Este documento fornece recomendações sobre como usar os vários métodos disponíveis para os usuários do banco de dados AFRINIC para permitir a proteção de dados contra exclusão ou modificação não autorizada (e em alguns casos também contra criação não autorizada). Obtendo seu objeto mantenedor outros objetos, enviando um e-mail para Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo..
Ao usar um mantenedor para proteger seus dados, você terá que escolher um ou mais dos métodos de autenticação disponíveis. Eles são definidos nos atributos "auth:" do objeto mntner. Você pode ter qualquer combinação dos diferentes métodos e quantas instâncias de cada um desejar em um objeto mntner. No entanto, esteja ciente de que a autenticação é um 'OR' lógico de todas as instâncias fornecidas dos valores de atributos "auth:". A autorização é passada quando qualquer um dos valores dos atributos "auth:" corresponde a qualquer uma das credenciais fornecidas em uma atualização.
Atualmente, três métodos de autenticação estão disponíveis:
BCRYPT-PW:
Este método utiliza um argumento que consiste em uma senha com hash bcrypt.
Ao solicitar um objeto mntner, o usuário deve incluir um atributo "auth: " com um valor correspondente a uma senha criptografada no estilo Unix e a palavra-chave BCRYPT-PW: autenticação: BCRYPT-PW
Ao enviar uma atualização por e-mail para criar, modificar ou excluir um objeto protegido por um mantenedor usando este método, a mensagem enviada ao servidor de banco de dados deve incluir uma linha contendo: "senha:"
Este pseudo atributo deve estar no corpo da mensagem de e-mail. Se for uma mensagem mime com várias partes, ela também deve estar na mesma parte mime que o objeto. Além dessas restrições, ele pode aparecer em qualquer lugar da mensagem em relação aos objetos. Ele só precisa aparecer uma vez na mensagem, mesmo que a atualização contenha vários objetos protegidos pelo mesmo mantenedor.
Se essa senha, quando hash, corresponder à armazenada no objeto mntner, a atualização será permitida. Caso contrário, será recusado.
Recomendamos que você use o Whois Cripta ferramenta para gerar uma senha BCRYPT-PW. O bcrypt não é vulnerável a rainbow tables ou ataques de força bruta e está intacto até o momento. No entanto, é crucial que você escolha uma boa senha que não seja fácil de adivinhar. Observe que existem dois tipos de ataques:
- Quebra de senha. Um invasor pode adivinhar a senha verificando-a em dicionários ou tentando todas as combinações possíveis.
- Bisbilhotando o correio. Como a mensagem de atualização contém a senha em texto não criptografado, há uma chance de que a senha seja vista se a mensagem for interceptada em trânsito entre o sistema do usuário e a máquina do servidor de banco de dados. Para evitar isso, você pode querer usar PGP ou X509 (veja abaixo).
Importante:
Observe que CRYPT-PW e MD5-PW agora estão obsoletos. Como tal, eles não podem ser usados em novos objetos de banco de dados ou em atualizações futuras. Por enquanto, os objetos mantenedores seguros CRYPT-PW ou MD5-PW existentes ainda podem ser usados para autenticação. Lançamentos futuros do WHOIS DB pode remover o suporte completamente. Se você tiver uma senha protegida por CRYPT ou MD5 em seu objeto de mantenedor, atualize-a para um BCRYPT-PW o mais rápido possível.
PGPKEY:
Este é um dos métodos de proteção mais fortes disponíveis. O usuário especifica um ID de chave PGP apontando para um objeto de certificado de chave no banco de dados que armazena uma chave pública PGP.
Ao enviar atualizações para o banco de dados, o usuário deve assinar a mensagem usando sua chave privada PGP. O software de banco de dados verificará a assinatura usando a chave pública armazenada no objeto key-cert referenciado no atributo "auth:" do objeto mntner relevante. Se a assinatura criptográfica estiver correta, a atualização prosseguirá, caso contrário, será recusada.
Nota: Este tipo de uso do PGP é considerado como uso comercial pela PGP Inc. Uma licença de software comercial deve ser obtida se o software PGP for usado. Alternativamente, os usuários podem utilizar o software GnuPG para gerar e gerenciar chaves compatíveis com o software PGP.
Nota: AFRINIC não faz nenhuma reivindicação sobre a identidade do proprietário da chave PGP usada. Apenas verifica se a assinatura na mensagem de e-mail foi feita utilizando a chave privada correspondente à chave pública armazenada no banco de dados.
Leia mais sobre Autenticação PGP no banco de dados AFRINIC
X.509:
Este método também é um dos métodos de proteção mais fortes disponíveis. O usuário especifica um certificado X.509 apontando para um objeto de certificado de chave no banco de dados que armazena uma chave pública de certificado X.509.
Ao enviar atualizações para o banco de dados, o usuário deve assinar a mensagem usando sua chave privada do certificado X.509. O software de banco de dados verificará a assinatura usando a chave pública armazenada no objeto key-cert referenciado no atributo "auth:" do objeto mntner relevante. Se a assinatura criptográfica estiver correta, a atualização prosseguirá, caso contrário, será recusada.
Nota1: O AFRINIC não faz reivindicações sobre o caminho de confiança do certificado ou o status de revogação do certificado. Apenas verifica se a assinatura na mensagem de email foi feita usando a chave privada correspondente à chave pública armazenada no banco de dados.
Nota2: Neste momento, o AFRINIC não fornece uma ferramenta para Geração de Certificados. Se você ainda não tiver um, precisará gerar um certificado autoassinado para si mesmo.
Leia mais sobre como configurar um Autenticação X.509
Uso simultâneo de vários esquemas de autenticação
É suficiente corresponder apenas a um dos atributos "auth:" no objeto mntner para atualizar um objeto.
Recomendamos o uso de apenas um tipo de método de autenticação em um objeto mntner. Deve ser o tipo mais forte e prático para o usuário.
O melhor método de proteção possível é ter autenticação PGPKEY ou X.509.
Mais informação
Para uma descrição completa de como interagir com o banco de dados AFRINIC, incluindo proteção de dados, consulte os seguintes documentos:
- Manual de referência do banco de dados AFRINIC
- Toda a documentação do banco de dados AFRINIC
An modelo vazio pode ser obtido usando um whois cliente apontou para whois.AFRINIC.net
