Какую силу я должен использовать для моего ключа передачи ISC BIND?

Question

Какую силу я должен использовать для моего ключа передачи ISC BIND?

В настоящее время я использую 128, это достаточно безопасно?

dnssec-keygen -a hmac-md5 -b 128 -n host foobar.com

Также я не уверен, является ли "хост" правильным значением для -n Arg. Я считаю, что последний аргумент "foobar.com" только для имени файла - верно?

0

security bind dnssec

Источник

Nick Bolton 16 ноя '09 в 15:20

1 ответ

Решение

Другие вопросы по тегам security bind dnssec

Michael Graff 16 ноя '09 в 16:10 2009-11-16 16:10 · Accepted Answer · 2009-11-16 16:10

HMAC-XXX ограничен количеством битов. Если вы используете HMAC-MD5 и решили использовать более 128 битов реальных случайных данных (сгенерированных с помощью вашей примерной командной строки), они будут потрачены впустую. Первое, что сделает HMAC, - если длина ключа превышает длину хеш-функции (в вашем случае MD5), то сначала выполняется хеш, который возвращает 128 бит.

Если ваш пароль представляет собой текст в формате ASCII, например, введенный пароль, то, возможно, более полезен более длинный, но для ваших целей 128 - это максимум, что вам нужно.

BIND также поддерживает другие функции HMAC: HMAC-SHA1, HMAC-SHA256 и HMAC-512. Для SHA1 максимальная полезная длина составляет 160 бит, SHA256 и SHA512 - 256 и 512 бит.

Обратите внимание, что для всех практических целей, с HMAC, MD5, вероятно, достаточно.

Я также считаю, что ваша командная строка верна.