Zone-Signing Keys
Version vom 14. Februar 2023, 11:29 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=Signierung= *Jede Zone in DNSSEC verfügt über ein Zone-Signing Key-Paar (ZSK) *Der private Teil des Schlüssels führt eine digitale Signatur für jedes RRs…“)
Signierung
- Jede Zone in DNSSEC verfügt über ein Zone-Signing Key-Paar (ZSK)
- Der private Teil des Schlüssels führt eine digitale Signatur für jedes RRset in der Zone durch.
- Der öffentliche Teil verifiziert die Signatur.
Übertragung
- Der Zonenbetreiber muss auch seinen öffentlichen ZSK verfügbar machen, indem er ihn in einem DNSKEY-Eintrag zu seinem Nameserver hinzufügt.
- Wenn nun ein Resolver einen Record-Typen angfragt, übergibt der Nameserver auch den öffentlichen Schlüssel des ZSK.
Verifizierung
- Wenn nun die Prüfsumme gleich dem RRSet ist, ist der RRSet authentisch.
![Bearbeiten](javascript:editDrawio("2013688363", "Zone-Signing-Key-1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("91846071", "Zone-Signing-Key-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1815626543", "Zone-Signing-Key-3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}