Network Working Group M. Richardson
Request for Comments: 4025 SSW
Category: Standards Track February 2005
A Method for Storing IPsec Keying Material in DNS
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントでは、インターネットコミュニティ向けのインターネット標準追跡プロトコルを指定し、改善のための議論と提案を求めています。 このプロトコルの標準化状態とステータスについては、「Internet Official Protocol Standards」(STD 1)の最新版を参照してください。 このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
Abstract
抽象
This document describes a new resource record for the Domain Name System (DNS). This record may be used to store public keys for use in IP security (IPsec) systems. The record also includes provisions for indicating what system should be contacted when an IPsec tunnel is established with the entity in question.
このドキュメントでは、ドメインネームシステム(DNS)の新しいリソースレコードについて説明します。 このレコードは、IPセキュリティ(IPsec)システムで使用する公開鍵を保存するために使用できます。 また、レコードには、問題のエンティティとIPsecトンネルが確立されたときに、どのシステムに接続する必要があるかを示す規定も含まれています。
This record replaces the functionality of the sub-type #4 of the KEY Resource Record, which has been obsoleted by RFC 3445.
このレコードは、RFC 3445で廃止されたKEYリソースレコードのサブタイプ#4の機能を置き換えます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Overview . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2. Use of DNS Address-to-Name Maps (IN-ADDR.ARPA and
IP6.ARPA) . . . . . . . . . . . . . . . . . . . . . . . 3
1.3. Usage Criteria . . . . . . . . . . . . . . . . . . . . . 3
2. Storage Formats . . . . . . . . . . . . . . . . . . . . . . . 3
2.1. IPSECKEY RDATA Format . . . . . . . . . . . . . . . . . 3
2.2. RDATA Format - Precedence . . . . . . . . . . . . . . . 4
2.3. RDATA Format - Gateway Type . . . . . . . . . . . . . . 4
2.4. RDATA Format - Algorithm Type . . . . . . . . . . . . . 4
2.5. RDATA Format - Gateway . . . . . . . . . . . . . . . . . 5
2.6. RDATA Format - Public Keys . . . . . . . . . . . . . . . 5
3. Presentation Formats . . . . . . . . . . . . . . . . . . . . . 6
3.1. Representation of IPSECKEY RRs . . . . . . . . . . . . . 6
3.2. Examples . . . . . . . . . . . . . . . . . . . . . . . . 6
4. Security Considerations . . . . . . . . . . . . . . . . . . . 7
4.1. Active Attacks Against Unsecured IPSECKEY Resource
Records . . . . . . . . . . . . . . . . . . . . . . . . 8
4.1.1. Active Attacks Against IPSECKEY Keying
Materials. . . . . . . . . . . . . . . . . . . . 8
4.1.2. Active Attacks Against IPSECKEY Gateway
Material. . . . . . . . . . . . . . . . . . . . 8
5. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 9
6. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 10
7. References . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.1. Normative References . . . . . . . . . . . . . . . . . . 10
7.2. Informative References . . . . . . . . . . . . . . . . . 10
Author's Address . . . . . . . . . . . . . . . . . . . . . . . . . 11
Full Copyright Statement . . . . . . . . . . . . . . . . . . . . . 12
Suppose a host wishes (or is required by policy) to establish an IPsec tunnel with some remote entity on the network prior to allowing normal communication to take place. In many cases, this end system will be able to determine the DNS name for the remote entity (either by having the DNS name given explicitly, by performing a DNS PTR query for a particular IP address, or through some other means, e.g., by extracting the DNS portion of a "user@FQDN" name for a remote entity). In these cases, the host will need to obtain a public key to authenticate the remote entity, and may also need some guidance about whether it should contact the entity directly or use another node as a gateway to the target entity. The IPSECKEY RR provides a mechanism for storing such information.
ホストが、通常の通信を許可する前に、ネットワーク上の何らかのリモートエンティティとIPsecトンネルを確立することを望んでいる(またはポリシーによって要求されている)と仮定します。 多くの場合、このエンドシステムはリモートエンティティのDNS名を特定できます(明示的に指定されたDNS名を使用するか、特定のIPアドレスに対してDNS PTRクエリを実行するか、 リモートエンティティの「user @ FQDN」名のDNS部分を抽出します)。 これらの場合、ホストはリモートエンティティを認証するために公開キーを取得する必要があります。また、エンティティに直接接続するか、ターゲットエンティティへのゲートウェイとして別のノードを使用するかについてのガイダンスも必要になる場合があります。 IPSECKEY RRは、このような情報を保存するメカニズムを提供します。
The type number for the IPSECKEY RR is 45.
