Dnssec Ablauf: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(25 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
= Anfrage des Clients =
+
== ZSK ==
 +
* ZSK (Zone Signing Key) ist ein privater Schlüssel, der für die Signierung der Daten in einer DNS-Zone verwendet wird (z. B. A-Records, MX-Records).
 +
* Der ZSK wird verwendet, um die DNS-Daten in einer Zone zu signieren, aber nicht die DNSKEY-Records selbst.
 +
* Es gibt auch einen öffentlichen ZSK, der im DNSKEY-Record veröffentlicht wird und von Resolvern verwendet wird, um die Signaturen der DNS-Daten zu validieren.
 +
* ZSKs haben in der Regel eine kürzere Lebensdauer und werden regelmäßig erneuert.
  
 +
== KSK ==
 +
* KSK (Key Signing Key) ist ein privater Schlüssel, der speziell für die Signierung des DNSKEY-Records verwendet wird.
 +
* Der KSK wird in der Regel weniger häufig geändert und ist entscheidend für die Verlässlichkeit und Sicherheit der DNSSEC-Infrastruktur.
 +
* Der KSK signiert den DNSKEY-Record der Zone (z. B. .net).
 +
* Der öffentliche KSK wird im DNSKEY-Record veröffentlicht und von Resolvern zur Verifikation der Signaturen verwendet.
 +
* Der DS-Record enthält den Hash des öffentlichen KSK und wird von der übergeordneten Zone (z. B. der Root-Zone) signiert.
  
*Beispiel: "Gib mir die A-Record-IP für www.dnssec.net."
+
== RRSIG ==
 +
* RRSIG (Resource Record Signature) ist ein DNS-Record, der eine kryptografische Signatur enthält.
 +
* Er wird verwendet, um die Integrität und Authentizität eines anderen DNS-Records (z. B. DNSKEY, A-Record) zu bestätigen.
 +
* Die RRSIG-Signatur wird mit einem privaten Schlüssel erzeugt und kann mit dem entsprechenden öffentlichen Schlüssel verifiziert werden.
  
= Anfrage an den Root-Nameserver =
+
== DNSKEY ==
*Der Resolver kennt die Antwort nicht und fragt einen Root-Nameserver:
+
* DNSKEY ist ein DNS-Record, der einen öffentlichen Schlüssel enthält, der für die Signierung von DNS-Daten verwendet wird.
 +
* Er enthält entweder einen KSK (Key Signing Key) oder einen ZSK (Zone Signing Key).
 +
* Der DNSKEY-Record ist ein wesentlicher Bestandteil von DNSSEC, da er den öffentlichen Schlüssel zur Verifikation von DNSSEC-Signaturen bereitstellt.
  
*"Welche Nameserver sind für .net zuständig?"
+
== DS ==
 +
* DS (Delegation Signer) ist ein DNS-Record, der in einer übergeordneten Zone (z. B. Root-Zone) gespeichert wird und den Hash-Wert des öffentlichen KSK eines untergeordneten DNS-Namensservers (z. B. .net-Zone) enthält.
 +
* Der DS-Record wird verwendet, um die Authentizität des KSK der untergeordneten Zone zu verifizieren und somit die DNSSEC-Vertrauenskette aufzubauen.
  
= Antwort des Root-Nameservers =
+
== ANCHOR ==
 +
* ANCHOR (Vertrauensanker) ist der Punkt, an dem die DNSSEC-Vertrauenskette beginnt. In der Regel ist dies der öffentliche KSK der Root-Zone, der als Basis für alle anderen DNSSEC-Validierungen dient.
 +
* Der ANCHOR stellt sicher, dass der Resolver den öffentlichen KSK der Root-Zone vertraut und auf dieser Basis alle weiteren DNSSEC-Validierungen durchführen kann.
  
 +
== Einleitung ==
 +
* DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten.
 +
* Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain.
  
