Dnssec Ablauf: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | = | + | == ZSK == |
| − | * | + | * ZSK (Zone Signing Key) ist ein privater Schlüssel, der für die Signierung der Daten in einer DNS-Zone verwendet wird (z. B. A-Records, MX-Records). |
| + | * Der ZSK wird verwendet, um die DNS-Daten in einer Zone zu signieren, aber nicht die DNSKEY-Records selbst. | ||
| + | * Es gibt auch einen öffentlichen ZSK, der im DNSKEY-Record veröffentlicht wird und von Resolvern verwendet wird, um die Signaturen der DNS-Daten zu validieren. | ||
| + | * ZSKs haben in der Regel eine kürzere Lebensdauer und werden regelmäßig erneuert. | ||
| − | = Anfrage beim Root-Nameserver = | + | == KSK == |
| + | * KSK (Key Signing Key) ist ein privater Schlüssel, der speziell für die Signierung des DNSKEY-Records verwendet wird. | ||
| + | * Der KSK wird in der Regel weniger häufig geändert und ist entscheidend für die Verlässlichkeit und Sicherheit der DNSSEC-Infrastruktur. | ||
| + | * Der KSK signiert den DNSKEY-Record der Zone (z. B. .net). | ||
| + | * Der öffentliche KSK wird im DNSKEY-Record veröffentlicht und von Resolvern zur Verifikation der Signaturen verwendet. | ||
| + | * Der DS-Record enthält den Hash des öffentlichen KSK und wird von der übergeordneten Zone (z. B. der Root-Zone) signiert. | ||
| + | |||
| + | == RRSIG == | ||
| + | * RRSIG (Resource Record Signature) ist ein DNS-Record, der eine kryptografische Signatur enthält. | ||
| + | * Er wird verwendet, um die Integrität und Authentizität eines anderen DNS-Records (z. B. DNSKEY, A-Record) zu bestätigen. | ||
| + | * Die RRSIG-Signatur wird mit einem privaten Schlüssel erzeugt und kann mit dem entsprechenden öffentlichen Schlüssel verifiziert werden. | ||
| + | |||
| + | == DNSKEY == | ||
| + | * DNSKEY ist ein DNS-Record, der einen öffentlichen Schlüssel enthält, der für die Signierung von DNS-Daten verwendet wird. | ||
| + | * Er enthält entweder einen KSK (Key Signing Key) oder einen ZSK (Zone Signing Key). | ||
| + | * Der DNSKEY-Record ist ein wesentlicher Bestandteil von DNSSEC, da er den öffentlichen Schlüssel zur Verifikation von DNSSEC-Signaturen bereitstellt. | ||
| + | |||
| + | == DS == | ||
| + | * DS (Delegation Signer) ist ein DNS-Record, der in einer übergeordneten Zone (z. B. Root-Zone) gespeichert wird und den Hash-Wert des öffentlichen KSK eines untergeordneten DNS-Namensservers (z. B. .net-Zone) enthält. | ||
| + | * Der DS-Record wird verwendet, um die Authentizität des KSK der untergeordneten Zone zu verifizieren und somit die DNSSEC-Vertrauenskette aufzubauen. | ||
| + | |||
| + | == ANCHOR == | ||
| + | * ANCHOR (Vertrauensanker) ist der Punkt, an dem die DNSSEC-Vertrauenskette beginnt. In der Regel ist dies der öffentliche KSK der Root-Zone, der als Basis für alle anderen DNSSEC-Validierungen dient. | ||
| + | * Der ANCHOR stellt sicher, dass der Resolver den öffentlichen KSK der Root-Zone vertraut und auf dieser Basis alle weiteren DNSSEC-Validierungen durchführen kann. | ||
| + | |||
| + | == Einleitung == | ||
| + | * DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten. | ||
| + | * Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain. | ||
| + | |||
| + | == Anfrage beim Root-Nameserver == | ||
* Der Resolver fragt die Root-Nameserver nach der Delegation für .net. | * Der Resolver fragt die Root-Nameserver nach der Delegation für .net. | ||
* Die Antwort enthält: | * Die Antwort enthält: | ||
** Einen Verweis auf die autoritativen Nameserver der .net-Zone. | ** Einen Verweis auf die autoritativen Nameserver der .net-Zone. | ||
| − | ** Einen DS-Record für .net. | + | ** Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone). Dieser wird mit dem privaten KSK der Root-Zone signiert und trägt den Namen RRSIG. |
| + | ** Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde. | ||
** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält. | ** Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält. | ||
| − | = | + | == Validierung des DS-Records == |
| − | * Der DS-Record | + | * Der Resolver validiert den DS-Record, indem er: |
