Dnssec Grundprintzip: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 37: | Zeile 37: | ||
{{#drawio:Zone-Signing-Key-3}} | {{#drawio:Zone-Signing-Key-3}} | ||
{{#drawio:dnssec-2}} | {{#drawio:dnssec-2}} | ||
| − | ==Woher wissen wir das der Public-Key der ZSK nicht gefälscht ist?= | + | ==Woher wissen wir das der Public-Key der ZSK nicht gefälscht ist?== |
{{#drawio:dnssec-4}} | {{#drawio:dnssec-4}} | ||
Version vom 16. Februar 2023, 15:34 Uhr
Schaubild
Root Nameserver
- Die Root Nameserver haben ein privaten und einen öffentlichen KSK
- Diese KSKs werden turnusmässig erneuert
Toplevel Domainnameserver
- Die Toplevel Domainnameserver haben ein privaten und einen öffentlichen KSK
- Diese KSKs werden vom Root Nameserver signiert
- Dies bedeutet er verschlüsselt den öffentlichen KSK des Toplevel Domainservers mit seinem privaten KSK.
- Der Rootnameserver führt nun den öffentlichen Schlüssel Toplevel Domainservers und diese Signature als Records,
Secondlevel Domainnameserver
- Die Secondlevel Domainnameserver haben ein privaten und einen öffentlichen KSK
- Diese KSKs werden vom Toplevel Nameserver signiert.
- Dies bedeutet er verschlüsselt den öffentlichen KSK des Secondlevel Domainservers mit seinem privaten KSK.
- Der Toplevel Nameserver führt nun den öffentlichen Schlüssel des Secondlevel Domainservers und diese Signature als Records,
Chain of Trust
- Um eine sichere Authentifizierung zu gewährleisten, muss der Public Key einer Zone in den zentralen Server, der den Namen auflösen soll, manuell eingebracht werden.
- Da normalerweise jede Zone einen anderen Schlüssel besitzt, der sich zudem regelmäßig ändert, kann die Schlüsselverwaltung sehr aufwändig werden.
- Die Bildung von Vertrauensketten (engl.: Chains of Trust) erleichtert das Keymanagement dramatisch.
- Eine möglichst hoch im DNS-Baum angesiedelte Zone enthält die Public Keys ihrer delegierten Subzonen und unterschreibt diese digital.
- Die Subzonen können wiederum die signierten Public Keys ihrer untergeordneten Zonen enthalten usw.
- Für eine derartige Chain of Trust muss im Resolver eines zentralen Nameservers lediglich der Public Key der obersten Zone bekannt sein.
- Die Gesamtmenge der durch einen einzigen Schlüssel gesicherten Menge von Zonen wird auch als Sicherheitsinsel.
Wir wird nun das Vertrauen gebildet?
Signierung
- Jede Zone in DNSSEC verfügt über ein Zone-Signing Key-Paar (ZSK)
- Der private Teil des Schlüssels führt eine digitale Signatur für jedes RRset in der Zone durch.
- Der öffentliche Teil verifiziert die Signatur.
- Gleichartige Records werden gemeinsam signiert.
Übertragung
- Der Zonenbetreiber muss auch seinen öffentlichen ZSK verfügbar machen, indem er ihn in einem DNSKEY-Eintrag zu seinem Nameserver hinzufügt.
- Wenn nun ein Resolver einen Record-Typen angfragt, übergibt der Nameserver auch den öffentlichen Schlüssel des ZSK.
Verifizierung
- Wenn nun die Prüfsumme gleich dem RRSet ist, ist der RRSet authentisch.
![Bearbeiten](javascript:editDrawio("1130338461", "dnssec-1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("216456060", "Zone-Signing-Key-1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("953428164", "Zone-Signing-Key-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1035149069", "Zone-Signing-Key-3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("16882759", "dnssec-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("839668221", "dnssec-4.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}