contrib/bind9/doc/draft/draft-ietf-dnsext-rfc2536bis-dsa-06.txt

   1
   2 INTERNET-DRAFT                                DSA Information in the DNS
   3 OBSOLETES: RFC 2536                               Donald E. Eastlake 3rd
   4                                                    Motorola Laboratories
   5 Expires: January 2006                                          July 2005
   6
   7
   8             DSA Keying and Signature Information in the DNS
   9             --- ------ --- --------- ----------- -- --- ---
  10                <draft-ietf-dnsext-rfc2536bis-dsa-06.txt>
  11                          Donald E. Eastlake 3rd
  12
  13
  14 Status of This Document
  15
  16    By submitting this Internet-Draft, each author represents that any
  17    applicable patent or other IPR claims of which he or she is aware
  18    have been or will be disclosed, and any of which he or she becomes
  19    aware will be disclosed, in accordance with Section 6 of BCP 79.
  20
  21    Distribution of this document is unlimited. Comments should be sent
  22    to the DNS extensions working group mailing list
  23    <namedroppers@ops.ietf.org>.
  24
  25    Internet-Drafts are working documents of the Internet Engineering
  26    Task Force (IETF), its areas, and its working groups.  Note that
  27    other groups may also distribute working documents as Internet-
  28    Drafts.
  29
  30    Internet-Drafts are draft documents valid for a maximum of six months
  31    and may be updated, replaced, or obsoleted by other documents at any
  32    time.  It is inappropriate to use Internet-Drafts as reference
  33    material or to cite them other than a "work in progress."
  34
  35    The list of current Internet-Drafts can be accessed at
  36    http://www.ietf.org/1id-abstracts.html
  37
  38    The list of Internet-Draft Shadow Directories can be accessed at
  39    http://www.ietf.org/shadow.html
  40
  41
  42 Abstract
  43
  44    The standard method of encoding US Government Digital Signature
  45    Algorithm keying and signature information for use in the Domain Name
  46    System is specified.
  47
  48
  49 Copyright Notice
  50
  51    Copyright (C) The Internet Society 2005. All Rights Reserved.
  52
  53
  54
  55
  56
  57 D. Eastlake 3rd                                                 [Page 1]
  58 \f
  59
  60 INTERNET-DRAFT                                DSA Information in the DNS
  61
  62
  63 Table of Contents
  64
  65       Status of This Document....................................1
  66       Abstract...................................................1
  67       Copyright Notice...........................................1
  68
  69       Table of Contents..........................................2
  70
  71       1. Introduction............................................3
  72       2. DSA Keying Information..................................3
  73       3. DSA Signature Information...............................4
  74       4. Performance Considerations..............................4
  75       5. Security Considerations.................................5
  76       6. IANA Considerations.....................................5
  77       Copyright and Disclaimer...................................5
  78
  79       Normative References.......................................7
  80       Informative References.....................................7
  81
  82       Authors Address............................................8
  83       Expiration and File Name...................................8
  84
  85
  86
  87
  88
  89
  90
  91
  92
  93
  94
  95
  96
  97
  98
  99
 100
 101
 102
 103
 104
 105
 106
 107
 108
 109
 110
 111
 112
 113
 114
 115 D. Eastlake 3rd                                                 [Page 2]
 116 \f
 117
 118 INTERNET-DRAFT                                DSA Information in the DNS
 119
 120
 121 1. Introduction
 122
 123    The Domain Name System (DNS) is the global hierarchical replicated
 124    distributed database system for Internet addressing, mail proxy, and
 125    other information [RFC 1034, 1035]. The DNS has been extended to
 126    include digital signatures and cryptographic keys as described in
 127    [RFC 4033, 4034, 4035] and additional work is underway which would
 128    require the storage of keying and signature information in the DNS.
 129
 130    This document describes how to encode US Government Digital Signature
 131    Algorithm (DSA) keys and signatures in the DNS.  Familiarity with the
 132    US Digital Signature Algorithm is assumed [FIPS 186-2, Schneier].
 133
 134
 135
 136 2. DSA Keying Information
 137
 138    When DSA public keys are stored in the DNS, the structure of the
 139    relevant part of the RDATA part of the RR being used is the fields
 140    listed below in the order given.
 141
 142    The period of key validity is not included in this data but is
 143    indicated separately, for example by an RR such as RRSIG which signs
 144    and authenticates the RR containing the keying information.