IPSECKEY RRのタイプ番号は45です。
This record replaces the functionality of the sub-type #4 of the KEY Resource Record, which has been obsoleted by RFC 3445 [11].
このレコードは、RFC 3445 [11]で廃止されたKEYリソースレコードのサブタイプ#4の機能を置き換えます。
The IPSECKEY resource record (RR) is used to publish a public key that is to be associated with a Domain Name System (DNS) [1] name for use with the IPsec protocol suite. This can be the public key of a host, network, or application (in the case of per-port keying).
IPSECKEYリソースレコード(RR)は、IPsecプロトコルスイートで使用するドメインネームシステム(DNS)[1]名に関連付けられる公開キーを公開するために使用されます。 これは、ホスト、ネットワーク、またはアプリケーションの公開キーにすることができます(ポートごとのキーイングの場合)。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [3].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は RFC 2119 [3]で説明されているように解釈されます。
Often a security gateway will only have access to the IP address of the node with which communication is desired and will not know any other name for the target node. Because of this, frequently the best way of looking up IPSECKEY RRs will be by using the IP address as an index into one of the reverse mapping trees (IN-ADDR.ARPA for IPv4 or IP6.ARPA for IPv6).
多くの場合、セキュリティゲートウェイは、通信が必要なノードのIPアドレスにしかアクセスできず、ターゲットノードの他の名前を知りません。 このため、IPSECKEY RRを検索する最良の方法は、逆マッピングツリー(IPv4の場合はIN-ADDR.ARPAまたはIPv6の場合はIP6.ARPA)のいずれかのインデックスとしてIPアドレスを使用することです。
The lookup is done in the fashion usual for PTR records. The IP address' octets (IPv4) or nibbles (IPv6) are reversed and looked up with the appropriate suffix. Any CNAMEs or DNAMEs found MUST be followed.
ルックアップは、PTRレコードの通常の方法で行われます。 IPアドレスのオクテット(IPv4)またはニブル(IPv6)が逆になり、適切なサフィックスで検索されます。 見つかったCNAMEまたはDNAMEを追跡する必要があります。
Note: even when the IPsec function is contained in the end-host, often only the application will know the forward name used. Although the case where the application knows the forward name is common, the user could easily have typed in a literal IP address. This storage mechanism does not preclude using the forward name when it is available but does not require it.
注:IPsec機能がエンドホストに含まれている場合でも、多くの場合、アプリケーションのみが使用されるフォワード名を知っています。 アプリケーションが転送名を知っている場合は一般的ですが、ユーザーはリテラルIPアドレスを簡単に入力できます。 このストレージメカニズムは、フォワード名が使用可能な場合にそれを使用することを妨げませんが、それを必要としません。
An IPSECKEY resource record SHOULD be used in combination with DNSSEC [8] unless some other means of authenticating the IPSECKEY resource record is available.
IPSECKEYリソースレコードを認証する他の手段が利用できない場合を除き、IPSECKEYリソースレコードはDNSSEC [8]と組み合わせて使用する必要があります。
It is expected that there will often be multiple IPSECKEY resource records at the same name. This will be due to the presence of multiple gateways and a need to roll over keys.
多くの場合、同じ名前で複数のIPSECKEYリソースレコードが存在することが予想されます。 これは、複数のゲートウェイが存在し、キーをロールオーバーする必要があるためです。
This resource record is class independent.
このリソースレコードはクラスに依存しません。
The RDATA for an IPSECKEY RR consists of a precedence value, a gateway type, a public key, algorithm type, and an optional gateway address.
IPSECKEY RRのRDATAは、優先順位値、ゲートウェイタイプ、公開鍵、アルゴリズムタイプ、およびオプションのゲートウェイアドレスで構成されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| precedence | gateway type | algorithm | gateway |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-------------+ +
~ gateway ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| /
/ public key /
/ /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
This is an 8-bit precedence for this record. It is interpreted in the same way as the PREFERENCE field described in section 3.3.9 of RFC 1035 [2].
これは、このレコードの8ビットの優先順位です。 RFC 1035 [2]のセクション3.3.9で説明されているPREFERENCEフィールドと同じ方法で解釈されます。
Gateways listed in IPSECKEY records with lower precedence are to be attempted first. Where there is a tie in precedence, the order should be non-deterministic.
