用可能であるときに、前進の名前を使用するのを排除しませんが、それを必要としません。
1.3. Usage Criteria
1.3. 用法評価基準
An IPSECKEY resource record SHOULD be used in combination with DNSSEC [8] unless some other means of authenticating the IPSECKEY resource record is available.
IPSECKEYリソースはSHOULDを記録します。DNSSECと組み合わせて、[8] IPSECKEYリソース記録を認証するある他の手段が利用可能でない場合、使用されてください。
It is expected that there will often be multiple IPSECKEY resource records at the same name. This will be due to the presence of multiple gateways and a need to roll over keys.
同じ名前には複数のIPSECKEYリソース記録がしばしばあると予想されます。 これは複数のゲートウェイの存在とキーをひっくり返らせる必要性のためでしょう。
This resource record is class independent.
このリソース記録はクラスの独立者です。
2. Storage Formats
2. ストレージ形式
2.1. IPSECKEY RDATA Format
2.1. IPSECKEY RDATA形式
The RDATA for an IPSECKEY RR consists of a precedence value, a gateway type, a public key, algorithm type, and an optional gateway address.
IPSECKEY RRのためのRDATAは先行値、ゲートウェイタイプ、公開鍵、アルゴリズムタイプ、および任意のゲートウェイアドレスから成ります。
Richardson Standards Track [Page 3] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[3ページ]RFC4025
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| precedence | gateway type | algorithm | gateway |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-------------+ +
~ gateway ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| /
/ public key /
/ /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 先行| ゲートウェイタイプ| アルゴリズム| ゲートウェイ| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-------------+ + ~ゲートウェイ~+++++++++++++++++++++++++++++++++| //公開鍵///++++++++++++++++++++++++++++++++、-|
2.2. RDATA Format - Precedence
2.2. RDATA形式--先行
This is an 8-bit precedence for this record. It is interpreted in the same way as the PREFERENCE field described in section 3.3.9 of RFC 1035 [2].
これはこの記録のための8ビットの先行です。 同様に、PREFERENCE分野が.9セクション3.3RFC1035[2]で説明したようにそれは解釈されます。
Gateways listed in IPSECKEY records with lower precedence are to be attempted first. Where there is a tie in precedence, the order should be non-deterministic.
IPSECKEY記録に下側の先行で記載されたゲートウェイは最初に、試みられることになっています。 抱き合わせの先行があるところでは、オーダーは非決定論的であるべきです。
2.3. RDATA Format - Gateway Type
2.3. RDATA形式--ゲートウェイタイプ
The gateway type field indicates the format of the information that is stored in the gateway field.
ゲートウェイタイプ分野はゲートウェイ分野に保存される情報の書式を示します。
The following values are defined:
0 No gateway is present.
1 A 4-byte IPv4 address is present.
2 A 16-byte IPv6 address is present.
3 A wire-encoded domain name is present. The wire-encoded format is
self-describing, so the length is implicit. The domain name MUST
NOT be compressed. (See Section 3.3 of RFC 1035 [2].)
以下の値は定義されます: 0 どんなゲートウェイも存在していません。 1 4バイトのIPv4アドレスは存在しています。 2 16バイトのIPv6アドレスは存在しています。 3 ワイヤでコード化されたドメイン名は存在しています。 ワイヤでコード化された形式が自己説明であるので、長さは暗黙です。 ドメイン名を圧縮してはいけません。 (RFC1035[2]のセクション3.3を見てください。)
2.4. RDATA Format - Algorithm Type
2.4. RDATA形式--アルゴリズムタイプ
The algorithm type field identifies the public key's cryptographic algorithm and determines the format of the public key field.
アルゴリズムタイプ分野は、公開鍵の暗号アルゴリズムを特定して、公開鍵分野の形式を決定します。
A value of 0 indicates that no key is present.
0の値は、どんなキーも存在していないのを示します。
The following values are defined: 1 A DSA key is present, in the format defined in RFC 2536 [9]. 2 A RSA key is present, in the format defined in RFC 3110 [10].
以下の値は定義されます: 1 DSAキーはRFC2536[9]で定義された書式で存在しています。 2 RSAキーはRFC3110[10]で定義された書式で存在しています。
Richardson Standards Track [Page 4] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[4ページ]RFC4025
2.5. RDATA Format - Gateway
2.5. RDATA形式--ゲートウェイ
The gateway field indicates a gateway to which an IPsec tunnel may be created in order to reach the entity named by this resource record.
