Vetrauenskette bei DNSSEC: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=Ablauf in DNSSEC= *Der Nameserver signiert den A-Record: *Der ZSK (Zone Signing Key) des authoritativen Nameservers für die Domain erstellt einen Hash des A-…“) |
|||
| Zeile 1: | Zeile 1: | ||
=Ablauf in DNSSEC= | =Ablauf in DNSSEC= | ||
| − | *Der Nameserver signiert den A-Record: | + | |
| − | *Der ZSK (Zone Signing Key) des authoritativen Nameservers für die Domain erstellt einen Hash des A-Records (z. B. hund.example.com IN A 192.168.1.1). | + | * Der Nameserver signiert den A-Record: |
| − | *Dieser Hash wird mit dem privaten ZSK signiert. | + | ** Der ZSK (Zone Signing Key) des authoritativen Nameservers für die Domain erstellt einen Hash des A-Records (z. B. hund.example.com IN A 192.168.1.1). |
| − | *Das Ergebnis dieser Signierung ist der RRSIG-Record (die Signatur), die den Hash enthält. | + | ** Dieser Hash wird mit dem privaten ZSK signiert. |
| − | *Der Nameserver schickt dann den A-Record zusammen mit der RRSIG-Signatur an den Resolver. | + | ** Das Ergebnis dieser Signierung ist der RRSIG-Record (die Signatur), die den Hash enthält. |
| − | *Der Resolver überprüft die Signatur: | + | ** Der Nameserver schickt dann den A-Record zusammen mit der RRSIG-Signatur an den Resolver. |
| − | *Der Resolver erhält den A-Record und die dazugehörige RRSIG-Signatur. | + | |
| − | *Der Resolver berechnet selbst den Hash des A-Records (mit demselben Hash-Algorithmus wie der Nameserver). | + | * Der Resolver überprüft die Signatur: |
| − | *Der Resolver zieht den DNSKEY-Record (der den öffentlichen ZSK enthält) und verwendet den öffentlichen ZSK, um die RRSIG-Signatur zu entschlüsseln. | + | ** Der Resolver erhält den A-Record und die dazugehörige RRSIG-Signatur. |
| − | *Der Resolver vergleicht den entschlüsselten Wert der Signatur mit dem von ihm selbst berechneten Hash des A-Records. | + | ** Der Resolver berechnet selbst den Hash des A-Records (mit demselben Hash-Algorithmus wie der Nameserver). |
| − | *Wenn beide Werte übereinstimmen, bedeutet dies, dass der A-Record authentisch ist und nicht manipuliert wurde. | + | ** Der Resolver zieht den DNSKEY-Record (der den öffentlichen ZSK enthält) und verwendet den öffentlichen ZSK, um die RRSIG-Signatur zu entschlüsseln. |
| + | ** Der Resolver vergleicht den entschlüsselten Wert der Signatur mit dem von ihm selbst berechneten Hash des A-Records. | ||
| + | ** Wenn beide Werte übereinstimmen, bedeutet dies, dass der A-Record authentisch ist und nicht manipuliert wurde. | ||
Version vom 18. März 2025, 06:23 Uhr
Ablauf in DNSSEC
- Der Nameserver signiert den A-Record:
- Der ZSK (Zone Signing Key) des authoritativen Nameservers für die Domain erstellt einen Hash des A-Records (z. B. hund.example.com IN A 192.168.1.1).
- Dieser Hash wird mit dem privaten ZSK signiert.
- Das Ergebnis dieser Signierung ist der RRSIG-Record (die Signatur), die den Hash enthält.
- Der Nameserver schickt dann den A-Record zusammen mit der RRSIG-Signatur an den Resolver.
- Der Resolver überprüft die Signatur:
- Der Resolver erhält den A-Record und die dazugehörige RRSIG-Signatur.
- Der Resolver berechnet selbst den Hash des A-Records (mit demselben Hash-Algorithmus wie der Nameserver).
- Der Resolver zieht den DNSKEY-Record (der den öffentlichen ZSK enthält) und verwendet den öffentlichen ZSK, um die RRSIG-Signatur zu entschlüsseln.
- Der Resolver vergleicht den entschlüsselten Wert der Signatur mit dem von ihm selbst berechneten Hash des A-Records.
- Wenn beide Werte übereinstimmen, bedeutet dies, dass der A-Record authentisch ist und nicht manipuliert wurde.