優先順位の低いIPSECKEYレコードにリストされているゲートウェイが最初に試行されます。 優先順位が同じ場合、順序は非決定的である必要があります。
The gateway type field indicates the format of the information that is stored in the gateway field.
ゲートウェイタイプフィールドは、ゲートウェイフィールドに格納される情報の形式を示します。
The following values are defined: 0 No gateway is present. 1 A 4-byte IPv4 address is present. 2 A 16-byte IPv6 address is present. 3 A wire-encoded domain name is present. The wire-encoded format is self-describing, so the length is implicit. The domain name MUST NOT be compressed. (See Section 3.3 of RFC 1035 [2].)
次の値が定義されています:0ゲートウェイが存在しません。 1 4バイトのIPv4アドレスが存在します。 2 16バイトのIPv6アドレスが存在します。 3ワイヤーエンコードされたドメイン名が存在します。 ワイヤエンコード形式は自己記述型であるため、長さは暗黙的です。 ドメイン名は圧縮しないでください。 (RFC 1035 [2]のセクション3.3を参照してください。)
The algorithm type field identifies the public key's cryptographic algorithm and determines the format of the public key field.
アルゴリズムタイプフィールドは、公開キーの暗号化アルゴリズムを識別し、公開キーフィールドの形式を決定します。
A value of 0 indicates that no key is present.
値0は、キーが存在しないことを示します。
The following values are defined: 1 A DSA key is present, in the format defined in RFC 2536 [9]. 2 A RSA key is present, in the format defined in RFC 3110 [10].
次の値が定義されています。1 RFC 2536 [9]で定義された形式のDSAキーが存在します。 2 RFC 3110 [10]で定義された形式のRSAキーが存在します。
The gateway field indicates a gateway to which an IPsec tunnel may be created in order to reach the entity named by this resource record.
ゲートウェイフィールドは、このリソースレコードで指定されたエンティティに到達するためにIPsecトンネルが作成されるゲートウェイを示します。
There are three formats:
次の3つの形式があります。
A 32-bit IPv4 address is present in the gateway field. The data portion is an IPv4 address as described in section 3.4.1 of RFC 1035 [2]. This is a 32-bit number in network byte order.
ゲートウェイフィールドに32ビットIPv4アドレスが存在します。 データ部分は、RFC 1035 [2]のセクション3.4.1で説明されているIPv4アドレスです。 これは、ネットワークバイト順の32ビットの数値です。
A 128-bit IPv6 address is present in the gateway field. The data portion is an IPv6 address as described in section 2.2 of RFC 3596 [12]. This is a 128-bit number in network byte order.
ゲートウェイフィールドには、128ビットのIPv6アドレスが存在します。 データ部分は、RFC 3596 [12]のセクション2.2で説明されているIPv6アドレスです。 これは、ネットワークバイト順の128ビットの数値です。
The gateway field is a normal wire-encoded domain name, as described in section 3.3 of RFC 1035 [2]. Compression MUST NOT be used.
ゲートウェイフィールドは、RFC 1035 [2]のセクション3.3で説明されているように、通常のワイヤーエンコードされたドメイン名です。 圧縮を使用しないでください。
Both the public key types defined in this document (RSA and DSA) inherit their public key formats from the corresponding KEY RR formats. Specifically, the public key field contains the algorithm-specific portion of the KEY RR RDATA, which is all the KEY RR DATA after the first four octets. This is the same portion of the KEY RR that must be specified by documents that define a DNSSEC algorithm. Those documents also specify a message digest to be used for generation of SIG RRs; that specification is not relevant for IPSECKEY RRs.
このドキュメントで定義されている両方の公開鍵タイプ(RSAおよびDSA)は、対応するKEY RR形式から公開鍵形式を継承します。 具体的には、公開鍵フィールドには、最初の4オクテットの後のすべてのKEY RR DATAであるKEY RR RDATAのアルゴリズム固有の部分が含まれます。 これは、DNSSECアルゴリズムを定義するドキュメントで指定する必要があるKEY RRの同じ部分です。 これらのドキュメントは、SIG RRの生成に使用されるメッセージダイジェストも指定しています。 その仕様はIPSECKEY RRには関係ありません。
Future algorithms, if they are to be used by both DNSSEC (in the KEY RR) and IPSECKEY, are likely to use the same public key encodings in both records. Unless otherwise specified, the IPSECKEY public key field will contain the algorithm-specific portion of the KEY RR RDATA for the corresponding algorithm. The algorithm must still be designated for use by IPSECKEY, and an IPSECKEY algorithm type number (which might be different from the DNSSEC algorithm number) must be assigned to it.
