testdata/val_ds_gost_downgrade.crpl

   1 ; config options
   2 ; The island of trust is at example.com
   3 server:
   4         trust-anchor: "example.com.    3600    IN      DS      2854 3 1 46e4ffc6e9a4793b488954bd3f0cc6af0dfb201b"
   5         val-override-date: "20070916134226"
   6         target-fetch-policy: "0 0 0 0 0"
   7         fake-sha1: yes
   8         trust-anchor-signaling: no
   9         harden-algo-downgrade: yes
  10
  11 stub-zone:
  12         name: "."
  13         stub-addr: 193.0.14.129         # K.ROOT-SERVERS.NET.
  14 CONFIG_END
  15
  16 SCENARIO_BEGIN Test validator with GOST DS digest downgrade attack
  17
  18 ; K.ROOT-SERVERS.NET.
  19 RANGE_BEGIN 0 100
  20         ADDRESS 193.0.14.129
  21 ENTRY_BEGIN
  22 MATCH opcode qtype qname
  23 ADJUST copy_id
  24 REPLY QR NOERROR
  25 SECTION QUESTION
  26 . IN NS
  27 SECTION ANSWER
  28 . IN NS K.ROOT-SERVERS.NET.
  29 SECTION ADDITIONAL
  30 K.ROOT-SERVERS.NET.     IN      A       193.0.14.129
  31 ENTRY_END
  32
  33 ENTRY_BEGIN
  34 MATCH opcode qtype qname
  35 ADJUST copy_id
  36 REPLY QR NOERROR
  37 SECTION QUESTION
  38 www.sub.example.com. IN A
  39 SECTION AUTHORITY
  40 com.    IN NS   a.gtld-servers.net.
  41 SECTION ADDITIONAL
  42 a.gtld-servers.net.     IN      A       192.5.6.30
  43 ENTRY_END
  44 RANGE_END
  45
  46 ; a.gtld-servers.net.
  47 RANGE_BEGIN 0 100
  48         ADDRESS 192.5.6.30
  49 ENTRY_BEGIN
  50 MATCH opcode qtype qname
  51 ADJUST copy_id
  52 REPLY QR NOERROR
  53 SECTION QUESTION
  54 com. IN NS
  55 SECTION ANSWER
  56 com.    IN NS   a.gtld-servers.net.
  57 SECTION ADDITIONAL
  58 a.gtld-servers.net.     IN      A       192.5.6.30
  59 ENTRY_END
  60
  61 ENTRY_BEGIN
  62 MATCH opcode subdomain
  63 ADJUST copy_id copy_query
  64 REPLY QR NOERROR
  65 SECTION QUESTION
  66 example.com. IN A
  67 SECTION AUTHORITY
  68 example.com.    IN NS   ns.example.com.
  69 SECTION ADDITIONAL
  70 ns.example.com.         IN      A       1.2.3.4
  71 ENTRY_END
  72 RANGE_END
  73
  74 ; ns.example.com.
  75 RANGE_BEGIN 0 100
  76         ADDRESS 1.2.3.4
  77 ENTRY_BEGIN
  78 MATCH opcode qtype qname
  79 ADJUST copy_id
  80 REPLY QR AA REFUSED
  81 SECTION QUESTION
  82 ns.example.com. IN AAAA
  83 ENTRY_END
  84
  85 ENTRY_BEGIN
  86 MATCH opcode qtype qname
  87 ADJUST copy_id
  88 REPLY QR NOERROR
  89 SECTION QUESTION
  90 example.com. IN NS
  91 SECTION ANSWER
  92 example.com.    IN NS   ns.example.com.