ゲートウェイ分野はIPsecトンネルがこのリソース記録によって指定された実体に達するように作成されるかもしれないゲートウェイを示します。
There are three formats:
3つの形式があります:
A 32-bit IPv4 address is present in the gateway field. The data portion is an IPv4 address as described in section 3.4.1 of RFC 1035 [2]. This is a 32-bit number in network byte order.
32ビットのIPv4アドレスはゲートウェイ分野に存在しています。 データ部は.1セクション3.4RFC1035[2]で説明されるようにIPv4アドレスです。 これはネットワークバイトオーダーで32ビットの数です。
A 128-bit IPv6 address is present in the gateway field. The data portion is an IPv6 address as described in section 2.2 of RFC 3596 [12]. This is a 128-bit number in network byte order.
128ビットのIPv6アドレスはゲートウェイ分野に存在しています。 データ部はRFC3596[12]のセクション2.2で説明されるようにIPv6アドレスです。 これはネットワークバイトオーダーで128ビットの数です。
The gateway field is a normal wire-encoded domain name, as described in section 3.3 of RFC 1035 [2]. Compression MUST NOT be used.
ゲートウェイ分野はRFC1035[2]のセクション3.3で説明されるように正常なワイヤでコード化されたドメイン名です。 圧縮を使用してはいけません。
2.6. RDATA Format - Public Keys
2.6. RDATA形式--公開鍵
Both the public key types defined in this document (RSA and DSA) inherit their public key formats from the corresponding KEY RR formats. Specifically, the public key field contains the algorithm-specific portion of the KEY RR RDATA, which is all the KEY RR DATA after the first four octets. This is the same portion of the KEY RR that must be specified by documents that define a DNSSEC algorithm. Those documents also specify a message digest to be used for generation of SIG RRs; that specification is not relevant for IPSECKEY RRs.
本書では定義された両方の公開鍵タイプ(RSAとDSA)は対応するKEY RR形式から彼らの公開鍵形式を引き継ぎます。 明確に、公開鍵分野はKEY RR RDATAのアルゴリズム特定部位を含んでいます。(KEY RR RDATAはすべて、最初の4つの八重奏の後のKEY RR DATAです)。 これはDNSSECアルゴリズムを定義するドキュメントで指定しなければならないKEY RRの同じ一部です。 また、それらのドキュメントはSIG RRsの世代に使用されるためにメッセージダイジェストを指定します。 IPSECKEY RRsにおいて、その仕様は関連していません。
Future algorithms, if they are to be used by both DNSSEC (in the KEY RR) and IPSECKEY, are likely to use the same public key encodings in both records. Unless otherwise specified, the IPSECKEY public key field will contain the algorithm-specific portion of the KEY RR RDATA for the corresponding algorithm. The algorithm must still be designated for use by IPSECKEY, and an IPSECKEY algorithm type number (which might be different from the DNSSEC algorithm number) must be assigned to it.
それらがDNSSEC(KEY RRの)とIPSECKEYの両方によって使用されるつもりであるなら、将来のアルゴリズムは両方の記録で同じ公開鍵encodingsを使用しそうです。 別の方法で指定されないと、IPSECKEY公開鍵分野は対応するアルゴリズムのためのKEY RR RDATAのアルゴリズム特定部位を含むでしょう。 IPSECKEYは使用のためにまだアルゴリズムを指定しなければなりません、そして、IPSECKEYアルゴリズム形式数(DNSSECアルゴリズム番号と異なっているかもしれない)をそれに割り当てなければなりません。
The DSA key format is defined in RFC 2536 [9]
DSAの主要な書式はRFC2536で定義されます。[9]
The RSA key format is defined in RFC 3110 [10], with the following changes:
RSAの主要な書式は以下の変化でRFC3110[10]で定義されます:
The earlier definition of RSA/MD5 in RFC 2065 [4] limited the exponent and modulus to 2552 bits in length. RFC 3110 extended that limit to 4096 bits for RSA/SHA1 keys. The IPSECKEY RR imposes no length limit on RSA public keys, other than the 65535 octet limit
RFC2065とのRSA/MD5の[4]が長さで解説者と係数を2552ビット制限した定義は、より初期です。 RFC3110はRSA/SHA1キーのために4096ビットへのその限界を広げました。 IPSECKEY RRは65535八重奏限界以外のRSA公開鍵に長さの限界を全く課しません。
Richardson Standards Track [Page 5] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[5ページ]RFC4025
imposed by the two-octet length encoding. This length extension is applicable only to IPSECKEY; it is not applicable to KEY RRs.