将来のアルゴリズムは、DNSSEC(KEY RR内)とIPSECKEYの両方で使用される場合、両方のレコードで同じ公開鍵エンコーディングを使用する可能性があります。 特に指定しない限り、IPSECKEY公開キーフィールドには、対応するアルゴリズムのKEY RR RDATAのアルゴリズム固有の部分が含まれます。 アルゴリズムは引き続きIPSECKEYで使用するように指定する必要があり、IPSECKEYアルゴリズムタイプ番号(DNSSECアルゴリズム番号とは異なる場合があります)を割り当てる必要があります。
The DSA key format is defined in RFC 2536 [9]
DSAキー形式は、RFC 2536 [9]で定義されています
The RSA key format is defined in RFC 3110 [10], with the following changes:
RSA鍵形式はRFC 3110 [10]で定義されており、次の変更があります。
The earlier definition of RSA/MD5 in RFC 2065 [4] limited the exponent and modulus to 2552 bits in length. RFC 3110 extended that limit to 4096 bits for RSA/SHA1 keys. The IPSECKEY RR imposes no length limit on RSA public keys, other than the 65535 octet limit imposed by the two-octet length encoding. This length extension is applicable only to IPSECKEY; it is not applicable to KEY RRs.
RFC 2065 [4]のRSA / MD5の初期の定義では、指数とモジュラスの長さは2552ビットに制限されていました。 RFC 3110は、RSA / SHA1キーの制限を4096ビットに拡張しました。 IPSECKEY RRは、2オクテットの長さのエンコーディングによって課せられる65535オクテットの制限を除き、RSA公開キーに長さの制限を課しません。 この長さの拡張は、IPSECKEYにのみ適用されます。 KEY RRには適用されません。
IPSECKEY RRs may appear in a zone data master file. The precedence, gateway type, algorithm, and gateway fields are REQUIRED. The base64 encoded public key block is OPTIONAL; if it is not present, the public key field of the resource record MUST be construed to be zero octets in length.
IPSECKEY RRは、ゾーンデータマスターファイルに表示される場合があります。 優先順位、ゲートウェイタイプ、アルゴリズム、およびゲートウェイフィールドが必要です。 base64でエンコードされた公開キーブロックはオプションです。 存在しない場合、リソースレコードの公開キーフィールドは長さがゼロオクテットであると解釈する必要があります。
The algorithm field is an unsigned integer. No mnemonics are defined.
アルゴリズムフィールドは符号なし整数です。 ニーモニックは定義されていません。
If no gateway is to be indicated, then the gateway type field MUST be zero, and the gateway field MUST be "."
ゲートウェイを指定しない場合、ゲートウェイタイプフィールドはゼロでなければならず、ゲートウェイフィールドは「。」でなければなりません。
The Public Key field is represented as a Base64 encoding of the Public Key. Whitespace is allowed within the Base64 text. For a definition of Base64 encoding, see RFC 3548 [6], Section 5.2.
公開鍵フィールドは、公開鍵のBase64エンコードとして表されます。 Base64テキスト内では空白を使用できます。 Base64エンコーディングの定義については、RFC 3548 [6]、セクション5.2を参照してください。
The general presentation for the record is as follows:
レコードの一般的なプレゼンテーションは次のとおりです。
IN IPSECKEY ( precedence gateway-type algorithm gateway base64-encoded-public-key )
IN IPSECKEY(優先ゲートウェイ型アルゴリズムゲートウェイbase64-encoded-public-key)
An example of a node, 192.0.2.38, that will accept IPsec tunnels on its own behalf.
独自にIPsecトンネルを受け入れるノード、192.0.2.38の例。
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 1 2 192.0.2.38 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
38.2.0.192.in-addr.arpa。 7200 IN IPSECKEY(10 1 2 192.0.2.38 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ ==)
An example of a node, 192.0.2.38, that has published its key only.
キーのみを公開したノード192.0.2.38の例。
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 0 2 . AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
38.2.0.192.in-addr.arpa。 7200 IN IPSECKEY(10 0 2。AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ ==)
An example of a node, 192.0.2.38, that has delegated authority to the node 192.0.2.3.