| − | * | + | ** Den Hash-Wert des DS-Records berechnet. |
| − | * | + | ** Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert. |
| + | ** Wenn die Signatur gültig ist, wird der DS-Record als authentisch betrachtet. | ||
| − | = | + | == Anfrage bei den .net-Nameservern == |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | = Anfrage bei den .net-Nameservern = | ||
* Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | * Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an. | ||
| − | * | + | * Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält. |
| − | + | * Der Resolver überprüft die Signatur des DNSKEY-Records mit dem KSK der Root-Zone. | |
| − | * | ||
| − | = Validierung des DNSKEY der .net-Zone = | + | == Validierung des DNSKEY der .net-Zone == |
| − | * Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert | + | * Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde. |
| − | + | * Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone. | |
| − | * Der Resolver überprüft die Signatur mit dem öffentlichen | ||
* Wenn die Signatur gültig ist: | * Wenn die Signatur gültig ist: | ||
** Der DNSKEY der .net-Zone ist authentisch. | ** Der DNSKEY der .net-Zone ist authentisch. | ||
| − | ** Die DNSSEC-Vertrauenskette wird | + | ** Die DNSSEC-Vertrauenskette wird fortgesetzt. |
| − | = Anfrage bei den dnssec.net-Nameservern = | + | == Anfrage bei den dnssec.net-Nameservern == |
* Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net. | * Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net. | ||
* Die Antwort enthält: | * Die Antwort enthält: | ||
| Zeile 44: | Zeile 66: | ||
** Eine RRSIG-Signatur für die Antwort. | ** Eine RRSIG-Signatur für die Antwort. | ||
| − | = Validierung der Antwort = | + | == Validierung der Antwort == |
* Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt. | * Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt. | ||
* Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen. | * Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen. | ||
| Zeile 51: | Zeile 73: | ||
** Der Resolver gibt die IP-Adresse an den Client zurück. | ** Der Resolver gibt die IP-Adresse an den Client zurück. | ||
| − | = Zusammenfassung = | + | == Zusammenfassung == |
* DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen. | * DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen. | ||
* Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone. | * Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone. | ||
* Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert. | * Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert. | ||
* DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind. | * DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind. | ||
Aktuelle Version vom 18. März 2025, 05:33 Uhr
ZSK
- ZSK (Zone Signing Key) ist ein privater Schlüssel, der für die Signierung der Daten in einer DNS-Zone verwendet wird (z. B. A-Records, MX-Records).
- Der ZSK wird verwendet, um die DNS-Daten in einer Zone zu signieren, aber nicht die DNSKEY-Records selbst.
- Es gibt auch einen öffentlichen ZSK, der im DNSKEY-Record veröffentlicht wird und von Resolvern verwendet wird, um die Signaturen der DNS-Daten zu validieren.
- ZSKs haben in der Regel eine kürzere Lebensdauer und werden regelmäßig erneuert.
KSK
- KSK (Key Signing Key) ist ein privater Schlüssel, der speziell für die Signierung des DNSKEY-Records verwendet wird.
- Der KSK wird in der Regel weniger häufig geändert und ist entscheidend für die Verlässlichkeit und Sicherheit der DNSSEC-Infrastruktur.
- Der KSK signiert den DNSKEY-Record der Zone (z. B. .net).
- Der öffentliche KSK wird im DNSKEY-Record veröffentlicht und von Resolvern zur Verifikation der Signaturen verwendet.
- Der DS-Record enthält den Hash des öffentlichen KSK und wird von der übergeordneten Zone (z. B. der Root-Zone) signiert.
RRSIG
- RRSIG (Resource Record Signature) ist ein DNS-Record, der eine kryptografische Signatur enthält.
- Er wird verwendet, um die Integrität und Authentizität eines anderen DNS-Records (z. B. DNSKEY, A-Record) zu bestätigen.