2八重奏の長さのコード化で、課されます。 この長さの拡大はIPSECKEYだけに適切です。 それはKEY RRsに適切ではありません。
3. Presentation Formats
3. プレゼンテーション形式
3.1. Representation of IPSECKEY RRs
3.1. IPSECKEY RRsの表現
IPSECKEY RRs may appear in a zone data master file. The precedence, gateway type, algorithm, and gateway fields are REQUIRED. The base64 encoded public key block is OPTIONAL; if it is not present, the public key field of the resource record MUST be construed to be zero octets in length.
IPSECKEY RRsはゾーンデータ基本ファイルに現れるかもしれません。 先行、ゲートウェイタイプ、アルゴリズム、およびゲートウェイ分野はREQUIREDです。 コード化された公開鍵が妨げるbase64はOPTIONALです。 それが存在していないなら、長さにおける八重奏でなくなるようにリソース記録の公開鍵分野を解釈しなければなりません。
The algorithm field is an unsigned integer. No mnemonics are defined.
アルゴリズム分野は符号のない整数です。 ニーモニックは全く定義されません。
If no gateway is to be indicated, then the gateway type field MUST be zero, and the gateway field MUST be "."
「ゲートウェイが全く示されないつもりであるなら、ゲートウェイタイプ分野はゼロであるに違いありません、そして、ゲートウェイ分野はゼロであるに違いありません」、」
The Public Key field is represented as a Base64 encoding of the Public Key. Whitespace is allowed within the Base64 text. For a definition of Base64 encoding, see RFC 3548 [6], Section 5.2.
Public Key分野はPublic Keyをコード化するBase64として表されます。 空白はBase64テキストの中に許容されています。 Base64コード化の定義に関しては、RFC3548[6]、セクション5.2を見てください。
The general presentation for the record is as follows:
記録のための一般的なプレゼンテーションは以下の通りです:
IN IPSECKEY ( precedence gateway-type algorithm
gateway base64-encoded-public-key )
IPSECKEYで(base64が公開鍵をコード化していた状態で、先行はアルゴリズムゲートウェイをゲートウェイでタイプします)
3.2. Examples
3.2. 例
An example of a node, 192.0.2.38, that will accept IPsec tunnels on its own behalf.
ノードに関する例、192.0 .2 .38 それはそれ自身に代わってIPsecトンネルを認めるでしょう。
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 1 2
192.0.2.38
AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
addr.arpaの38.2.0.192.。 IPSECKEYの7200(10 1 2 192.0.2.38AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ=)
An example of a node, 192.0.2.38, that has published its key only.
ノードに関する例、192.0 .2 .38 それはキーだけを発行しました。
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 0 2
.
AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
addr.arpaの38.2.0.192.。 IPSECKEYの7200(10 0 2AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ=)
Richardson Standards Track [Page 6] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[6ページ]RFC4025
An example of a node, 192.0.2.38, that has delegated authority to the node 192.0.2.3.
ノード、192.0に関する例、.2、.38、それがノードに権限を委ねた、192.0、.2、.3
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 1 2
192.0.2.3
AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
addr.arpaの38.2.0.192.。 IPSECKEYの7200(10 1 2 192.0.2.3AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ=)
An example of a node, 192.0.1.38 that has delegated authority to the node with the identity "mygateway.example.com".
ノードに関する例、192.0 .1 .38 それはアイデンティティ"mygateway.example.com"でノードに権限を委ねました。
38.1.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 3 2
mygateway.example.com.
AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
addr.arpaの38.1.0.192.。 IPSECKEYの7200( 10 3 2mygateway.example.com。 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ=)
An example of a node, 2001:0DB8:0200:1:210:f3ff:fe03:4d0, that has delegated authority to the node 2001:0DB8:c000:0200:2::1
ノードに関する例、2001: 0DB8: 0200:1:210:f3ff:fe03: 4d0、それはノード2001:0DB8:c000に権限を委ねました:、0200:2、:、:1
$ORIGIN 1.0.0.0.0.0.2.8.B.D.0.1.0.0.2.ip6.arpa.