ノード192.0.2.3に権限を委任したノード192.0.2.38の例。
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 1 2 192.0.2.3 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
38.2.0.192.in-addr.arpa。 7200 IN IPSECKEY(10 1 2 192.0.2.3 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ ==)
An example of a node, 192.0.1.38 that has delegated authority to the node with the identity "mygateway.example.com".
IDが「mygateway.example.com」のノードに権限を委任したノード192.0.1.38の例。
38.1.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 3 2 mygateway.example.com. AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
38.1.0.192.in-addr.arpa。 7200 IN IPSECKEY(10 3 2 mygateway.example.com。AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ ==)
An example of a node, 2001:0DB8:0200:1:210:f3ff:fe03:4d0, that has delegated authority to the node 2001:0DB8:c000:0200:2::1
ノード2001:0DB8:0200:1:210:f3ff:fe03:4d0、ノード2001:0DB8:c000:0200:2 :: 1に権限を委任したノードの例
$ORIGIN 1.0.0.0.0.0.2.8.B.D.0.1.0.0.2.ip6.arpa. 0.d.4.0.3.0.e.f.f.f.3.f.0.1.2.0 7200 IN IPSECKEY ( 10 2 2 2001:0DB8:0:8002::2000:1 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
$ ORIGIN 1.0.0.0.0.0.2.8.B.D.0.1.0.0.2.ip6.arpa。 0.d.4.0.3.0.e.f.f.f.3.f.0.1.2.0 7200 IN IPSECKEY(10 2 2 2001:0DB8:0:8002 :: 2000:1 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ ==)
This entire memo pertains to the provision of public keying material for use by key management protocols such as ISAKMP/IKE (RFC 2407) [7].
このメモ全体は、ISAKMP / IKE(RFC 2407)[7]などの鍵管理プロトコルで使用する公開鍵素材の提供に関するものです。
The IPSECKEY resource record contains information that SHOULD be communicated to the end client in an integral fashion; i.e., free from modification. The form of this channel is up to the consumer of the data; there must be a trust relationship between the end consumer of this resource record and the server. This relationship may be end-to-end DNSSEC validation, a TSIG or SIG(0) channel to another secure source, a secure local channel on the host, or some combination of the above.
IPSECKEYリソースレコードには、エンドクライアントに不可欠な方法で通信する必要がある情報が含まれています。 つまり、修正なし。 このチャネルの形式は、データの利用者次第です。 このリソースレコードのエンドコンシューマとサーバーの間に信頼関係が必要です。 この関係は、エンドツーエンドのDNSSEC検証、別の安全なソースへのTSIGまたはSIG(0)チャネル、ホスト上の安全なローカルチャネル、または上記の何らかの組み合わせである場合があります。
The keying material provided by the IPSECKEY resource record is not sensitive to passive attacks. The keying material may be freely disclosed to any party without any impact on the security properties of the resulting IPsec session. IPsec and IKE provide defense against both active and passive attacks.
IPSECKEYリソースレコードによって提供されるキー情報は、受動的な攻撃の影響を受けません。 キーイングマテリアルは、結果のIPsecセッションのセキュリティプロパティに影響を与えることなく、任意の関係者に自由に開示できます。 IPsecとIKEは、アクティブ攻撃とパッシブ攻撃の両方に対する防御を提供します。
Any derivative specification that makes use of this resource record MUST carefully document its trust model and why the trust model of DNSSEC is appropriate, if that is the secure channel used.
このリソースレコードを使用する派生仕様では、その信頼モデルと、DNSSECの信頼モデルが適切な理由を慎重に文書化する必要があります(それが安全なチャネルである場合)。
An active attack on the DNS that caused the wrong IP address to be retrieved (via forged address), and therefore the wrong QNAME to be queried, would also result in a man-in-the-middle attack. This situation is independent of whether the IPSECKEY RR is used.
DNSに対する積極的な攻撃により、(偽造アドレスを介して)誤ったIPアドレスが取得され、その結果、誤ったQNAMEが照会されると、中間者攻撃も発生します。 この状況は、IPSECKEY RRが使用されているかどうかとは無関係です。
This section deals with active attacks against the DNS. These attacks require that DNS requests and responses be intercepted and changed. DNSSEC is designed to defend against attacks of this kind. This section deals with the situation in which DNSSEC is not available. This is not the recommended deployment scenario.
