今日共有6篇文稿更新,涉及5个area里的5个WG

OPS

dnsop

1. draft-ietf-dnsop-rfc8624-bis-04

  • Title: DNSSEC Cryptographic Algorithm Recommendation Update Process
  • Authors: Wes Hardaker(wjhns1@hardakers.net), Warren "Ace" Kumari(warren@kumari.net)
  • Summary: 本文为一篇关于DNS安全扩展(DNSSEC)标准变更和更新的文档。主要更改有: 1. 将当前DNSSEC算法实施要求与使用指南从RFC8624移动到IANA DNSSEC算法注册表,以使这些信息更容易管理和引用。 2. 添加了对新推荐的DNSSEC算法的支持,并指出了如何正确部署这些算法。 3. 增加了新的加密算法列,用于指示对DNSSEC的使用、实施以及验证。 4. 提供了针对不同情况选择最佳算法的指导原则。 5. 指出了认证过程中的重要考虑因素,如KSK和KX资源记录(RR)使用,以及在活区进行算法更新时的安全性问题。 总的来说,本文提供了详细的建议和改进,以便实现更好的DNSSEC安全性并减少潜在风险。
  • Diff: 以上更新版的文档主要针对现有的DNSSEC协议进行了一项重大修改,即从RFC8624文档中的算法列表移除到IANA(国际互联网工程任务组)的算法注册表中。这个过程是为了更好地管理和维护算法规范,使未来的算法推荐和部署更加容易访问和理解。 相较于旧版文档,主要区别在于: 1. 将所有的算法状态转移到了IANA的算法注册表中,使得未来更改或扩展这些算法推荐更容易实现。 2. 这种做法有助于简化算法选择的过程,并允许对算法实施要求和使用指南进行定期更新,以反映当前最佳实践。 3. 需要根据新的需求和情况调整算法状态,避免过早将算法退役造成区域能力降低,从而确保算法的安全性和稳定性。 4. 要求更新DNSSEC算法表格中的相应字段,如"用于DNSSEC签发"、"用于DNSSEC验证"等。 总的来说,这一更新的主要目的是通过标准化的方式管理算法选择和推荐,以及提供一个更易访问的信息渠道,以支持DNSSEC在各个环境下的正确实施。

RTG

bess

1. draft-kiran-bess-service-carving-evpn-multi-homing-01

  • Title: Framework for efficient Service Carving in EVPN Multihoming
  • Authors: Kiran K T(kirankt11@gmail.com)
  • Summary: 这篇文档提出了一种新的方法来解决现有的EVPN多点服务划分算法。这种算法在选择指定转发器(DF)时引入了扩展社区,并允许PE设备报告支持新框架的方式,从而确保所有PE之间的高效服务分发。 该方案解决了现有DF选举算法无法实现公平负载分配和可能导致黑掉的问题。它还通过定义一种新的选举类型——“服务切割选举”来解决现有选型与未来技术需求的兼容性问题。此外,该方案还可以作为现有选举算法的备份,避免因配置不当而导致的服务中断。 总体来说,本文旨在提供一个改进的EVPN多点服务划分算法,以最大限度地减少服务中断并提高系统性能。
  • Diff: 以上新版本的英文标准文稿提出了一个更通用的方法来实现多归属网络中的高效服务切割(Service Carving)。相较于旧版本,它提出了以下几大主要区别: 1. 增加了新的算法类型,即“Service Carving”算法。 2. 提出了基于双归属的方式来考虑服务切割的问题,而不是依赖现有算法。 3. 在现有的服务切割算法基础上,提出了一种新的服务切割方法。 4. 强调了如何在双归属环境中有效实现服务切割。 总的来说,这个新版本的主要目的是通过引入一种新的算法类型,来解决现有服务切割方法可能带来的问题,如不均衡的服务负载分配、单个端点承担过多流量等。同时,该方案也支持在PE设备配置不同的VLAN值时,确保整个网络的高效服务切割。 总结起来就是,新版本的英文标准文稿旨在通过引入一种新的算法来改进服务切割机制,同时保持现有服务切割功能的同时引入新的设计以优化效率和可扩展性。

