TSIG

A TSIG hálózati protokollt ( t ransaction sig jelleget vagy tranzakciós aláírást) az RFC  2845 írja le. Elsősorban a Domain Name System (DNS) használja arra, hogy hitelesítési formát nyújtson az adatok dinamikus frissítéséhez. DNS-adatbázisok, bár lehet a szerverek között használatos lekérdezésekhez. A TSIG megosztott titkot és egyirányú hash függvényt használ a titkosítás révén a biztonság egy formájának biztosítására, hogy a kapcsolat mindkét végét azonosítsa DNS-frissítési kérelem létrehozására vagy válaszára.

Bár a DNS-lekérdezések lehetnek névtelenek (a DNSSEC kivételével ), a DNS-frissítéseket hitelesíteni kell, mert megváltoztatják a hálózat (Internet vagy privát hálózat) névstruktúráját. Megosztott titok használata a frissítést végrehajtó kliens (szolga) és az azt biztosító DNS-kiszolgáló (master) között biztosítja az ügyfél hitelesítését. A frissítési kérelmet azonban nem biztonságos hálózaton (Interneten) keresztül is el lehet intézni. Az egyirányú hash függvény arra szolgál, hogy megakadályozza egy harmadik felet abban, hogy megismerje a kulcsot, ha meghallgatja a hálózati forgalmat, majd azt használja az ügyfél DNS-kiszolgálójának saját módosítására.

Időelem ( időbélyeg ) használata a protokollban lehetővé teszi az ismételt támadás elkerülését. Így a TSIG használatához szükség van a kiszolgálók szinkronizálására ugyanazon az időforráson. Például az NTP protokoll használata biztosítja ezt a szolgáltatást.

Végrehajtás

A DNS-frissítés ( RFC  2136) a DNS-kiszolgáló utasításkészlete. Tartalmaz egy fejlécet, a frissítendő területet, a teljesítendő előfeltételeket és a frissítendő rekordokat (RR). A TSIG hozzáad egy utolsó rekordot, amely tartalmazza az idő elemet ( időbélyeg ), a kérés kivonatát és a kérés aláírásához használt titkos kulcs nevét. Az RFC  2535 egy olyan nevet javasol, amelynek formátuma ajánlott.

A sikeres TSIG aláírt frissítés utáni választ egy TSIG rekorddal is aláírjuk. A hibákat nem írjuk alá, hogy megakadályozzuk a támadókat abban, hogy bármit is megtudjanak a kulcsról, külön erre a célra készített frissítési kérelmek segítségével.

Az nsupdate program lehetővé teszi a TSIG használatát a frissítések végrehajtásához. A dig programot lehetővé teszi, hogy TSIG elvégzésére hitelesített zóna kérések vagy transzferek .

A TSIG rekord ugyanabban a formátumban van, mint a frissítési kérelem többi rekordja. A mezők jelentését az RFC  1035 írja le .

TSIG rekord mezők

Mezők	Bájt	Leírás
NÉV	max 256	A TSIG kulcs neve, amelynek egyedinek kell lennie az ügyfél és a kiszolgáló között
TÍPUS	2	TSIG (250)
OSZTÁLY	2	MINDEN (255)
TTL	4	0 (a TSIG rekordot nem szabad pufferolni ( gyorsítótár ))
HOSSZÚSÁG	2	RDATA mező hossza
RDATA	változó	Az időelemből ( időbélyeg ), az algoritmusból és a kivonatból álló szerkezet.

A TSIG alternatívái

Bár a TSIG-t széles körben használják, ez a protokoll sok problémát vet fel:

• megköveteli a megosztott titok telepítését minden frissítésre szoruló kiszolgáló számára,
• a HMAC-MD5 hash csak 128 bit,
• nincs hierarchiája a hatóságokkal: minden titkos kulcs birtokában lévő ügyfél frissítheti a zóna bármely rekordját.

Így különféle alternatívák vagy kiterjesztések jelentek meg.