0.d.4.0.3.0.e.f.f.f.3.f.0.1.2.0 7200 IN IPSECKEY ( 10 2 2
2001:0DB8:0:8002::2000:1
AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
$発生源1.0.0.0.0.0.2.8.B. D.0.1.0.0.2.ip6.arpa。 0. IPSECKEYのd.4.0.3.0.e.f.f.f.3.f.0.1.2.0 7200(10、2 2、2001: 0DB8:0:8002: : 2000:、1AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ=)
4. Security Considerations
4. セキュリティ問題
This entire memo pertains to the provision of public keying material for use by key management protocols such as ISAKMP/IKE (RFC 2407) [7].
この全体のメモはISAKMP/IKE(RFC2407)[7]などのかぎ管理プロトコルで使用のための材料を合わせる公衆の支給に関係します。
The IPSECKEY resource record contains information that SHOULD be communicated to the end client in an integral fashion; i.e., free from modification. The form of this channel is up to the consumer of the data; there must be a trust relationship between the end consumer of this resource record and the server. This relationship may be end-to-end DNSSEC validation, a TSIG or SIG(0) channel to another secure source, a secure local channel on the host, or some combination of the above.
IPSECKEYリソース記録はSHOULDが不可欠のファッションで終わりのクライアントに伝えられるという情報を含んでいます。 すなわち、変更から、自由です。 このチャンネルのフォームはデータの消費者次第です。 このリソース記録の最終消費者とサーバとの信頼関係があるに違いありません。この関係は、別の安全なソース、ホストの上の安全な市内回線、または上記の何らかの組み合わせへの終わりから終わりへのDNSSEC合法化、TSIGまたはSIG(0)チャンネルであるかもしれません。
The keying material provided by the IPSECKEY resource record is not sensitive to passive attacks. The keying material may be freely disclosed to any party without any impact on the security properties of the resulting IPsec session. IPsec and IKE provide defense against both active and passive attacks.
IPSECKEYリソース記録によって供給された合わせることの材料は受け身の攻撃に敏感ではありません。 合わせることの材料は結果として起こるIPsecセッションのセキュリティ所有地の上で少しも影響なしでどんなパーティーにも自由に明らかにされるかもしれません。 IPsecとIKEはアクティブなものと同様に受け身の攻撃に対してディフェンスを提供します。
Any derivative specification that makes use of this resource record MUST carefully document its trust model and why the trust model of DNSSEC is appropriate, if that is the secure channel used.
このリソース記録を利用するどんな派生している仕様も慎重に、信頼モデルとDNSSECの信頼モデルが適切である理由を記録しなければなりません、それが使用される安全なチャンネルであるなら。
Richardson Standards Track [Page 7] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[7ページ]RFC4025
An active attack on the DNS that caused the wrong IP address to be retrieved (via forged address), and therefore the wrong QNAME to be queried, would also result in a man-in-the-middle attack. This situation is independent of whether the IPSECKEY RR is used.
また、間違ったIPアドレスが検索されるのを(偽造アドレスで)質問して、したがって、間違ったQNAMEについて質問させたDNSに対する活発な攻撃は介入者攻撃をもたらすでしょう。 IPSECKEY RRが使用されるかどうかからこの状況は独立しています。
4.1. Active Attacks Against Unsecured IPSECKEY Resource Records
4.1. Unsecured IPSECKEYリソース記録に対する活発な攻撃
This section deals with active attacks against the DNS. These attacks require that DNS requests and responses be intercepted and changed. DNSSEC is designed to defend against attacks of this kind. This section deals with the situation in which DNSSEC is not available. This is not the recommended deployment scenario.
このセクションはDNSに対して活発な攻撃に対処します。 これらの攻撃は、DNS要求と応答が妨害されて、変えられるのを必要とします。 DNSSECは、この種類の攻撃に対して防御するように設計されています。 どのDNSSECが利用可能でないかでこのセクションは時局に処します。 これはお勧めの展開シナリオではありません。
4.1.1. Active Attacks Against IPSECKEY Keying Materials
4.1.1. 材料を合わせるIPSECKEYに対する活発な攻撃
The first kind of active attack is when the attacker replaces the keying material with either a key under its control or with garbage.
最初の種類の活発な攻撃は攻撃者がコントロールかゴミで合わせることの材料をキーに取り替える時です。
The gateway field is either untouched or is null. The IKE negotiation will therefore occur with the original end-system. For this attack to succeed, the attacker must perform a man-in-the-middle attack on the IKE negotiation. This attack requires that the attacker be able to intercept and modify packets on the forwarding path for the IKE and data packets.
