home *** CD-ROM | disk | FTP | other *** search

---

/ SGI Freeware 1998 June / SGI Freeware 1998 June.iso / dist / fw_bind.idb / usr / freeware / catman / u_man / cat1 / dnskeygen.1.z / dnskeygen.1

Wrap

Text File  |  1998-05-26  |  6KB  |  106 lines

---

1. DNSKEYGEN(1)                 BSD Reference Manual                 DNSKEYGEN(1)
2.  
3. NNAAMMEE
4.      ddnnsskkeeyyggeenn - generate and display public and private RSA keys for
5.  
6. SSYYNNOOPPSSIISS
7.      ddnnsskkeeyyggeenn [--gg[_s_i_z_e][--ff]] [--zz| --ee | --uu] [--ii] [--mm] [--pp_#] [--ss_#] [--xx] _n_a_m_e
8.  
9. DDEESSCCRRIIPPTTIIOONN
10.      DDnnsskkeeyyggeenn (DNS Key Generator) is a tool to generate and maintain RSA keys
11.      for DNS (Domain Name System).
12.  
13.      --gg[_s_i_z_e]    DDnnsskkeeyyggeenn will generate a new key when the ``--gg'' flag is
14.                  specified.  If the ``--gg'' flag is not specified, then it will
15.                  attempt to display an existing key that is stored in the cur-
16.                  rent directory.  If no _s_i_z_e is specified after the ``--gg''
17.                  flag, a key of 512 bits will be generated; otherwise, _s_i_z_e is
18.                  the size of the modulus in the newly-generated key.
19.  
20.      --ff          flag can only be specified with the ``--gg'' flag; this changes
21.                  the exponent used on the key.  If ``--ff'' is specified, the
22.                  exponent is 65537, which is suitable for encryption keys.  If
23.                  ``--ff'' is not specified, the exponent is 3, which is suitable
24.                  for signatures and verification of public data such as DNS
25.                  records.  Signing and verifying with exponent of 65537 takes
26.                  significantly more CPU time than with exponent of 3.
27.  
28.      --zz --ee --uu    These flags define the type of key being generated: Zone (DNS
29.                  validation) key, End Entity (host or service) key or User
30.                  (e.g. email) key, respectively.  Each key is only allowed to
31.                  be one of these.  When keys are displayed, the type of key
32.                  can be changed.
33.  
34.      --ii          Indicates that the key can be used for IPSEC (Internet Proto-
35.                  col Security services).
36.  
37.      --mm          Indicates that the key can be used for secure email.
38.  
39.      --pp_#         Indicates that the key can be used for protocol number _#. A
40.                  value of _0 denies the use of the key for _a_n_y protocol (other
41.                  than those specified by other option flags like --mm). A value
42.                  of _2_5_5 allows it to be used with _a_l_l protocols.  These proto-
43.                  col numbers will be assigned in the latest Assigned Numbers
44.                  RFC from the Internet Assigned Numbers Authority (IANA).
45.  
46.      --ss_#         Strength value; this value is only used when key is signing.
47.                  Interpretation of this field is to be specified later. De-
48.                  fault value is 7.
49.  
50.      --xx          Experimental key.  This indicates that software should not
51.                  assume that it should use secure protocols when talking to
52.                  this zone, host, or user.  Instead, the key is being pub-
53.                  lished experimentally, to debug the software to be used to
54.                  run the secure protocols, for example.  Data signed by Exper-
55.                  imental keys will not be treated as trusted by DNS servers.
56.  
57.      _n_a_m_e        The DNS name the key is for.  This can be any valid DNS name.
58.  
59.    DDEETTAAIILLSS
60.      DDnnsskkeeyyggeenn uses two files for each key: _<_n_a_m_e_>_._p_r_i_v and _<_n_a_m_e_>_._p_u_b_l_i_c.
61.      File _<_n_a_m_e_>_._p_u_b_l_i_c contains the public key in the pubkey format:
62.  
63.            _<_f_l_a_g_s_> _<_a_l_g_o_r_i_t_h_m_> _<_p_r_o_t_o_c_o_l_> _<_e_x_p_o_n_e_n_t_|_m_o_d_u_l_u_s_>
64.  
65.  
66.      DDnnsskkeeyyggeenn _n_a_m_e displays the public key in both DNS RR format and pubkey
67.      format.  DDnnsskkeeyyggeenn can display the key with different flags on subsequent
68.      runs.  The contents of the public key file will not be changed.
69.      _<_n_a_m_e_>_._p_r_i_v stores the private key, in either a password-protected format
70.      file or in a open file. The advantage of a password-protected file is
71.      that it is harder to use the key if the file is stolen. The disadvantage
72.      is that the password has to be given each time the key is read. If the
73.      key is to be stored in a safe off-line place, and only used for signing
74.      zones, then local policy may allow storing the key in an unencrypted for-
75.      mat.
76.  
77. EENNVVIIRROONNMMEENNTT
78.      No environmental variables are used.
79.  
80. SSEEEE AALLSSOO
81.      RSAREF documentation, _R_F_C _2_0_6_5 on secure DNS.
82.  
83. AAUUTTHHOORR
84.      Olafur Gudmundsson (ogud@tis.com).
85.  
86. AACCKKNNOOWWLLEEDDGGMMEENNTTSS
87.      The underlying cryptographic math is done by the RSAREF or BSAFE li-
88.      braries.
89.  
90. BBUUGGSS
91.      DDnnsskkeeyyggeenn renames old keys in such a way that only one ``previous'' key
92.      for a given name is kept; older keys are overwritten.  (For example, the
93.      third time a key is generated for a given name, the second key is kept as
94.      the ``previous'' key, while the first key is lost.  If a key is generated
95.      _a_g_a_i_n for this name--i.e., if the fourth key is generated--then the third
96.      key will become the ``previous'' key and the second key will be lost.)
97.      DDnnsskkeeyyggeenn will not overwrite existing keys.  Only one key for each name
98.      can be stored in the current directory.  If you want to keep your old
99.      keys, rename the files before running ddnnsskkeeyyggeenn. Otherwise you must
100.      delete them before running ddnnsskkeeyyggeenn.
101.  
102.      Portability of Private key file must be better tested between different
103.      implementations of RSA.
104.  
105. 4th Berkeley Distribution      October 25, 1996                              2
106.