• Az RFC  2137 meghatározza a nyilvános kulcs használatával történő frissítési módszert a DNS-rekordspecifikus "GIS" -ben. A megfelelő magánkulccsal rendelkező ügyfél aláírhatja a frissítési kérelmeket. Ez a módszer kompatibilis a DNSSEC biztonságos kérési módszerével. Ezt a módszert azonban az RFC  3007 elavítja.
• Az RFC  3645 javasolja a TSIG kiterjesztését, hogy lehetővé tegye a titkos kulcscsere-módszer GSS használatát, így nincs szükség a kulcsok kézi telepítésére az összes TSIG-kliensen. A nyilvános kulcsok GSS-sel történő DNS-erőforrásrekordban (RR) történő terjesztésének módját az RFC  2930 határozza meg. A Windows Kerberos- on alapul egy módosított GSS-TSIG módszer, amelynek neve " Generic Security Service Algorithm for Shared Secret Exchanges " a titkos kulcs tranzakcióhoz ). " Biztonságos dinamikus frissítés" nevű kiszolgálót telepítették a Microsoft Windows Active Directory kiszolgálókban és kliensekben . Az RFC  1918 címzéssel fordított felbontás nélkül konfigurált DNS-sel kombinálva az ezt a hitelesítési rendszert használó DNS-kiszolgálók nagy mennyiségű lekérdezést irányítanak át a DNS- kiszolgálókra . Van egy anycast csoport, amely felelős a forgalom kezeléséért a root DNS-kiszolgálókon kívül.
• Az RFC  2845 TSIG bázis csak egyetlen kivonatolási funkciót engedélyez: a HMAC-MD5 már nem tekinthető nagyon robusztusnak. 2006-ban javaslatok születtek az SHA1 RFC  3174 használatának engedélyezésére az MD5 helyettesítésére. Az SHA1 által generált 160 bites összefoglalónak robusztusabbnak kell lennie, mint az MD5 által generált 128 bites emésztésnek.
• Az RFC  2930 meghatározza a TKEY számára a DNS-rekordok listáját, amelyek a kulcsok automatikus kiszolgálására szolgálnak a kiszolgálóról az ügyfeleknek.
• Az RFC  3645 meghatározza a GSS-TSIG-t a GSS-API és a TKEY használatával a kulcsok automatikus terjesztéséhez.
• A DNSCurve javaslat sok hasonlóságot mutat a TSIG-kel.

Lásd is

• elsődleges DNS (RR) rekordok .

Megjegyzések és hivatkozások

1. (en) "  titkos kulcs Tranzakció hitelesítése DNS (TSIG)  " Request for Comments n o  2845,2000. május.
2. (in) "  Dinamikus frissítések a Domain Name System (DNS UPDATE)  " Request for Comments n o  21361997. április.
3. (in) "  Domain Name System Security Extensions  " Megjegyzések iránti kérelem, n o  25351999. március.
4. (in) "  DOMAINNEVEK - alkalmazás és SPECIFIKÁCIÓ  " Request for Comments n o  1035,1987. november.
5. (in) „  Biztonságos domain név rendszer dinamikus frissítése  ” Megjegyzések iránti kérelem, n o  21371997. április.
6. (in) "  Secure Domain Name System (DNS) Dynamic Update  " Request for Comments n o  3007,2000. november.
7. (en) "  Általános Biztonsági Szolgálat algoritmus titkos kulcs Tranzakció hitelesítése DNS (GSS-TSIG)  " Request for Comments n o  3645,2003. október.
8. (en) "  titkos kulcs létrehozása DNS (TKEY RR)  " Request for Comments n o  2930,2000. szeptember.
9. (in) "  cím kiosztása Private Internets  " Request for Comments n o  19181996. február.
10. (en) Broido, Németh, piszkos. A DNS-frissítési forgalom spektroszkópiája , CAIDA, 2002
11. (en) [1]
12. (a) "  US Secure Hash Algorithm 1 (SHA1)  ," Request for Comments n o  3174,2001. szeptember.

Külső linkek

• RFC 2136 dinamikus frissítések a tartománynév rendszerben (DNS-frissítések)
• RFC 2845 titkos kulcsú tranzakció-hitelesítés a DNS-hez (TSIG)
• RFC 2930 titkos kulcs létrehozása a DNS-hez (TKEY RR)
• RFC 3645 általános biztonsági szolgáltatás-algoritmus a titkos kulcsú tranzakciók hitelesítéséhez a DNS-hez (GSS-TSIG)
• RFC 3174 US Secure Hash algoritmus 1
• RFC 4635 HMAC SHA TSIG algoritmus-azonosítók