- Die RRSIG-Signatur wird mit einem privaten Schlüssel erzeugt und kann mit dem entsprechenden öffentlichen Schlüssel verifiziert werden.
DNSKEY
- DNSKEY ist ein DNS-Record, der einen öffentlichen Schlüssel enthält, der für die Signierung von DNS-Daten verwendet wird.
- Er enthält entweder einen KSK (Key Signing Key) oder einen ZSK (Zone Signing Key).
- Der DNSKEY-Record ist ein wesentlicher Bestandteil von DNSSEC, da er den öffentlichen Schlüssel zur Verifikation von DNSSEC-Signaturen bereitstellt.
DS
- DS (Delegation Signer) ist ein DNS-Record, der in einer übergeordneten Zone (z. B. Root-Zone) gespeichert wird und den Hash-Wert des öffentlichen KSK eines untergeordneten DNS-Namensservers (z. B. .net-Zone) enthält.
- Der DS-Record wird verwendet, um die Authentizität des KSK der untergeordneten Zone zu verifizieren und somit die DNSSEC-Vertrauenskette aufzubauen.
ANCHOR
- ANCHOR (Vertrauensanker) ist der Punkt, an dem die DNSSEC-Vertrauenskette beginnt. In der Regel ist dies der öffentliche KSK der Root-Zone, der als Basis für alle anderen DNSSEC-Validierungen dient.
- Der ANCHOR stellt sicher, dass der Resolver den öffentlichen KSK der Root-Zone vertraut und auf dieser Basis alle weiteren DNSSEC-Validierungen durchführen kann.
Einleitung
- DNSSEC (Domain Name System Security Extensions) sorgt für die Authentifizierung und Integrität von DNS-Daten.
- Der Prozess umfasst mehrere Schritte, beginnend bei der Root-Zone bis hin zu den Nameservern der spezifischen Domain.
Anfrage beim Root-Nameserver
- Der Resolver fragt die Root-Nameserver nach der Delegation für .net.
- Die Antwort enthält:
- Einen Verweis auf die autoritativen Nameserver der .net-Zone.
- Einen DS-Record für .net (enthält den Hash-Wert des öffentlichen KSK der .net-Zone). Dieser wird mit dem privaten KSK der Root-Zone signiert und trägt den Namen RRSIG.
- Eine RRSIG-Signatur für den DS-Record, die mit dem privaten KSK der Root-Zone erstellt wurde.
- Den DNSKEY der Root-Zone, der den öffentlichen KSK und ZSK der Root-Zone enthält.
Validierung des DS-Records
- Der Resolver validiert den DS-Record, indem er:
- Den Hash-Wert des DS-Records berechnet.
- Die RRSIG-Signatur des DS-Records mit dem öffentlichen KSK der Root-Zone verifiziert.
- Wenn die Signatur gültig ist, wird der DS-Record als authentisch betrachtet.
Anfrage bei den .net-Nameservern
- Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
- Der Resolver fordert den DNSKEY-Record der .net-Zone an, der den öffentlichen KSK und ZSK der .net-Zone enthält.
- Der Resolver überprüft die Signatur des DNSKEY-Records mit dem KSK der Root-Zone.
Validierung des DNSKEY der .net-Zone
- Der öffentliche KSK der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
- Der Resolver überprüft die Signatur mit dem öffentlichen KSK der Root-Zone.
- Wenn die Signatur gültig ist:
- Der DNSKEY der .net-Zone ist authentisch.
- Die DNSSEC-Vertrauenskette wird fortgesetzt.
Anfrage bei den dnssec.net-Nameservern
- Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
- Die Antwort enthält:
- Einen A-Record (oder AAAA für IPv6).
- Eine RRSIG-Signatur für die Antwort.
Validierung der Antwort
- Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
- Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
- Wenn die Signatur gültig ist:
- Die Antwort ist authentisch und wurde nicht manipuliert.
- Der Resolver gibt die IP-Adresse an den Client zurück.
Zusammenfassung
- DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
- Die Validierung beginnt in der Root-Zone mit dem DNSKEY der Root-Zone.
- Jeder nachfolgende Schritt wird mit dem übergeordneten Schlüssel validiert.
- DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.