* Enthält NS-Records für .net.
+
== Anfrage beim Root-Nameserver ==
* Enthält DS-Record für .net (falls .net DNSSEC nutzt). (Fragt: Enthält den Hash des Public KSK von .net zur Validierung durch die übergeordnete Zone?)
+
* Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
* Enthält RRSIG für den DS-Record. (Fragt: Diese Signatur wurde mit dem privaten ZSK der Root-Zone erstellt und sichert den DS-Record ab?)
+
* Die Antwort enthält:
 +
** Einen Verweis auf die autoritativen Nameserver der .net-Zone.
 +
** Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone). Dieser wird mit dem privaten KSK der Root-Zone signiert und trägt den Namen RRSIG.
 +
** Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde.
 +
** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.
  
= Validierung des DS-Records für .net =
+
== Validierung des DS-Records ==
* Der Root-Nameserver hat den DS-Record für .net geliefert.
+
* Der Resolver validiert den DS-Record, indem er:
* Dieser DS-Record hat eine RRSIG-Signatur, die mit dem privaten ZSK der Root-Zone signiert wurde.
+
** Den Hash-Wert des DS-Records berechnet.
* Der Resolver nutzt jetzt den verifizierten Public ZSK der Root-Zone, um diese Signatur zu überprüfen.
+
** Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert.
* Falls die Signatur gültig ist:
+
** Wenn die Signatur gültig ist, wird der DS-Record als authentisch betrachtet.
  * Der DS-Record ist echt.
 
  * Die DNSSEC-Kette kann weitergehen, und der Resolver fragt jetzt die .net-Nameserver.
 
  
 +
== Anfrage bei den .net-Nameservern ==
 +
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
 +
* Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält.
 +
* Der Resolver überprüft die Signatur des DNSKEY-Records mit dem KSK der Root-Zone.
  
*Dazu braucht er den Public ZSK der Root-Zone.
+
== Validierung des DNSKEY der .net-Zone ==
*Falls er den ZSK nicht gecached hat, fragt er die DNSKEYs der Root-Zone ab.
+
* Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
 +
* Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone.
 +
* Wenn die Signatur gültig ist:
 +
** Der DNSKEY der .net-Zone ist authentisch.
 +
** Die DNSSEC-Vertrauenskette wird fortgesetzt.
  
= Abfrage der Root-DNSKEYs =
+
== Anfrage bei den dnssec.net-Nameservern ==
 +
* Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
 +
* Die Antwort enthält:
 +
** Einen A-Record (oder AAAA für IPv6).
 +
** Eine RRSIG-Signatur für die Antwort.
  
 +
== Validierung der Antwort ==
 +
* Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
 +
* Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
 +
* Wenn die Signatur gültig ist:
 +
** Die Antwort ist authentisch und wurde nicht manipuliert.
 +
** Der Resolver gibt die IP-Adresse an den Client zurück.
  
*"Gib mir die DNSKEYs für . (Root)."
+
== Zusammenfassung ==
 
+
* DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
= Antwort des Root-Nameservers =
+
* Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
 
+
* Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
 
+
* DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
* Public KSK (Trust Anchor ist bereits gespeichert).
 
* Public ZSK.
 
* RRSIG über die DNSKEYs (signiert mit dem privaten KSK).
 
 
 
= Validierung der DNSKEYs =
 
* Der Resolver hat die DNSKEYs der Root-Zone erhalten (Public KSK und Public ZSK).
 
* Die DNSKEYs haben eine RRSIG-Signatur, die mit dem privaten KSK der Root-Zone signiert wurde.
 
* Der Resolver prüft diese Signatur mit dem Public KSK (Trust Anchor), den er bereits gespeichert hat.
 
* Falls die Signatur gültig ist:
 
  * Der Public ZSK der Root-Zone ist authentisch und kann jetzt verwendet werden.
 
 
 
 
 
*Er prüft die RRSIG der DNSKEYs mit dem Public KSK (Trust Anchor).
 
*Ist die Signatur gültig? → Public ZSK ist authentisch.
 
