Zone-Signing Keys
Signierung
- Jede Zone in DNSSEC verfügt über ein Zone-Signing Key-Paar (ZSK)
- Der private Teil des Schlüssels führt eine digitale Signatur für jedes RRset in der Zone durch.
- Der öffentliche Teil verifiziert die Signatur.
Übertragung
- Der Zonenbetreiber muss auch seinen öffentlichen ZSK verfügbar machen, indem er ihn in einem DNSKEY-Eintrag zu seinem Nameserver hinzufügt.
- Wenn nun ein Resolver einen Record-Typen angfragt, übergibt der Nameserver auch den öffentlichen Schlüssel des ZSK.
- Gleichartige Records werden gemeinsam signiert.
Verifizierung
- Wenn nun die Prüfsumme gleich dem RRSet ist, ist der RRSet authentisch.
![Bearbeiten](javascript:editDrawio("283012955", "Zone-Signing-Key-1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("497536045", "Zone-Signing-Key-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1023169223", "Zone-Signing-Key-3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}