  93 example.com.    3600    IN      RRSIG   NS 3 2 3600 20070926134150 20070829134150 2854 example.com. MC0CFQCN+qHdJxoI/2tNKwsb08pra/G7aAIUAWA5sDdJTbrXA1/3OaesGBAO3sI= ;{id = 2854}
  94 SECTION ADDITIONAL
  95 ns.example.com.         IN      A       1.2.3.4
  96 ns.example.com. 3600    IN      RRSIG   A 3 3 3600 20070926135752 20070829135752 2854 example.com. MC0CFQCMSWxVehgOQLoYclB9PIAbNP229AIUeH0vNNGJhjnZiqgIOKvs1EhzqAo= ;{id = 2854}
  97 ENTRY_END
  98
  99 ; response to DNSKEY priming query
 100 ENTRY_BEGIN
 101 MATCH opcode qtype qname
 102 ADJUST copy_id
 103 REPLY QR NOERROR
 104 SECTION QUESTION
 105 example.com. IN DNSKEY
 106 SECTION ANSWER
 107 example.com.    3600    IN      DNSKEY  256 3 3 ALXLUsWqUrY3JYER3T4TBJII s70j+sDS/UT2QRp61SE7S3E EXopNXoFE73JLRmvpi/UrOO/Vz4Se 6wXv/CYCKjGw06U4WRgR YXcpEhJROyNapmdIKSx hOzfLVE1gqA0PweZR8d tY3aNQSRn3sPpwJr6Mi /PqQKAMMrZ9ckJpf1+b QMOOvxgzz2U1GS18b3y ZKcgTMEaJzd/GZYzi/B N2DzQ0MsrSwYXfsNLFO Bbs8PJMW4LYIxeeOe6rUgkWOF 7CC9Dh/dduQ1QrsJhmZAEFfd6ByYV+ ;{id = 2854 (zsk), size = 1688b}
 108 example.com. 3600    IN      RRSIG   DNSKEY DSA 2 3600 20070926134150 20070829134150 2854 example.com. MCwCFBQRtlR4BEv9ohi+PGFjp+AHsJuHAhRCvz0shggvnvI88DFnBDCczHUcVA== ;{id = 2854}
 109 SECTION AUTHORITY
 110 example.com.    IN NS   ns.example.com.
 111 example.com.    3600    IN      RRSIG   NS 3 2 3600 20070926134150 20070829134150 2854 example.com. MC0CFQCN+qHdJxoI/2tNKwsb08pra/G7aAIUAWA5sDdJTbrXA1/3OaesGBAO3sI= ;{id = 2854}
 112 SECTION ADDITIONAL
 113 ns.example.com.         IN      A       1.2.3.4
 114 ns.example.com. 3600    IN      RRSIG   A 3 3 3600 20070926135752 20070829135752 2854 example.com. MC0CFQCMSWxVehgOQLoYclB9PIAbNP229AIUeH0vNNGJhjnZiqgIOKvs1EhzqAo= ;{id = 2854}
 115 ENTRY_END
 116
 117 ; response for delegation to sub.example.com.
 118 ENTRY_BEGIN
 119 MATCH opcode subdomain
 120 ADJUST copy_id copy_query
 121 REPLY QR NOERROR
 122 SECTION QUESTION
 123 sub.example.com. IN A
 124 SECTION ANSWER
 125 SECTION AUTHORITY
 126 sub.example.com. IN     NS ns.sub.example.com.
 127
 128 ; downgrade: false GOST, correct SHA
 129
 130
 131 sub.example.com.        3600    IN      DS      60385 12 3 2be04f63b3d069fd65f81a3b810b661a00d39be3ff00d1c7481a150b93b0d028
 132
 133 ; correct GOST DS for sub.example.com.
 134 ; sub.example.com.        3600    IN      DS      60385 12 3 2be04f63b3d069fd65f81a3b810b661a00d39be3ff00d1c7481a150b93b0d027 ; xepov-bofek-fuset-bipiz-tunoz-mukyf-rybyb-ranic-pobet-fakov-fozob-bagus-ludac-pyheb-rygor-bygyd-lyxyx
 135
 136 ; SHA1 DS for sub.example.com.