 
 
= Validierung des DS-Records für .net =
 
 
 
 
 
*Falls die Signatur gültig ist, geht die Namensauflösung weiter.
 
 
 
= Anfrage an die .net-Nameserver =
 
 
 
 
 
*"Welche Nameserver sind für dnssec.net autoritativ?"
 
 
 
= Antwort der .net-Nameserver =
 
 
 
 
 
* Enthält NS-Records für dnssec.net.
 
* Enthält DS-Record für dnssec.net. (Fragt: Enthält den Hash des Public KSK von dnssec.net zur Validierung durch die übergeordnete Zone?)
 
* Enthält RRSIG für den DS-Record von dnssec.net. (Fragt: Diese Signatur wurde mit dem privaten ZSK der .net-Zone erstellt und sichert den DS-Record ab?)
 
 
 
= Validierung des DS-Records für dnssec.net =
 
 
 
 
 
*Dazu braucht er den Public ZSK der .net-Zone.
 
*Falls er den ZSK nicht gecached hat, fragt er die DNSKEYs der .net-Zone ab.
 
 
 
= Abfrage der .net-DNSKEYs =
 
Der Resolver fragt den .net-Nameserver:
 
 
 
* "Gib mir die DNSKEYs für dnssec.net."
 
 
 
= Antwort des .net-Nameservers =
 
Der .net-Nameserver liefert die DNSKEYs:
 
 
 
* Public KSK von dnssec.net.
 
* Public ZSK von dnssec.net.
 
* RRSIG über die DNSKEYs (signiert mit dem privaten KSK von dnssec.net).
 
 
 
= Validierung der DNSKEYs von dnssec.net =
 
Der Resolver validiert die DNSKEYs:
 
 
 
* Er prüft die RRSIG der DNSKEYs mit dem Public KSK der .net-Zone.
 
* Ist die Signatur gültig? → Public ZSK von dnssec.net ist authentisch.
 
 
 
= Validierung des DS-Records für dnssec.net =
 
Der Resolver validiert den DS-Record von dnssec.net mit dem Public ZSK der .net-Zone:
 
 
 
* Falls die Signatur gültig ist, geht die Namensauflösung weiter.
 
 
 
= Anfrage an die dnssec.net-Nameserver =
 
Der Resolver fragt einen der dnssec.net-Nameserver:
 
 
 
* "Gib mir den A-Record für www.dnssec.net."
 
 
 
= Antwort der dnssec.net-Nameserver =
 
Der dnssec.net-Nameserver liefert:
 
 
 
* A-Record für www.dnssec.net.
 
* RRSIG für den A-Record (signiert mit dem privaten ZSK von dnssec.net).
 
 
 
= Validierung des A-Records =
 
Der Resolver validiert die Antwort:
 
 
 
* Er prüft die RRSIG des A-Records mit dem Public ZSK von dnssec.net.
 
* Falls die Signatur gültig ist, gibt er die IP-Adresse an den Client zurück.
 
 
 
= Abschluss der DNSSEC-Validierung =
 
Der Resolver hat alle Signaturen überprüft und gibt die verifizierte Antwort an den anfragenden Client zurück.
 

Aktuelle Version vom 18. März 2025, 05:33 Uhr

ZSK

  • ZSK (Zone Signing Key) ist ein privater Schlüssel, der für die Signierung der Daten in einer DNS-Zone verwendet wird (z. B. A-Records, MX-Records).
  • Der ZSK wird verwendet, um die DNS-Daten in einer Zone zu signieren, aber nicht die DNSKEY-Records selbst.
  • Es gibt auch einen öffentlichen ZSK, der im DNSKEY-Record veröffentlicht wird und von Resolvern verwendet wird, um die Signaturen der DNS-Daten zu validieren.
  • ZSKs haben in der Regel eine kürzere Lebensdauer und werden regelmäßig erneuert.

