man.isc-hmac-fixup.html revision 14a656f94b1fd0ababd84a772228dfa52276ba15
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<!--
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - Copyright (C) 2004-2015 Internet Systems Consortium, Inc. ("ISC")
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - Copyright (C) 2000-2003 Internet Software Consortium.
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina -
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - Permission to use, copy, modify, and/or distribute this software for any
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - purpose with or without fee is hereby granted, provided that the above
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - copyright notice and this permission notice appear in all copies.
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina -
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT,
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina - PERFORMANCE OF THIS SOFTWARE.
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina-->
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<html>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<head>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<title>isc-hmac-fixup</title>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<meta name="generator" content="DocBook XSL Stylesheets V1.78.1">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<link rel="home" href="Bv9ARM.html" title="BIND 9 Administrator Reference Manual">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<link rel="up" href="Bv9ARM.ch13.html" title="Manual pages">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<link rel="prev" href="man.genrandom.html" title="genrandom">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<link rel="next" href="man.nsec3hash.html" title="nsec3hash">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</head>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<div class="navheader">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<table width="100%" summary="Navigation header">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<tr><th colspan="3" align="center"><span class="application">isc-hmac-fixup</span></th></tr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<tr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<td width="20%" align="left">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<a accesskey="p" href="man.genrandom.html">Prev</a>�</td>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<th width="60%" align="center">Manual pages</th>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<td width="20%" align="right">�<a accesskey="n" href="man.nsec3hash.html">Next</a>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</td>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</tr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</table>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<hr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<div class="refentry">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<a name="man.isc-hmac-fixup"></a><div class="titlepage"></div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <div class="refnamediv">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<h2>Name</h2>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <span class="application">isc-hmac-fixup</span>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina &#8212; fixes HMAC keys generated by older versions of BIND
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <div class="refsynopsisdiv">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<h2>Synopsis</h2>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <div class="cmdsynopsis"><p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <code class="command">isc-hmac-fixup</code>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina {<em class="replaceable"><code>algorithm</code></em>}
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina {<em class="replaceable"><code>secret</code></em>}
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </p></div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <div class="refsection">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<a name="id-1.14.30.7"></a><h2>DESCRIPTION</h2>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina Versions of BIND 9 up to and including BIND 9.6 had a bug causing
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina HMAC-SHA* TSIG keys which were longer than the digest length of the
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina hash algorithm (i.e., SHA1 keys longer than 160 bits, SHA256 keys
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina longer than 256 bits, etc) to be used incorrectly, generating a
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina message authentication code that was incompatible with other DNS
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina implementations.
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina This bug has been fixed in BIND 9.7. However, the fix may
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina cause incompatibility between older and newer versions of
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina BIND, when using long keys. <span class="command"><strong>isc-hmac-fixup</strong></span>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina modifies those keys to restore compatibility.
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina To modify a key, run <span class="command"><strong>isc-hmac-fixup</strong></span> and
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina specify the key's algorithm and secret on the command line. If the
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina secret is longer than the digest length of the algorithm (64 bytes
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina for SHA1 through SHA256, or 128 bytes for SHA384 and SHA512), then a
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina new secret will be generated consisting of a hash digest of the old
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina secret. (If the secret did not require conversion, then it will be
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina printed without modification.)
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <div class="refsection">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<a name="id-1.14.30.8"></a><h2>SECURITY CONSIDERATIONS</h2>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina Secrets that have been converted by <span class="command"><strong>isc-hmac-fixup</strong></span>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina are shortened, but as this is how the HMAC protocol works in
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina operation anyway, it does not affect security. RFC 2104 notes,
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina "Keys longer than [the digest length] are acceptable but the
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina extra length would not significantly increase the function
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina strength."
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <div class="refsection">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<a name="id-1.14.30.9"></a><h2>SEE ALSO</h2>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <em class="citetitle">BIND 9 Administrator Reference Manual</em>,
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina <em class="citetitle">RFC 2104</em>.
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina </div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<div class="navfooter">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<hr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<table width="100%" summary="Navigation footer">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<tr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<td width="40%" align="left">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<a accesskey="p" href="man.genrandom.html">Prev</a>�</td>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<td width="20%" align="center"><a accesskey="u" href="Bv9ARM.ch13.html">Up</a></td>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<td width="40%" align="right">�<a accesskey="n" href="man.nsec3hash.html">Next</a>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</td>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</tr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<tr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<td width="40%" align="left" valign="top">
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<span class="application">genrandom</span>�</td>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<td width="20%" align="center"><a accesskey="h" href="Bv9ARM.html">Home</a></td>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<td width="40%" align="right" valign="top">�<span class="application">nsec3hash</span>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</td>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</tr>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</table>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</div>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina<p xmlns:db="http://docbook.org/ns/docbook" style="text-align: center;">BIND 9.11.0pre-alpha</p>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</body>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina</html>
dea636af4d1902a081ee891f1b19ee2f8729d759Pavel Březina