Dnssec Ablauf: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
= Frage des Resolvers =
+
= Frage des Resolvers =
* Ein Resolver fragt nach einer Domain, z. B. ''www.dnssec.net''.
+
* Ein Resolver fragt nach einer Domain, z. B. ''www.dnssec.net''.
  
= Anfrage beim Root-Nameserver =
+
= Anfrage beim Root-Nameserver =
* Der Resolver fragt die **Root-Nameserver** nach der Delegation für `.net`.
+
* Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
* Die Antwort enthält:
+
* Die Antwort enthält:
** Einen Verweis auf die autoritativen Nameserver der `.net`-Zone.
+
** Einen Verweis auf die autoritativen Nameserver der .net-Zone.
** Einen **DS-Record** für `.net`.
+
** Einen DS-Record für .net.
** Den **DNSKEY der Root-Zone**, der den öffentlichen **KSK und ZSK der Root-Zone** enthält.
+
** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.
  
= Signatur des DS-Records =
+
= Signatur des DS-Records =
* Der **DS-Record für `.net`** wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht.
+
* Der DS-Record für .net wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht.
* Der resultierende Hash-Wert wird mit dem privaten **KSK der Root-Zone** signiert.
+
* Der resultierende Hash-Wert wird mit dem privaten KSK der Root-Zone signiert.
* Diese Signatur wird als **RRSIG-Record** gespeichert.
+
* Diese Signatur wird als RRSIG-Record gespeichert.
  
= Überprüfung durch den Resolver =
+
= Überprüfung durch den Resolver =
* Der Resolver empfängt den **DS-Record** und die zugehörige **RRSIG-Signatur** von der Root-Zone.
+
* Der Resolver empfängt den DS-Record und die zugehörige RRSIG-Signatur von der Root-Zone.
* Zur Validierung führt der Resolver folgende Schritte aus:
+
* Zur Validierung führt der Resolver folgende Schritte aus:
** Er berechnet den Hash-Wert des **DS-Records**.
+
** Er berechnet den Hash-Wert des DS-Records.
** Er entschlüsselt die **RRSIG-Signatur** mit dem **öffentlichen KSK der Root-Zone** (der im DNSKEY-Record enthalten ist).
+
** Er entschlüsselt die RRSIG-Signatur mit dem öffentlichen KSK der Root-Zone (der im DNSKEY-Record enthalten ist).
** Er vergleicht beide Werte miteinander.
+
** Er vergleicht beide Werte miteinander.
* Wenn die Signatur gültig ist:
+
* Wenn die Signatur gültig ist:
** Der **DS-Record für `.net`** ist authentisch und wurde nicht manipuliert.
+
** Der DS-Record für .net ist authentisch und wurde nicht manipuliert.
** Die **DNSSEC-Vertrauenskette** wird fortgesetzt.
+
** Die DNSSEC-Vertrauenskette wird fortgesetzt.
  
= Anfrage bei den `.net`-Nameservern =
+
= Anfrage bei den .net-Nameservern =
* Nach erfolgreicher Validierung des **DS-Records** fragt der Resolver die `.net`-Nameserver an.
+
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
* Er fordert folgende Einträge an:
+
* Er fordert folgende Einträge an:
** Den **DNSKEY-Record der `.net`-Zone**, der den öffentlichen **KSK und ZSK der `.net`-Zone** enthält.
+
** Den DNSKEY-Record der .net-Zone, der den öffentlichen KSK und ZSK der .net-Zone enthält.
** Die **RRSIG-Signatur** des DNSKEY-Records.
+
** Die RRSIG-Signatur des DNSKEY-Records.
  