SEC

lamps

1. draft-ietf-lamps-automation-keyusages-04

  • Title: X.509 Certificate Extended Key Usage (EKU) for Automation
  • Authors: Hendrik Brockhaus(hendrik.brockhaus@siemens.com), Dr. David Goltzsche(david.goltzsche@siemens.com)
  • Summary: 本文为ISO/IEC国际标准(IEC 62443-3-3)的一部分,定义了用于工业自动化和控制系统的网络和系统安全的扩展密钥使用目的(Extended Key Usage, EKU),以及这些EKU在X.509证书中的实现方式。文中讨论了包括通用配置文件、信任锚配置文件、软件更新包、安全通信等在内的关键应用场景,并提出了相应的EKU扩展,以确保这些证书的正确性和互操作性。 主要结论: 1. 标准定义了用于特定应用场景的关键密钥使用目的(如通用配置文件验证签名、安全通信认证等),旨在保护工业自动化设备的安全性和完整性。 2. 在实际部署中,应根据具体应用场景合理选择或避免使用供应商定义的密钥使用目的ID,以保证兼容性和安全性。 3. 文稿建议遵循适当的策略来管理和监控EKU使用情况,以降低跨协议攻击的风险。 总之,该文档提供了关于如何在工业自动化领域实施EKU的指导原则,帮助开发者和管理员更好地管理他们的密钥和证书,从而提高网络安全和系统可靠性。
  • Diff: 本文档是关于自动化设备、软件和更新包等安全要求的相关扩展密钥使用目的(Extended Key Usage)的定义。 主要区别: 1. 新版文档将原本“id-kp-codeSigning”、“id-kp-documentSigning”、“id-kp-safetyCommunication”这三个密钥使用目的合并为“id-kp-safetyCommunication”,同时新增了“id-kp-updatePackageSigning”。 2. 将原版中的“General-purpose configuration and trust anchor configuration files”改为“Software and firmware update packages”,以更符合工业自动化领域的描述。 3. 增加了对“id-kp-updatePackageSigning”的定义,指明该密钥使用目的是用于验证安全软件或更新包的签名。 4. 修改了部分密钥使用目的之间的关系,使其更加清晰且便于理解。 5. 在“Implications for a Certification Authority”部分强调了证书中包含特定密钥使用的必要性,并指出可以禁止使用某些组合密钥使用目的,例如“anyExtendedKeyUsage”密钥使用目的。 6. 在“Privacy Considerations”部分提到,一些安全协议如TLS 1.2可能会在明文中交换证书,而其他协议则可能加密证书。这些考虑与新版文档的内容不相关,因此未纳入总结之中。 总的来说,新版文档扩大了密钥使用目的的范围,简化了密钥使用目的之间的关系,并加强了证书中必须包含特定密钥使用的指导原则。

WIT

quic

1. draft-gage-quic-pathmgmt-02

  • Title: QUIC Path Management for Multi-Path Configurations
  • Authors: Bill Gage(billgage.ietf@gmail.com)
  • Summary: 是关于在多路径配置下使用QUIC协议进行通信的一种新方法。它允许多个路径同时用于传输QUIC包,而不是像传统多路径协议那样只选择一个路径来传输非探测帧。为了实现这一点,QUIC使用了新的连接标识和消息传递机制,并且可以处理不同的网络参数,如最大数据限制、RTT测量等。 该文档总结了QUIC协议中的关键概念和操作流程,以及如何通过使用多个路径来进行多路径通信。它还讨论了与QUIC协议相关的安全性和安全性问题,并提供了详细的参考文献。
  • Diff: 该文档定义了用于多路径配置的QUIC路径管理程序,允许在两端之间同时使用不同的路径进行数据传输。与旧版标准不同的是: 1. 引入了新的连接标识(PathID)来区分不同路径,从而保持单个路径构建和多路径构造之间的解耦。 2. 支持多路径同时传输非探测帧,而不仅仅是选择一条路径进行非探测帧传输。 3. 对于多个路径的有效性、失败、丢失等状态提供了统一的管理机制。 4. 提供了RTT测量功能以评估不同路径的往返时间,并据此调整最大带宽限制。 5. 指定了一个统一的最小重传窗口值,以避免超过最大带宽限制。 6. 在新版本中,对多路径连接管理进行了重大改进,包括引入新的连接参数和协议类型,以及新增的弃置原因和丢弃代码等。 总的来说,新版标准文档保留了单路径构造和多路径构造的原貌,但对核心概念和流程做了更深入和系统性的优化,使其更加通用和健壮。

IRTF

cfrg

1. draft-irtf-cfrg-bbs-per-verifier-linkability-00

  • Title: BBS per Verifier Linkability
  • Authors: Vasilis Kalos(vasilis.kalos@mattr.global), Greg M. Bernstein(gregb@grotto-networking.com)
  • Summary: 本文主要讨论了使用伪名来防止接收方追踪发送者的签名证明。它定义了一个用于与伪名相关的新的BBS接口,并详细描述了如何生成和验证基于伪名的签名。 文稿首先介绍了文中使用的各种术语,包括Prover、Verifier、Pseudonym等,并概述了伪名的概念及其用途。然后详细描述了计算伪名的方法,包括生成过程、解密过程以及验证伪名正确性的步骤。最后,文稿还提供了伪名计算的示例操作流程图。 总结起来,该文主要探讨了如何利用伪名机制来保护用户隐私,同时又不被追踪。通过将发送者的签名关联到一个特定的伪名上,可以避免接收者追踪发送者的活动,而不会泄露其真实的身份信息。


2. draft-irtf-cfrg-bbs-blind-signatures-00

  • Title: Blind BBS Signatures
  • Authors: Vasilis Kalos(vasilis.kalos@mattr.global), Greg M. Bernstein(gregb@grotto-networking.com)
  • Summary: 本文定义了一个扩展到盲签名功能的BBS数字签名方案。该方案允许用户请求对未告知给签名者的消息集进行签名,从而保护用户的隐私和防止恶意行为者冒充。此外,它还提供了一种机制来为特定会话或受众生成签名人名下的单独签名。通过这种方式,应用程序如隐私通行证(Privacypass)可以确保不会泄露用户的标识符,以防止未经授权的访问。 该协议与原始草案在某些方面有所不同。例如,在计算盲签名时引入了额外的通信步骤,以及新的核心签名操作用于处理证明验证过程。这些改进有助于简化部署,并使核心证明验证接口与原草案保持一致。总之,本文提供了盲签名解决方案的基本框架和实施指南。