Dnssec Ablauf: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 9: | Zeile 9: | ||
== Signatur des DS-Records == | == Signatur des DS-Records == | ||
* Der ''DS-Record'' wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht. | * Der ''DS-Record'' wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht. | ||
| − | * Der resultierende Hash-Wert wird mit dem | + | * Der resultierende Hash-Wert wird mit dem privaten ''KSK der Root-Zone'' signiert. |
| − | * Diese Signatur wird als | + | * Diese Signatur wird als ''RRSIG-Record'' gespeichert. |
== Überprüfung durch den Resolver == | == Überprüfung durch den Resolver == | ||
* Der Resolver empfängt den ''DS-Record'' und die zugehörige ''RRSIG-Signatur'' von der Root-Zone. | * Der Resolver empfängt den ''DS-Record'' und die zugehörige ''RRSIG-Signatur'' von der Root-Zone. | ||
* Zur Validierung führt der Resolver folgende Schritte aus: | * Zur Validierung führt der Resolver folgende Schritte aus: | ||
| − | ** Er berechnet den Hash-Wert des DS-Records. | + | ** Er berechnet den Hash-Wert des ''DS-Records''. |
| − | ** Er entschlüsselt die RRSIG-Signatur mit dem | + | ** Er entschlüsselt die ''RRSIG-Signatur'' mit dem öffentlichen ''KSK der Root-Zone''. |
** Er vergleicht beide Werte miteinander. | ** Er vergleicht beide Werte miteinander. | ||
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
| Zeile 49: | Zeile 49: | ||
* ''DNSSEC'' validiert jede Zone schrittweise mit kryptografischen Signaturen. | * ''DNSSEC'' validiert jede Zone schrittweise mit kryptografischen Signaturen. | ||
* Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der ''Vertrauenskette''. | * Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der ''Vertrauenskette''. | ||
| − | * ''DNSSEC'' stellt sicher, dass die ''DNS-Antworten'' authentisch und nicht manipuliert sind | + | * ''DNSSEC'' stellt sicher, dass die ''DNS-Antworten'' authentisch und nicht manipuliert sind. |
| − | |||
| − | |||
Version vom 17. März 2025, 20:36 Uhr
Frage des Resolvers
- Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.
Antwort der Root-Nameserver
- Die Root-Nameserver verweisen auf die autoritativen Nameserver der .net-Zone.
- Zusätzlich enthalten die Root-Nameserver einen DS-Record für .net.
- Der DS-Record (Delegation Signer) enthält einen kryptografischen Hash des öffentlichen KSK der .net-Zone.
Signatur des DS-Records
- Der DS-Record wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht.
- Der resultierende Hash-Wert wird mit dem privaten KSK der Root-Zone signiert.
- Diese Signatur wird als RRSIG-Record gespeichert.
Überprüfung durch den Resolver
- Der Resolver empfängt den DS-Record und die zugehörige RRSIG-Signatur von der Root-Zone.
- Zur Validierung führt der Resolver folgende Schritte aus:
- Er berechnet den Hash-Wert des DS-Records.
- Er entschlüsselt die RRSIG-Signatur mit dem öffentlichen KSK der Root-Zone.
- Er vergleicht beide Werte miteinander.
- Wenn die Signatur gültig ist:
- Der DS-Record für .net ist authentisch und wurde nicht manipuliert.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Er fordert den DNSKEY der .net-Zone an.
Validierung des DNSKEY der .net-Zone
- Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
- Der Resolver überprüft die Signatur mit dem öffentlichen KSK der .net-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Der Resolver kann nun weitere DNSSEC-Validierungen innerhalb der .net-Zone durchführen.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der Vertrauenskette.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.