 145
 146         Field     Size
 147         -----     ----
 148          T         1  octet
 149          Q        20  octets
 150          P        64 + T*8  octets
 151          G        64 + T*8  octets
 152          Y        64 + T*8  octets
 153
 154    As described in [FIPS 186-2] and [Schneier], T is a key size
 155    parameter chosen such that 0 <= T <= 8.  (The meaning if the T octet
 156    is greater than 8 is reserved and the remainder of the data may have
 157    a different format in that case.)  Q is a prime number selected at
 158    key generation time such that 2**159 < Q < 2**160. Thus Q is always
 159    20 octets long and, as with all other fields, is stored in "big-
 160    endian" network order.  P, G, and Y are calculated as directed by the
 161    [FIPS 186-2] key generation algorithm [Schneier].  P is in the range
 162    2**(511+64T) < P < 2**(512+64T) and thus is 64 + 8*T octets long.  G
 163    and Y are quantities modulo P and so can be up to the same length as
 164    P and are allocated fixed size fields with the same number of octets
 165    as P.
 166
 167    During the key generation process, a random number X must be
 168    generated such that 1 <= X <= Q-1.  X is the private key and is used
 169    in the final step of public key generation where Y is computed as
 170
 171
 172
 173 D. Eastlake 3rd                                                 [Page 3]
 174 \f
 175
 176 INTERNET-DRAFT                                DSA Information in the DNS
 177
 178
 179         Y = G**X mod P
 180
 181
 182
 183 3. DSA Signature Information
 184
 185    The portion of the RDATA area used for US Digital Signature Algorithm
 186    signature information is shown below with fields in the order they
 187    are listed and the contents of each multi-octet field in "big-endian"
 188    network order.
 189
 190         Field     Size
 191         -----     ----
 192          T         1 octet
 193          R        20 octets
 194          S        20 octets
 195
 196    First, the data signed must be determined.  Then the following steps
 197    are taken, as specified in [FIPS 186-2], where Q, P, G, and Y are as
 198    specified in the public key [Schneier]:
 199
 200         hash = SHA-1 ( data )
 201
 202         Generate a random K such that 0 < K < Q.
 203
 204         R = ( G**K mod P ) mod Q
 205
 206         S = ( K**(-1) * (hash + X*R) ) mod Q
 207
 208    For information on the SHA-1 hash function see [FIPS 180-2] and [RFC
 209    3174].
 210
 211    Since Q is 160 bits long, R and S can not be larger than 20 octets,
 212    which is the space allocated.
 213
 214    T is copied from the public key.  It is not logically necessary in
 215    the SIG but is present so that values of T > 8 can more conveniently
 216    be used as an escape for extended versions of DSA or other algorithms
 217    as later standardized.
 218
 219
 220
 221 4. Performance Considerations
 222
 223    General signature generation speeds are roughly the same for RSA [RFC
 224    3110] and DSA.  With sufficient pre-computation, signature generation
 225    with DSA is faster than RSA.  Key generation is also faster for DSA.
 226    However, signature verification is an order of magnitude slower than
 227    RSA when the RSA public exponent is chosen to be small, as is
 228    recommended for some applications.
 229
 230
 231 D. Eastlake 3rd                                                 [Page 4]
 232 \f
 233
 234 INTERNET-DRAFT                                DSA Information in the DNS
 235
 236
 237    Current DNS implementations are optimized for small transfers,
 238    typically less than 512 bytes including DNS overhead.  Larger
 239    transfers will perform correctly and extensions have been
 240    standardized [RFC 2671] to make larger transfers more efficient, it
 241    is still advisable at this time to make reasonable efforts to
 242    minimize the size of RR sets containing keying and/or signature
 243    inforamtion consistent with adequate security.
 244
 245
 246
 247 5. Security Considerations
 248
 249    Keys retrieved from the DNS should not be trusted unless (1) they
 250    have been securely obtained from a secure resolver or independently
 251    verified by the user and (2) this secure resolver and secure
 252    obtainment or independent verification conform to security policies
 253    acceptable to the user.  As with all cryptographic algorithms,
 254    evaluating the necessary strength of the key is essential and
 255    dependent on local policy.
 256
 257    The key size limitation of a maximum of 1024 bits ( T = 8 ) in the
 258    current DSA standard may limit the security of DSA.  For particular
 259    applications, implementors are encouraged to consider the range of
 260    available algorithms and key sizes.
 261
 262    DSA assumes the ability to frequently generate high quality random
 263    numbers.  See [random] for guidance.  DSA is designed so that if
 264    biased rather than random numbers are used, high bandwidth covert
 265    channels are possible.  See [Schneier] and more recent research.  The
 266    leakage of an entire DSA private key in only two DSA signatures has
 267    been demonstrated.  DSA provides security only if trusted
 268    implementations, including trusted random number generation, are
 269    used.