ゲートウェイ分野は、触れないか、またはヌルです。 したがって、IKE交渉はオリジナルのエンドシステムで起こるでしょう。 この攻撃が成功するように、攻撃者はIKE交渉に介入者攻撃を実行しなければなりません。 この攻撃は、攻撃者がIKEとデータ・パケットのために推進経路でパケットを妨害して、変更できるのを必要とします。
If the attacker is not able to perform this man-in-the-middle attack on the IKE negotiation, then a denial of service will result, as the IKE negotiation will fail.
攻撃者がIKE交渉にこの介入者攻撃を実行できないと、サービスの否定は結果として生じるでしょう、IKE交渉が失敗するとき。
If the attacker is not only able to mount active attacks against DNS but also in a position to perform a man-in-the-middle attack on IKE and IPsec negotiations, then the attacker will be able to compromise the resulting IPsec channel. Note that an attacker must be able to perform active DNS attacks on both sides of the IKE negotiation for this to succeed.
攻撃者がDNSに対して活発な攻撃を仕掛けることができるだけではなく、IKEとIPsec交渉に介入者攻撃を実行する立場で仕掛けもすることができると、攻撃者は結果として起こるIPsecチャンネルに感染することができるでしょう。 攻撃者がこれが引き継ぐIKE交渉の両側に対する活発なDNS攻撃を実行できなければならないことに注意してください。
4.1.2. Active Attacks Against IPSECKEY Gateway Material
4.1.2. IPSECKEYゲートウェイの材料に対する活発な攻撃
The second kind of active attack is one in which the attacker replaces the gateway address to point to a node under the attacker's control. The attacker then either replaces the public key or removes it. If the public key were removed, then the attacker could provide an accurate public key of its own in a second record.
2番目の種類の活発な攻撃は攻撃者が攻撃者のコントロールの下にノードを示すためにゲートウェイアドレスを置き換えるものです。 そして、攻撃者は、公開鍵を取り替えるか、またはそれを取り除きます。 公開鍵を取り除くなら、攻撃者はそれ自身の正確な公開鍵を2番目の記録に提供できるでしょうに。
This second form creates a simple man-in-the-middle attacks since the attacker can then create a second tunnel to the real destination. Note that, as before, this requires that the attacker also mount an active attack against the responder.
次に、攻撃者が2番目のトンネルを本当の目的地に作成できるので、この2番目のフォームは中央の純真な男性攻撃を作成します。 これが、以前また、攻撃者が応答者に対して活発な攻撃を仕掛けるのを必要とするとき、それに注意してください。
Richardson Standards Track [Page 8] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[8ページ]RFC4025
Note that the man-in-the-middle cannot just forward cleartext packets to the original destination. While the destination may be willing to speak in the clear, replying to the original sender, the sender will already have created a policy expecting ciphertext. Thus, the attacker will need to intercept traffic in both directions. In some cases, the attacker may be able to accomplish the full intercept by use of Network Address/Port Translation (NAT/NAPT) technology.
中央の男性がただcleartextパケットを元の目的地に送ることができないことに注意してください。 元の送り主に答えて、目的地が、明確で話しても構わないと思っているかもしれない間、送付者は既に方針のおめでたの予定の暗号文を作成してしまうでしょう。 したがって、攻撃者は、両方の方向にトラフィックを妨害する必要があるでしょう。 いくつかの場合、攻撃者はNetwork Address/ポートTranslation(NAT/NAPT)技術の使用で完全なインタセプトを実行できるかもしれません。
This attack is easier than the first one because the attacker does NOT need to be on the end-to-end forwarding path. The attacker need only be able to modify DNS replies. This can be done by packet modification, by various kinds of race attacks, or through methods that pollute DNS caches.
攻撃者が終わりから端への推進経路にいる必要はないので、この攻撃は最初のものより簡単です。 攻撃者はDNS回答を変更するだけでよいことができます。 様々な種類のレース攻撃、または、パケット変更か、DNSキャッシュを汚染するメソッドを通してこれができます。
If the end-to-end integrity of the IPSECKEY RR is suspect, the end client MUST restrict its use of the IPSECKEY RR to cases where the RR owner name matches the content of the gateway field. As the RR owner name is assumed when the gateway field is null, a null gateway field is considered a match.
