<html><head><title>rndc valid key types</title>
<meta charset="utf-8" http-equiv="X-UA-Compatible" content="IE=9; IE=8; IE=7; IE=EDGE" />
</head>
<body>
<span style=" font-family:'Courier New'; font-size: 9pt;">So, I've spent some time looking at the man pages and googling without any definitive answer.<br>
<br>
I'm generating some new rndc keys for my bind9 config. (9.11.3 in this particular case, if it matters.)<br>
<br>
rndc-confgen has quite a number of options for the key-type - but I'm not sure what BIND9 will handle for RNDC.<br>
<br>
I've seen reports that only HMAC-MD5 is the only valid key type.<br>
<br>
...<br>
<br>
Just before posting this, I checked the RNDC man page and found this:<br>
[At least I saved myself some public embarrassment! :) ]<br>
---<br>
rndc communicates with the name server over a TCP connection, sending commands authenticated with digital signatures. In the current versions of rndc and named, the only supported authentication algorithms are HMAC-MD5 (for compatibility), HMAC-SHA1, HMAC-SHA224, HMAC-SHA256 (default), HMAC-SHA384 and HMAC-SHA512. They use a shared secret on each end of the connection. This provides TSIG-style authentication for the command request and the name server's response. All commands sent over the channel must be signed by a key_id known to the server.<br>
---<br>
<br>
Still, the root cause for my query....<br>
Is there any (security) reason/implications to use something "better" than MD5?<br>
<br>
I'd lean toward something like HMAC-SHA256/384/512.<br>
<br>
Perhaps there's a discussion somewhere I haven't found - and I'd be glad to be pointed to that, instead of taking someone's time re-typing a bunch of details. But I can't seem to find anything.<br>
I assume it might be easier to forge an update for rndc with an MD5 key, right?<br>
Is there any reason not to select the strongest - HMAC-SHA512?<br>
<br>
Just wanting to be sure I understand the implications of any particular choice.<br>
<br>
TIA<br>
-Greg<br>
</body></html>