 270
 271
 272
 273 6. IANA Considerations
 274
 275    Allocation of meaning to values of the T parameter that are not
 276    defined herein (i.e., > 8 ) requires an IETF standards actions.  It
 277    is intended that values unallocated herein be used to cover future
 278    extensions of the DSS standard.
 279
 280
 281
 282 Copyright and Disclaimer
 283
 284    Copyright (C) The Internet Society (2005).  This document is subject to
 285    the rights, licenses and restrictions contained in BCP 78, and except
 286    as set forth therein, the authors retain all their rights.
 287
 288
 289 D. Eastlake 3rd                                                 [Page 5]
 290 \f
 291
 292 INTERNET-DRAFT                                DSA Information in the DNS
 293
 294
 295    This document and the information contained herein are provided on an
 296    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
 297    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
 298    ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
 299    INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
 300    INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
 301    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
 302
 303
 304
 305
 306
 307
 308
 309
 310
 311
 312
 313
 314
 315
 316
 317
 318
 319
 320
 321
 322
 323
 324
 325
 326
 327
 328
 329
 330
 331
 332
 333
 334
 335
 336
 337
 338
 339
 340
 341
 342
 343
 344
 345
 346
 347 D. Eastlake 3rd                                                 [Page 6]
 348 \f
 349
 350 INTERNET-DRAFT                                DSA Information in the DNS
 351
 352
 353 Normative References
 354
 355    [FIPS 186-2] - U.S. Federal Information Processing Standard: Digital
 356    Signature Standard, 27 January 2000.
 357
 358    [RFC 4034] - Arends, R., Austein, R., Larson, M., Massey, D., and S.
 359    Rose, "Resource Records for the DNS Security Extensions", RFC 4034,
 360    March 2005.
 361
 362
 363
 364 Informative References
 365
 366    [RFC 1034] - "Domain names - concepts and facilities", P.
 367    Mockapetris, 11/01/1987.
 368
 369    [RFC 1035] - "Domain names - implementation and specification", P.
 370    Mockapetris, 11/01/1987.
 371
 372    [RFC 2671] - "Extension Mechanisms for DNS (EDNS0)", P. Vixie, August
 373    1999.
 374
 375    [RFC 3110] - "RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System
 376    (DNS)", D.  Eastlake 3rd. May 2001.
 377
 378    [RFC 3174] - "US Secure Hash Algorithm 1 (SHA1)", D. Eastlake, P.
 379    Jones, September 2001.
 380
 381    [RFC 4033] - Arends, R., Austein, R., Larson, M., Massey, D., and S.
 382    Rose, "DNS Security Introduction and Requirements", RFC 4033, March
 383    2005.
 384
 385    [RFC 4035] - Arends, R., Austein, R., Larson, M., Massey, D., and S.
 386    Rose, "Protocol Modifications for the DNS Security Extensions", RFC
 387    4035, March 2005.
 388
 389    [RFC 4086] - Eastlake, D., 3rd, Schiller, J., and S. Crocker,
 390    "Randomness Requirements for Security", BCP 106, RFC 4086, June 2005.
 391
 392    [Schneier] - "Applied Cryptography Second Edition: protocols,
 393    algorithms, and source code in C" (second edition), Bruce Schneier,
 394    1996, John Wiley and Sons, ISBN 0-471-11709-9.
 395
 396
 397
 398
 399
 400
 401
 402
 403
 404
 405 D. Eastlake 3rd                                                 [Page 7]
 406 \f
 407
 408 INTERNET-DRAFT                                DSA Information in the DNS
 409
 410
 411 Authors Address
 412
 413    Donald E. Eastlake 3rd
 414    Motorola Labortories
 415    155 Beaver Street
 416    Milford, MA 01757 USA
 417
 418    Telephone:   +1-508-786-7554(w)
 419    EMail:       Donald.Eastlake@motorola.com
 420
 421
 422
 423 Expiration and File Name
 424
 425    This draft expires in January 2006.
 426
 427    Its file name is draft-ietf-dnsext-rfc2536bis-dsa-06.txt.
 428
 429
 430
 431
 432
 433
 434
 435
 436
 437
 438
 439
 440
 441
 442
 443
 444
 445
 446
 447
 448
 449
 450
 451
 452
 453
 454
 455
 456
 457
 458
 459
 460
 461
 462
 463 D. Eastlake 3rd                                                 [Page 8]
 464 \f