終わりから終わりへのIPSECKEY RRの保全が疑わしいなら、終わりのクライアントはIPSECKEY RRの使用をRR所有者名がゲートウェイ分野の内容に合っているケースに制限しなければなりません。 存在というゲートウェイ分野がヌルであるときに想定されたRR所有者名として、ヌルゲートウェイ分野はマッチであると考えられます。
Thus, any records obtained under unverified conditions (e.g., no DNSSEC or trusted path to source) that have a non-null gateway field MUST be ignored.
したがって、非ヌルゲートウェイ分野を持っている非検証された条件(例えば、ソースへのDNSSECでない信じられた経路がない)のもとで得られたどんな記録も無視しなければなりません。
This restriction eliminates attacks against the gateway field, which are considered much easier, as the attack does not need to be on the forwarding path.
この制限はゲートウェイ分野に対する攻撃を排除します、攻撃が推進経路にある必要はないとき。(攻撃ははるかに簡単であると考えられます)。
In the case of an IPSECKEY RR with a value of three in its gateway type field, the gateway field contains a domain name. The subsequent query required to translate that name into an IP address or IPSECKEY RR will also be subject to man-in-the-middle attacks. If the end-to-end integrity of this second query is suspect, then the provisions above also apply. The IPSECKEY RR MUST be ignored whenever the resulting gateway does not match the QNAME of the original IPSECKEY RR query.
3の値がゲートウェイタイプ分野にあるIPSECKEY RRの場合では、ゲートウェイ分野はドメイン名を含んでいます。 その後の質問がその名前をIPアドレスに翻訳するのが必要である、またはまた、IPSECKEY RRも介入者攻撃を受けることがあるでしょう。 また、この2番目の質問の終わりから終わりへの保全が疑わしいなら、上記の条項は適用されます。 IPSECKEY RR MUST、結果として起こるゲートウェイがオリジナルのIPSECKEY RR質問のQNAMEに合っていないときはいつも、無視されてください。
5. IANA Considerations
5. IANA問題
This document updates the IANA Registry for DNS Resource Record Types by assigning type 45 to the IPSECKEY record.
このドキュメントは、DNS Resource Record TypesのためにIPSECKEY記録にタイプ45を選任することによって、IANA Registryをアップデートします。
This document creates two new IANA registries, both specific to the IPSECKEY Resource Record:
このドキュメントは2つの新しいIANA登録で、ともにIPSECKEY Resource Recordに特定に作成します:
This document creates an IANA registry for the algorithm type field.
このドキュメントはアルゴリズムタイプ分野にIANA登録を作成します。
Richardson Standards Track [Page 9] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[9ページ]RFC4025
Values 0, 1, and 2 are defined in Section 2.4. Algorithm numbers 3 through 255 can be assigned by IETF Consensus (see RFC 2434 [5]).
値0、1、および2はセクション2.4で定義されます。 IETF ConsensusはアルゴリズムNo.3〜255を割り当てることができます。(RFC2434[5])を見てください。
This document creates an IANA registry for the gateway type field.
このドキュメントはゲートウェイタイプ分野にIANA登録を作成します。
Values 0, 1, 2, and 3 are defined in Section 2.3. Gateway type numbers 4 through 255 can be assigned by Standards Action (see RFC 2434 [5]).
値0、1、2、および3はセクション2.3で定義されます。 Standards Actionはゲートウェイ形式数4〜255を割り当てることができます。(RFC2434[5])を見てください。
6. Acknowledgements
6. 承認
My thanks to Paul Hoffman, Sam Weiler, Jean-Jacques Puig, Rob Austein, and Olafur Gudmundsson, who reviewed this document carefully. Additional thanks to Olafur Gurmundsson for a reference implementation.
慎重にこのドキュメントを再検討したポール・ホフマン、サム・ウィーラー、ジャン・ジャック・ピュイグ、ロブAustein、およびOlafurグドムンソンへの私の感謝。 参照実装のためのOlafur Gurmundssonのおかげで、追加しています。
7. References
7. 参照
7.1. Normative References
7.1. 引用規格
[1] Mockapetris, P., "Domain names - concepts and facilities", STD
13, RFC 1034, November 1987.
[1]Mockapetris、P.、「ドメイン名--、概念と施設、」、STD13、RFC1034、11月1987日
[2] Mockapetris, P., "Domain names - implementation and
specification", STD 13, RFC 1035, November 1987.