このセクションでは、DNSに対する積極的な攻撃を扱います。 これらの攻撃では、DNS要求とDNS応答を傍受して変更する必要があります。 DNSSECは、この種の攻撃を防御するように設計されています。 このセクションでは、DNSSECが利用できない状況を扱います。 これは、推奨される展開シナリオではありません。
The first kind of active attack is when the attacker replaces the keying material with either a key under its control or with garbage.
最初の種類の積極的な攻撃は、攻撃者がキー情報をその管理下のキーまたはガーベッジに置き換えた場合です。
The gateway field is either untouched or is null. The IKE negotiation will therefore occur with the original end-system. For this attack to succeed, the attacker must perform a man-in-the-middle attack on the IKE negotiation. This attack requires that the attacker be able to intercept and modify packets on the forwarding path for the IKE and data packets.
ゲートウェイフィールドは変更されていないか、nullです。 したがって、IKEネゴシエーションは元のエンドシステムで発生します。 この攻撃が成功するには、攻撃者はIKEネゴシエーションに対して中間者攻撃を実行する必要があります。 この攻撃では、攻撃者がIKEおよびデータパケットの転送パス上のパケットを傍受および変更できる必要があります。
If the attacker is not able to perform this man-in-the-middle attack on the IKE negotiation, then a denial of service will result, as the IKE negotiation will fail.
攻撃者がIKEネゴシエーションに対してこの中間者攻撃を実行できない場合、IKEネゴシエーションが失敗するため、サービス拒否が発生します。
If the attacker is not only able to mount active attacks against DNS but also in a position to perform a man-in-the-middle attack on IKE and IPsec negotiations, then the attacker will be able to compromise the resulting IPsec channel. Note that an attacker must be able to perform active DNS attacks on both sides of the IKE negotiation for this to succeed.
攻撃者がDNSに対してアクティブな攻撃を仕掛けるだけでなく、IKEおよびIPsecネゴシエーションに対して中間者攻撃を実行できる立場にある場合、攻撃者は結果のIPsecチャネルを危険にさらすことができます。 攻撃者がこれを成功させるには、IKEネゴシエーションの両側でアクティブなDNS攻撃を実行できる必要があることに注意してください。
The second kind of active attack is one in which the attacker replaces the gateway address to point to a node under the attacker's control. The attacker then either replaces the public key or removes it. If the public key were removed, then the attacker could provide an accurate public key of its own in a second record.
2番目の種類のアクティブな攻撃は、攻撃者がゲートウェイアドレスを置き換えて、攻撃者の制御下にあるノードを指す攻撃です。 その後、攻撃者は公開鍵を置き換えるか削除します。 公開鍵が削除された場合、攻撃者は2番目のレコードで独自の正確な公開鍵を提供できます。
This second form creates a simple man-in-the-middle attacks since the attacker can then create a second tunnel to the real destination. Note that, as before, this requires that the attacker also mount an active attack against the responder.
この2番目の形式は、攻撃者が実際の宛先への2番目のトンネルを作成できるため、単純な中間者攻撃を作成します。 前述のように、これには攻撃者がレスポンダーに対して積極的な攻撃を仕掛ける必要があることに注意してください。
Note that the man-in-the-middle cannot just forward cleartext packets to the original destination. While the destination may be willing to speak in the clear, replying to the original sender, the sender will already have created a policy expecting ciphertext. Thus, the attacker will need to intercept traffic in both directions. In some cases, the attacker may be able to accomplish the full intercept by use of Network Address/Port Translation (NAT/NAPT) technology.
中間者は、クリアテキストパケットを元の宛先に転送できないことに注意してください。 宛先は、元の送信者に返信して平文で話しても構いませんが、送信者は暗号文を期待するポリシーをすでに作成しています。 したがって、攻撃者は両方向のトラフィックを傍受する必要があります。 場合によっては、攻撃者はネットワークアドレス/ポート変換(NAT / NAPT)テクノロジを使用して完全な傍受を達成できる可能性があります。
This attack is easier than the first one because the attacker does NOT need to be on the end-to-end forwarding path. The attacker need only be able to modify DNS replies. This can be done by packet modification, by various kinds of race attacks, or through methods that pollute DNS caches.