 137 sub.example.com.       3600    IN      DS      60385 12 1 0a66f7923318bb1e208bfd975ffa2e30cfcdf962 ; xedik-katin-dasec-myvic-vumum-rizan-luluz-paraf-befas-tovek-dyxax
 138 ; SHA256 DS for sub.example.com.
 139 sub.example.com.       3600    IN      DS      60385 12 2 cd3290b84b457d02ca29846a005a5eba61640256ced8deca0ef8345d2cd34a58 ; xufef-dugir-modog-hyzyb-dadod-nicuk-pubyh-polor-pomuk-gobuh-kufet-mulus-pofyz-metoh-tarit-fudih-moxex
 140
 141 ; signs SHA1, SHA2 and GOST DSes
 142 sub.example.com.        3600    IN      RRSIG   DS 3 3 3600 20070926135752 20070829135752 2854 example.com. ADB1PPtGoPKRrhNtRtkqeqpgnZdbPOdJMgjdZVxPfgGCoMTu3JFQVbo= ;{id = 2854}
 143
 144 SECTION ADDITIONAL
 145 ns.sub.example.com. IN A 1.2.3.6
 146 ENTRY_END
 147
 148 RANGE_END
 149
 150 ; ns.sub.example.com.
 151 RANGE_BEGIN 0 100
 152         ADDRESS 1.2.3.6
 153 ENTRY_BEGIN
 154 MATCH opcode qtype qname
 155 ADJUST copy_id
 156 REPLY QR NOERROR
 157 SECTION QUESTION
 158 sub.example.com. IN NS
 159 SECTION ANSWER
 160 sub.example.com. IN     NS ns.sub.example.com.
 161 sub.example.com.        3600    IN      RRSIG   NS 12 3 3600 20070926134150 20070829134150 60385 sub.example.com. 6mNrX32/DC2RU1A+yWCccn5H6wnsbNYTlf8e/LyF1fsuNfw6tH12sKGBCtk1mp4HpDIgH02HDHplJskSFOvzTw== ;{id = 60385}
 162
 163 SECTION ADDITIONAL
 164 ns.sub.example.com. IN A 1.2.3.6
 165 ns.sub.example.com.     3600    IN      RRSIG   A 12 4 3600 20070926134150 20070829134150 60385 sub.example.com. kJEyinL7BkpiPW2HxmFHRLAi68EdrLXToJiK83a5cedDe5ABL7c/k+nFHd3WjATUtVoueY3pSnCDVCJaFmd+/A== ;{id = 60385}
 166 ENTRY_END
 167
 168 ENTRY_BEGIN
 169 MATCH opcode qtype qname
 170 ADJUST copy_id
 171 REPLY QR AA NOERROR
 172 SECTION QUESTION
 173 ns.sub.example.com. IN A
 174 SECTION ANSWER
 175 ns.sub.example.com. IN A 1.2.3.6
 176 ns.sub.example.com.     3600    IN      RRSIG   A 12 4 3600 20070926134150 20070829134150 60385 sub.example.com. kJEyinL7BkpiPW2HxmFHRLAi68EdrLXToJiK83a5cedDe5ABL7c/k+nFHd3WjATUtVoueY3pSnCDVCJaFmd+/A== ;{id = 60385}
 177 SECTION AUTHORITY
 178 sub.example.com. IN     NS ns.sub.example.com.