= Validierung des DNSKEY der `.net`-Zone =
+
= Validierung des DNSKEY der .net-Zone =
* Der **öffentliche KSK der `.net`-Zone** ist mit einer **RRSIG-Signatur** signiert.
+
* Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert.
* Diese Signatur wurde mit dem **privaten KSK der `.net`-Zone** erstellt.
+
* Diese Signatur wurde mit dem privaten KSK der .net-Zone erstellt.
* Der Resolver überprüft die Signatur mit dem **öffentlichen DS-Record der `.net`-Zone**.
+
* Der Resolver überprüft die Signatur mit dem öffentlichen DS-Record der .net-Zone.
* Wenn die Signatur gültig ist:
+
* Wenn die Signatur gültig ist:
** Der **DNSKEY der `.net`-Zone** ist authentisch.
+
** Der DNSKEY der .net-Zone ist authentisch.
** Die **DNSSEC-Vertrauenskette** wird weitergeführt.
+
** Die DNSSEC-Vertrauenskette wird weitergeführt.
  
= Anfrage bei den `dnssec.net`-Nameservern =
+
= Anfrage bei den dnssec.net-Nameservern =
* Der Resolver fragt die autoritativen Nameserver von `dnssec.net` nach der IP-Adresse von `www.dnssec.net`.
+
* Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
* Die Antwort enthält:
+
* Die Antwort enthält:
** Einen **A-Record** (oder **AAAA** für IPv6).
+
** Einen A-Record (oder AAAA für IPv6).
** Eine **RRSIG-Signatur** für die Antwort.
+
** Eine RRSIG-Signatur für die Antwort.
  
= Validierung der Antwort =
+
= Validierung der Antwort =
* Die **RRSIG-Signatur** der Antwort wurde mit dem **privaten ZSK der `dnssec.net`-Zone** erstellt.
+
* Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
* Der Resolver verwendet den zuvor validierten **öffentlichen DNSKEY der `dnssec.net`-Zone**, um die Signatur zu überprüfen.
+
* Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
* Wenn die Signatur gültig ist:
+
* Wenn die Signatur gültig ist:
** Die Antwort ist authentisch und wurde nicht manipuliert.
+
** Die Antwort ist authentisch und wurde nicht manipuliert.
** Der Resolver gibt die IP-Adresse an den Client zurück.
+
** Der Resolver gibt die IP-Adresse an den Client zurück.
  
= Zusammenfassung =
+
= Zusammenfassung =
* DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
+
* DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
* Die Validierung beginnt in der **Root-Zone** mit dem **DNSKEY der Root-Zone**.
+
* Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
* Jeder nachfolgende Schritt wird mit dem **übergeordneten Schlüssel** validiert. 
+
* Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
* DNSSEC stellt sicher, dass die **DNS-Antworten authentisch** und **nicht manipuliert** sind. 
+
* DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
 
 
Jetzt ist alles im **Raw-Format** für MediaWiki und ohne unnötige Formatierungen.
 
== Überprüfung durch den Resolver == 
 
* Der Resolver empfängt den ''DS-Record'' und die zugehörige ''RRSIG-Signatur'' von der Root-Zone. 
 
* Zur Validierung führt der Resolver folgende Schritte aus: 
 
** Er berechnet den Hash-Wert des ''DS-Records''. 
 
** Er entschlüsselt die ''RRSIG-Signatur'' mit dem öffentlichen ''KSK der Root-Zone''. 
 
** Er vergleicht beide Werte miteinander. 
 
* Wenn die Signatur gültig ist: 
 
** Der ''DS-Record'' für ''.net'' ist authentisch und wurde nicht manipuliert. 
 
** Die ''DNSSEC-Vertrauenskette'' wird fortgesetzt. 
 
 
 
== Anfrage bei den ''.net''-Nameservern == 
 
* Nach erfolgreicher Validierung des ''DS-Records'' fragt der Resolver die ''.net''-Nameserver an. 
 
* Er fordert den ''DNSKEY der .net-Zone'' an. 
 
 
 
== Validierung des DNSKEY der ''.net''-Zone == 
 
* Der ''DNSKEY der .net-Zone'' ist mit einer ''RRSIG-Signatur'' signiert, die mit dem privaten ''KSK der .net-Zone'' erstellt wurde. 
 
* Der Resolver überprüft die Signatur mit dem öffentlichen ''KSK der .net-Zone''. 
 