KSK

  • KSK (Key Signing Key) ist ein privater Schlüssel, der speziell für die Signierung des DNSKEY-Records verwendet wird.
  • Der KSK wird in der Regel weniger häufig geändert und ist entscheidend für die Verlässlichkeit und Sicherheit der DNSSEC-Infrastruktur.
  • Der KSK signiert den DNSKEY-Record der Zone (z. B. .net).
  • Der öffentliche KSK wird im DNSKEY-Record veröffentlicht und von Resolvern zur Verifikation der Signaturen verwendet.
  • Der DS-Record enthält den Hash des öffentlichen KSK und wird von der übergeordneten Zone (z. B. der Root-Zone) signiert.

RRSIG

  • RRSIG (Resource Record Signature) ist ein DNS-Record, der eine kryptografische Signatur enthält.
  • Er wird verwendet, um die Integrität und Authentizität eines anderen DNS-Records (z. B. DNSKEY, A-Record) zu bestätigen.
  • Die RRSIG-Signatur wird mit einem privaten Schlüssel erzeugt und kann mit dem entsprechenden öffentlichen Schlüssel verifiziert werden.

DNSKEY

  • DNSKEY ist ein DNS-Record, der einen öffentlichen Schlüssel enthält, der für die Signierung von DNS-Daten verwendet wird.
  • Er enthält entweder einen KSK (Key Signing Key) oder einen ZSK (Zone Signing Key).
  • Der DNSKEY-Record ist ein wesentlicher Bestandteil von DNSSEC, da er den öffentlichen Schlüssel zur Verifikation von DNSSEC-Signaturen bereitstellt.

DS

  • DS (Delegation Signer) ist ein DNS-Record, der in einer übergeordneten Zone (z. B. Root-Zone) gespeichert wird und den Hash-Wert des öffentlichen KSK eines untergeordneten DNS-Namensservers (z. B. .net-Zone) enthält.
  • Der DS-Record wird verwendet, um die Authentizität des KSK der untergeordneten Zone zu verifizieren und somit die DNSSEC-Vertrauenskette aufzubauen.

ANCHOR

  • ANCHOR (Vertrauensanker) ist der Punkt, an dem die DNSSEC-Vertrauenskette beginnt. In der Regel ist dies der öffentliche KSK der Root-Zone, der als Basis für alle anderen DNSSEC-Validierungen dient.
  • Der ANCHOR stellt sicher, dass der Resolver den öffentlichen KSK der Root-Zone vertraut und auf dieser Basis alle weiteren DNSSEC-Validierungen durchführen kann.

Einleitung

  • DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten.
  • Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain.

Anfrage beim Root-Nameserver

  • Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
  • Die Antwort enthält:
    • Einen Verweis auf die autoritativen Nameserver der .net-Zone.
    • Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone). Dieser wird mit dem privaten KSK der Root-Zone signiert und trägt den Namen RRSIG.
    • Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde.
    • Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.

Validierung des DS-Records

  • Der Resolver validiert den DS-Record, indem er:
    • Den Hash-Wert des DS-Records berechnet.
    • Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert.
    • Wenn die Signatur gültig ist, wird der DS-Record als authentisch betrachtet.

Anfrage bei den .net-Nameservern

  • Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
  • Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält.
  • Der Resolver überprüft die Signatur des DNSKEY-Records mit dem KSK der Root-Zone.

Validierung des DNSKEY der .net-Zone

  • Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
  • Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone.
  • Wenn die Signatur gültig ist:
    • Der DNSKEY der .net-Zone ist authentisch.
    • Die DNSSEC-Vertrauenskette wird fortgesetzt.

Anfrage bei den dnssec.net-Nameservern

  • Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
  • Die Antwort enthält:
    • Einen A-Record (oder AAAA für IPv6).
    • Eine RRSIG-Signatur für die Antwort.

Validierung der Antwort

  • Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
  • Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Die Antwort ist authentisch und wurde nicht manipuliert.
    • Der Resolver gibt die IP-Adresse an den Client zurück.

Zusammenfassung

  • DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
  • Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
  • Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
  • DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Ablauf&oldid=60238