この攻撃は、攻撃者がエンドツーエンドの転送パス上にいる必要がないため、最初の攻撃よりも簡単です。 攻撃者が必要とするのは、DNS応答を変更することだけです。 これは、パケットの変更、さまざまな種類の競合攻撃、またはDNSキャッシュを汚染する方法によって実行できます。
If the end-to-end integrity of the IPSECKEY RR is suspect, the end client MUST restrict its use of the IPSECKEY RR to cases where the RR owner name matches the content of the gateway field. As the RR owner name is assumed when the gateway field is null, a null gateway field is considered a match.
IPSECKEY RRのエンドツーエンドの整合性が疑われる場合、エンドクライアントは、RR所有者名がゲートウェイフィールドのコンテンツと一致する場合にIPSECKEY RRの使用を制限しなければなりません。 ゲートウェイフィールドがヌルの場合、RRオーナー名が想定されるため、ヌルゲートウェイフィールドは一致と見なされます。
Thus, any records obtained under unverified conditions (e.g., no DNSSEC or trusted path to source) that have a non-null gateway field MUST be ignored.
したがって、検証されていない条件(たとえば、DNSSECまたはソースへの信頼できるパス)で取得された、null以外のゲートウェイフィールドを持つレコードは無視する必要があります。
This restriction eliminates attacks against the gateway field, which are considered much easier, as the attack does not need to be on the forwarding path.
この制限は、攻撃が転送パス上にある必要がないため、ゲートウェイフィールドに対する攻撃を排除します。
In the case of an IPSECKEY RR with a value of three in its gateway type field, the gateway field contains a domain name. The subsequent query required to translate that name into an IP address or IPSECKEY RR will also be subject to man-in-the-middle attacks. If the end-to-end integrity of this second query is suspect, then the provisions above also apply. The IPSECKEY RR MUST be ignored whenever the resulting gateway does not match the QNAME of the original IPSECKEY RR query.
ゲートウェイタイプフィールドの値が3のIPSECKEY RRの場合、ゲートウェイフィールドにはドメイン名が含まれます。 その名前をIPアドレスまたはIPSECKEY RRに変換するために必要な後続のクエリも、中間者攻撃の対象となります。 この2番目のクエリのエンドツーエンドの整合性が疑わしい場合、上記の規定も適用されます。 結果のゲートウェイが元のIPSECKEY RRクエリのQNAMEと一致しない場合は、IPSECKEY RRを無視する必要があります。
This document updates the IANA Registry for DNS Resource Record Types by assigning type 45 to the IPSECKEY record.
このドキュメントは、タイプ45をIPSECKEYレコードに割り当てることにより、DNSリソースレコードタイプのIANAレジストリを更新します。
This document creates two new IANA registries, both specific to the IPSECKEY Resource Record:
このドキュメントは、IPSECKEYリソースレコードに固有の2つの新しいIANAレジストリを作成します。
This document creates an IANA registry for the algorithm type field.
このドキュメントは、アルゴリズムタイプフィールドのIANAレジストリを作成します。
Values 0, 1, and 2 are defined in Section 2.4. Algorithm numbers 3 through 255 can be assigned by IETF Consensus (see RFC 2434 [5]).
値0、1、および2はセクション2.4で定義されています。 IETFコンセンサスにより、アルゴリズム番号3〜255を割り当てることができます(RFC 2434 [5]を参照)。
This document creates an IANA registry for the gateway type field.
このドキュメントは、ゲートウェイタイプフィールドのIANAレジストリを作成します。
Values 0, 1, 2, and 3 are defined in Section 2.3. Gateway type numbers 4 through 255 can be assigned by Standards Action (see RFC 2434 [5]).
値0、1、2、および3は、セクション2.3で定義されています。 標準アクションによってゲートウェイタイプ番号4〜255を割り当てることができます(RFC 2434 [5]を参照)。
My thanks to Paul Hoffman, Sam Weiler, Jean-Jacques Puig, Rob Austein, and Olafur Gudmundsson, who reviewed this document carefully. Additional thanks to Olafur Gurmundsson for a reference implementation.
ポール・ホフマン、サム・ワイラー、ジャン・ジャック・プイグ、ロブ・オーシュタイン、オラファー・グムンドソンに感謝します。 リファレンス実装をしてくれたOlafur Gurmundssonに感謝します。
[1] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[1] Mockapetris、P。、「ドメイン名-概念と機能」、STD 13、RFC 1034、1987年11月。
[2] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[2] Mockapetris、P。、「ドメイン名-実装と仕様」、STD 13、RFC 1035、1987年11月。
[3] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[3] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[4] Eastlake 3rd, D. and C. Kaufman, "Domain Name System Security Extensions", RFC 2065, January 1997.
