2. Определения важнейших терминов DNSSEC
В этой главе приводятся определения множества терминов, используемых в описывающим расширение наборе документов. Эта глава будет полезна как справочник по используемых в серии документов терминам, поэтому при первом чтении может оказаться достаточно бегло просмотреть определения и вернуться к ним при работе с соответствующими разделами данного набора документов.
- Authentication Chain — цепочка аутентификации.
- Чередующаяся последовательность наборов открытых ключей DNS (DNSKEY) и Delegation Signer (DS), формирующая подписанные данные — каждая связь в цепочке служит поручительством для следующей. Запись DNSKEY RR используется для верификации сигнатуры, покрывающей DS RR, и позволяет проверить запись DS RR. Запись DS RR содержит хэш другой записи DNSKEY RR и эта новая запись DNSKEY RR проверяется по соответствию с хэшем в записи DS RR. Эта новая запись DNSKEY RR, в свою очередь, аутентифицирует другой набор DNSKEY RR и, в свою очередь некая запись DNSKEY RR из этого набора может использоваться для аутентификации другой DS RR и т. д., пока цепочка не завершится записью DNSKEY RR, которая соответствует приватному ключу, подписывающему желаемые данные DNS. Например, корневой набор DNSKEY RR может использоваться при аутентификации набора DS RR для "example.". Набор DS RR "example." содержит хэш для некой записи из "example.". DNSKEY и соответствующий приватный ключ подписывают DNSKEY RR для "example.". Дополнение приватного ключа "example." DNSKEY RR подписывает данные (такие, как ("www.example.") и DS RR для делегирования "subzone.example."
- Authentication Key — ключ аутентификации.
- Открытый ключ, который безопасный преобразователь проверяет и может, следовательно, использовать для аутентификации данных. Безопасный преобразователь может получить ключи аутентификации тремя способами. Во-первых, преобразователь обычно настроен так, что ему известен по крайней мере один открытый ключ - в конфигурационных параметрах указывается сам ключ или его хэш, который находится в DS RR (см. "trust anchor"). Во-вторых, преобразователь может использовать аутентифицированный открытый ключ для верификации записей DS RR и DNSKEY RR, на которую указывает DS RR. В третьих, преобразователь может определить, что новый открытый ключ был подписан секретным ключом, соответствующим другому публичному ключу, который был уже верифицирован преобразователем. Отметим, что преобразователь всегда должен следовать локальной политике при определении необходимости аутентификации нового открытого ключа, даже если локальная политика состоит состоит лишь из аутентификации любого нового открытого ключа, для которого преобразователь способен проверить подпись.
- Authoritative RRset — аутентичный набор RRset.
- В контексте отдельной зоны RRset является аутентичным тогда и только тогда, когда имя владельца RRset входит в подмножество пространства имен, которое находится на уровне вершины (апекса) зоны или ниже его и на уровне или выше границы, отделяющей зону от ее потомков, если таковые имеются. Все наборы RRsets на уровне вершины зоны являются аутентичными, за исключением отдельных RRset на уровне доменного имени, которое (если оно имеется), относится к родителю данной зоны. Этот набор RRset модет включать DS RRset, набор NSEC RRset, указывающий на данный набор DS RRset ("родительский NSEC") и записи RRSIG RR, связанные с этими RRset, каждый из которых является аутентичным в родительской зоне. Аналогично, если эта зона содержит любые точки делегирования, только родительский набор NSEC RRset, наборы DS RRset и все записи RRSIG RR, связанные с этими наборами RRset, являются аутентичными для этой зоны.
- Delegation Point — точка делегирования.
- Этот термин используется для обозначения имени на родительской стороне среза зоны. Т. е., точкой делегирования для "foo.example" в зоне "example" будет узел foo.example (апекс зоны для "foo.example"). См. также zone apex.
- Island of Security — островок безопасности
- Этот термин используется для обозначения подписанной, делегированной зоны, которая не имеет цепочки аутентификации от делегировавшего эту зону родителя. Т. е., здесь нет записи DS RR, содержащей хэш DNSKEY RR для островка в делегирующей родительской зоне (см. [RFC4034]). Островки безопасности обслуживаются защищенными серверами имен и могут обеспечивать цепочки аутентификации для любых делегированных дочерних зон. Ответы от островка безопасности или его наследников могут быть аутентифицированы только в тех случаях, когда аутентификационные ключи могут быть аутентифицированы тем или иным доверенным способом за пределами протокола DNS.
- Key Signing Key (KSK) — ключ подписывания ключа
- Аутентификационный ключ, который соответствует закрытому (private) ключу, использованному для подписания одного или большего числа других аутентификационных ключей, которые, в свою очередь, имеют соответствующие закрытые ключи для подписывания других данных зоны. Локальная политика может требовать частой смены ключа, подписывающего зону, тогда как ключ подписывания ключа может использоваться в течение большего срока для обеспечения более стабильной защищенной точки входа в зону. Обозначение аутентификационного ключа в качестве ключа подписывания других ключей является рабочим вопросом — проверка корректности DNSSEC не делает различий между ключами подписывание ключей и другими аутентификационными ключами DNSSEC и можно использовать один ключ для подписывания зоны и подписывания других ключей. Более детальное обсуждение ключей для подписывания других ключей приведено в документе [RFC3757]. См. также zone signing key.