Dnssec Ablauf 1

Aus Xinux Wiki
Version vom 17. März 2025, 19:57 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Validierung des DS-Records für .net = == Schritt 1: Der Root-Nameserver liefert den DS-Record für .net == * Der '''DS-Record''' (Delegation Signer) ist ei…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Validierung des DS-Records für .net

Schritt 1: Der Root-Nameserver liefert den DS-Record für .net

  • Der DS-Record (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der übergeordneten Zone (der Root-Zone) gespeichert ist.
  • Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone.
  • Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone und stellt sicher, dass die .net-Zone autoritativ und unverfälscht ist.

Schritt 2: Der DS-Record hat eine RRSIG-Signatur

  • Der DS-Record ist mit einer RRSIG (Resource Record Signature) signiert.
  • Diese Signatur wird mit dem privaten ZSK (Zone Signing Key) der Root-Zone erstellt.
  • Die RRSIG enthält Metadaten wie:
    • Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
    • Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
    • Den Namen des Signers (in diesem Fall die Root-Zone).

Schritt 3: Der Resolver nutzt den öffentlichen ZSK der Root-Zone

  • Der Resolver (der DNS-Server, der die Anfrage bearbeitet) verwendet den öffentlichen ZSK der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen.
  • Der öffentliche ZSK ist im Vorhinein bekannt und wird verwendet, um die Authentizität der Signatur zu bestätigen.

Schritt 4: Überprüfung der Signatur

  • Der Resolver überprüft die RRSIG-Signatur, indem er:
    • Den Hashwert des DS-Records berechnet.
    • Die Signatur mit dem öffentlichen ZSK der Root-Zone entschlüsselt.
    • Die beiden Werte vergleicht.
  • Wenn die Signatur gültig ist:
    • Der DS-Record ist authentisch und wurde nicht manipuliert.
    • Die DNSSEC-Vertrauenskette ist intakt.

Schritt 5: Weiterführung der DNSSEC-Kette

  • Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
  • Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen.
  • Dieser Prozess wiederholt sich für jede Zone in der DNS-Hierarchie, bis die vollständige DNSSEC-Kette validiert ist.

Zusammenfassung

Die Validierung des DS-Records für .net ist ein zentraler Schritt in der DNSSEC-Vertrauenskette. Sie stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind, indem kryptografische Signaturen und öffentliche Schlüssel verwendet werden.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Ablauf_1&oldid=60197