[4] Eastlake 3rd、D。およびC. Kaufman、「ドメインネームシステムセキュリティ拡張機能」、RFC 2065、1997年1月。
[5] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[5] Narten、T。、およびH. Alvestrand、「RFCでIANA考慮事項セクションを記述するためのガイドライン」、BCP 26、RFC 2434、1998年10月。
[6] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 3548, July 2003.
[6] Josefsson、S。、「Base16、Base32、およびBase64データエンコーディング」、RFC 3548、2003年7月。
[7] Piper, D., "The Internet IP Security Domain of Interpretation for ISAKMP", RFC 2407, November 1998.
[7] Piper、D。、「ISAKMPの解釈のインターネットIPセキュリティドメイン」、RFC 2407、1998年11月
[8] Eastlake 3rd, D., "Domain Name System Security Extensions", RFC 2535, March 1999.
[8] Eastlake 3rd、D。、「ドメインネームシステムセキュリティ拡張機能」、RFC 2535、1999年3月。
[9] Eastlake 3rd, D., "DSA KEYs and SIGs in the Domain Name System (DNS)", RFC 2536, March 1999.
[9] Eastlake 3rd、D.、「ドメインネームシステム(DNS)のDSAキーとSIG」、RFC 2536、1999年3月。
[10] Eastlake 3rd, D., "RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System (DNS)", RFC 3110, May 2001.
[10] Eastlake 3rd、D。、「ドメインネームシステム(DNS)のRSA / SHA-1 SIGとRSA KEY」、RFC 3110、2001年5月。
[11] Massey, D. and S. Rose, "Limiting the Scope of the KEY Resource Record (RR)", RFC 3445, December 2002.
[11] Massey、D。、およびS. Rose、「KEYリソースレコード(RR)の範囲の制限」、RFC 3445、2002年12月。
[12] Thomson, S., Huitema, C., Ksinant, V., and M. Souissi, "DNS Extensions to Support IP Version 6", RFC 3596, October 2003.
[12] Thomson、S.、Huitema、C.、Ksinant、V。、およびM. Souissi、「IPバージョン6をサポートするDNS拡張」、RFC 3596、2003年10月。
Author's Address
著者の住所
Michael C. Richardson Sandelman Software Works 470 Dawson Avenue Ottawa, ON K1Z 5V7 CA
Michael C. Richardson Sandelman Software Works 470 Dawson Avenue Ottawa、ON K1Z 5V7 CA
EMail: mcr@sandelman.ottawa.on.ca URI: http://www.sandelman.ottawa.on.ca/
メール:mcr@sandelman.ottawa.on.ca URI:http://www.sandelman.ottawa.on.ca/
Full Copyright Statement
完全な著作権表示
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、制限の対象となります。また、そこに記載されている場合を除き、著者はすべての権利を保持します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
本書および本書に含まれる情報は「現状のまま」提供され、寄稿者、代表者または代表者(もしあれば)、インターネット協会、インターネットエンジニアリングタスクフォースはすべての保証を放棄します 黙示的であるが、ここに記載されている情報の使用が商品性または特定の目的への適合性の黙示的保証を侵害しないという保証に限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the IETF's procedures with respect to rights in IETF Documents can be found in BCP 78 and BCP 79.
IETFは、本書に記載されている技術の実装または使用に関連すると主張される可能性のある知的財産権またはその他の権利の有効性または範囲、またはそのような権利の下でのライセンスの有無に関して、立場をとりません。 利用可能 また、そのような権利を特定するための独立した努力を行ったことを表すものでもありません。 IETFドキュメントの権利に関するIETFの手順に関する情報は、BCP 78およびBCP 79にあります。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーおよび利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによる一般的なライセンスまたはそのような所有権の使用許可の取得を試みた結果を取得できます。 IETFオンラインIPRリポジトリ(http://www.ietf.org/ipr)から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、この標準を実装するために必要な技術を対象とする著作権、特許、特許出願、またはその他の所有権に関心を寄せるよう、あらゆる利害関係者を招待します。 IETFのietf-ipr@ietf.orgに情報を送信してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能の資金は、現在インターネット協会によって提供されています。