[2]Mockapetris、P.、「ドメイン名--、実装と仕様、」、STD13、RFC1035、11月1987日
[3] Bradner, S., "Key words for use in RFCs to Indicate Requirement
Levels", BCP 14, RFC 2119, March 1997.
[3] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。
[4] Eastlake 3rd, D. and C. Kaufman, "Domain Name System Security
Extensions", RFC 2065, January 1997.
[4] イーストレーク3番目とD.とC.コーフマン、「ドメインネームシステムセキュリティ拡大」、RFC2065、1997年1月。
[5] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA
Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[5]Narten、T.とH.Alvestrand、「RFCsにIANA問題部に書くためのガイドライン」BCP26、RFC2434(1998年10月)。
[6] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings",
RFC 3548, July 2003.
[6]Josefsson、2003年7月のS.、「Base16、Base32、およびBase64データEncodings」RFC3548。
7.2. Informative References
7.2. 有益な参照
[7] Piper, D., "The Internet IP Security Domain of Interpretation
for ISAKMP", RFC 2407, November 1998.
[7] パイパー、D.、「ISAKMPのための解釈のインターネットIPセキュリティー領域」、RFC2407、1998年11月。
[8] Eastlake 3rd, D., "Domain Name System Security Extensions", RFC
2535, March 1999.
[8] イーストレーク3番目、D.、「ドメインネームシステムセキュリティ拡大」、RFC2535、1999年3月。
[9] Eastlake 3rd, D., "DSA KEYs and SIGs in the Domain Name System
(DNS)", RFC 2536, March 1999.
[9] イーストレーク3番目と、D.と、「ドメインネームシステム(DNS)におけるDSAキーとSIG」(RFC2536)は1999を行進させます。
Richardson Standards Track [Page 10] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[10ページ]RFC4025
[10] Eastlake 3rd, D., "RSA/SHA-1 SIGs and RSA KEYs in the Domain
Name System (DNS)", RFC 3110, May 2001.
[10] イーストレーク3番目、「ドメインネームシステム(DNS)におけるRSA/SHA-1SIGとRSAキー」(RFC3110)が2001にそうするかもしれないD.
[11] Massey, D. and S. Rose, "Limiting the Scope of the KEY Resource
Record (RR)", RFC 3445, December 2002.
[11] RFC3445、「主要なリソース記録(RR)の範囲を制限し」て、マッシー、D.、およびS.は上昇して、12月は2002です。
[12] Thomson, S., Huitema, C., Ksinant, V., and M. Souissi, "DNS
Extensions to Support IP Version 6", RFC 3596, October 2003.
[12] トムソンとS.とHuitemaとC.とKsinant、V.とM.Souissi、「バージョン6インチ、RFC3596、2003年10月をIPにサポートするDNS拡張子。」
Author's Address
作者のアドレス
Michael C. Richardson Sandelman Software Works 470 Dawson Avenue Ottawa, ON K1Z 5V7 CA
K1Z 5V7カリフォルニアのマイケルC.リチャードソンSandelmanソフトウェア作品470ドーソン・Avenueオタワ
EMail: mcr@sandelman.ottawa.on.ca URI: http://www.sandelman.ottawa.on.ca/
メール: mcr@sandelman.ottawa.on.ca ユリ: http://www.sandelman.ottawa.on.ca/
Richardson Standards Track [Page 11] RFC 4025 Storing IPsec Keying Material in DNS February 2005
2005年2月にDNSで材料を合わせるIPsecを保存するリチャードソン標準化過程[11ページ]RFC4025
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The Internet Society (2005).
Copyright(C)インターネット協会(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと「そのままで」という基礎と貢献者、その人が代表する組織で提供するか、または後援されて、インターネット協会とインターネット・エンジニアリング・タスク・フォースはすべての保証を放棄します、と急行ORが含意したということであり、他を含んでいて、ここに含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the IETF's procedures with respect to rights in IETF Documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実装に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するどんな独立している取り組みも作りました。 BCP78とBCP79でIETF Documentsの権利に関するIETFの手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf- ipr@ietf.org.
IETFはこの規格を実行するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf ipr@ietf.org のIETFに情報を記述してください。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Richardson Standards Track [Page 12]
リチャードソン標準化過程[12ページ]
一覧
スポンサーリンク