 179 sub.example.com.        3600    IN      RRSIG   NS 12 3 3600 20070926134150 20070829134150 60385 sub.example.com. 6mNrX32/DC2RU1A+yWCccn5H6wnsbNYTlf8e/LyF1fsuNfw6tH12sKGBCtk1mp4HpDIgH02HDHplJskSFOvzTw== ;{id = 60385}
 180 ENTRY_END
 181
 182 ; response to DNSKEY priming query
 183 ENTRY_BEGIN
 184 MATCH opcode qtype qname
 185 ADJUST copy_id
 186 REPLY QR NOERROR
 187 SECTION QUESTION
 188 sub.example.com. IN DNSKEY
 189 SECTION ANSWER
 190 sub.example.com.        3600    IN      DNSKEY  256 3 12 9SZY+xB3wKtrLoRHzkBs9L3fjcvazjnk5HF3gMaD1PVp4pthrwgHIm0TUaLrd3YCa2VCl5wj+MzbhZi8NEJ/Cg== ;{id = 60385 (zsk), size = 512b}
 191 sub.example.com.        3600    IN      RRSIG   DNSKEY 12 3 3600 20070926134150 20070829134150 60385 sub.example.com. zyZCppfMjlMS9xs3pJfbWkdA6EgV5MqI11AdVRV8pBsyI7diYLWm8RAHlhEI5MT59A6IT6Di9YjOCvWJjzZ9tA== ;{id = 60385}
 192 SECTION AUTHORITY
 193 sub.example.com. IN     NS ns.sub.example.com.
 194 sub.example.com.        3600    IN      RRSIG   NS 12 3 3600 20070926134150 20070829134150 60385 sub.example.com. 6mNrX32/DC2RU1A+yWCccn5H6wnsbNYTlf8e/LyF1fsuNfw6tH12sKGBCtk1mp4HpDIgH02HDHplJskSFOvzTw== ;{id = 60385}
 195 SECTION ADDITIONAL
 196 ns.sub.example.com. IN A 1.2.3.6
 197 ns.sub.example.com.     3600    IN      RRSIG   A 12 4 3600 20070926134150 20070829134150 60385 sub.example.com. kJEyinL7BkpiPW2HxmFHRLAi68EdrLXToJiK83a5cedDe5ABL7c/k+nFHd3WjATUtVoueY3pSnCDVCJaFmd+/A== ;{id = 60385}
 198 ENTRY_END
 199
 200 ; response to query of interest
 201 ENTRY_BEGIN
 202 MATCH opcode qtype qname
 203 ADJUST copy_id
 204 REPLY QR NOERROR
 205 SECTION QUESTION
 206 www.sub.example.com. IN A
 207 SECTION ANSWER
 208 www.sub.example.com. IN A       11.11.11.11
 209 www.sub.example.com.    3600    IN      RRSIG   A 12 4 3600 20070926134150 20070829134150 60385 sub.example.com. KVDpNBH83UM8l1e9yAdXA1fV+wFJSJF4NtOnDLTtbpfyVbndNW3tvPc2YfLBxTEZeUCns2QrqcmIMdZ086frOQ== ;{id = 60385}
 210
 211 SECTION AUTHORITY
 212 SECTION ADDITIONAL
 213 ENTRY_END
 214
 215 ENTRY_BEGIN
 216 MATCH opcode qtype qname
 217 ADJUST copy_id
 218 REPLY QR AA REFUSED
 219 SECTION QUESTION
 220 ns.sub.example.com. IN AAAA
 221 ENTRY_END
 222
 223 RANGE_END
 224
 225 STEP 1 QUERY
 226 ENTRY_BEGIN
 227 REPLY RD DO
 228 SECTION QUESTION
 229 www.sub.example.com. IN A
 230 ENTRY_END
 231
 232 ; recursion happens here.
 233 ; must servfail bogus
 234 STEP 10 CHECK_ANSWER
 235 ENTRY_BEGIN
 236 MATCH all
 237 REPLY QR RD RA DO SERVFAIL
 238 SECTION QUESTION
 239 www.sub.example.com. IN A
 240 SECTION ANSWER
 241 ;www.sub.example.com.   3600    IN      A       11.11.11.11
 242 ;www.sub.example.com.    3600    IN      RRSIG   A 12 4 3600 20070926134150 20070829134150 60385 sub.example.com. KVDpNBH83UM8l1e9yAdXA1fV+wFJSJF4NtOnDLTtbpfyVbndNW3tvPc2YfLBxTEZeUCns2QrqcmIMdZ086frOQ== ;{id = 60385}
 243 SECTION AUTHORITY
 244 SECTION ADDITIONAL
 245 ENTRY_END
 246
 247 SCENARIO_END