* Wenn die Signatur gültig ist: 
 
** Der ''DNSKEY der .net-Zone'' ist authentisch. 
 
** Der Resolver kann nun weitere ''DNSSEC-Validierungen'' innerhalb der ''.net''-Zone durchführen. 
 
 
 
== Anfrage bei den ''dnssec.net''-Nameservern == 
 
* Der Resolver fragt die autoritativen Nameserver von ''dnssec.net'' nach der IP-Adresse von ''www.dnssec.net''. 
 
* Die Antwort enthält: 
 
** Einen ''A-Record'' (oder ''AAAA'' für IPv6). 
 
** Eine ''RRSIG-Signatur'' für die Antwort. 
 
 
 
== Validierung der Antwort == 
 
* Die ''RRSIG-Signatur'' der Antwort wurde mit dem privaten ''ZSK der dnssec.net-Zone'' erstellt. 
 
* Der Resolver verwendet den zuvor validierten öffentlichen ''DNSKEY der dnssec.net-Zone'', um die Signatur zu überprüfen. 
 
* Wenn die Signatur gültig ist: 
 
** Die Antwort ist authentisch und wurde nicht manipuliert. 
 
** Der Resolver gibt die IP-Adresse an den Client zurück. 
 
 
 
== Zusammenfassung == 
 
* ''DNSSEC'' validiert jede Zone schrittweise mit kryptografischen Signaturen. 
 
* Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der ''Vertrauenskette''.
 
* ''DNSSEC'' stellt sicher, dass die ''DNS-Antworten'' authentisch und nicht manipuliert sind.
 

Version vom 17. März 2025, 20:45 Uhr

Frage des Resolvers

  • Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.

Anfrage beim Root-Nameserver

  • Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
  • Die Antwort enthält:
    • Einen Verweis auf die autoritativen Nameserver der .net-Zone.
    • Einen DS-Record für .net.
    • Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.

Signatur des DS-Records

  • Der DS-Record für .net wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht.
  • Der resultierende Hash-Wert wird mit dem privaten KSK der Root-Zone signiert.
  • Diese Signatur wird als RRSIG-Record gespeichert.

Überprüfung durch den Resolver

  • Der Resolver empfängt den DS-Record und die zugehörige RRSIG-Signatur von der Root-Zone.
  • Zur Validierung führt der Resolver folgende Schritte aus:
    • Er berechnet den Hash-Wert des DS-Records.
    • Er entschlüsselt die RRSIG-Signatur mit dem öffentlichen KSK der Root-Zone (der im DNSKEY-Record enthalten ist).
    • Er vergleicht beide Werte miteinander.
  • Wenn die Signatur gültig ist:
    • Der DS-Record für .net ist authentisch und wurde nicht manipuliert.
    • Die DNSSEC-Vertrauenskette wird fortgesetzt.

Anfrage bei den .net-Nameservern

  • Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
  • Er fordert folgende Einträge an:
    • Den DNSKEY-Record der .net-Zone, der den öffentlichen KSK und ZSK der .net-Zone enthält.
    • Die RRSIG-Signatur des DNSKEY-Records.

Validierung des DNSKEY der .net-Zone

  • Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert.
  • Diese Signatur wurde mit dem privaten KSK der .net-Zone erstellt.
  • Der Resolver überprüft die Signatur mit dem öffentlichen DS-Record der .net-Zone.
  • Wenn die Signatur gültig ist:
    • Der DNSKEY der .net-Zone ist authentisch.
    • Die DNSSEC-Vertrauenskette wird weitergeführt.

Anfrage bei den dnssec.net-Nameservern

  • Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
  • Die Antwort enthält:
    • Einen A-Record (oder AAAA für IPv6).
    • Eine RRSIG-Signatur für die Antwort.

Validierung der Antwort

  • Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
  • Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Die Antwort ist authentisch und wurde nicht manipuliert.
    • Der Resolver gibt die IP-Adresse an den Client zurück.

Zusammenfassung

  • DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
  • Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
  • Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
  • DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Ablauf&oldid=60216