Dnssec Ablauf 1

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen


Frage des Resolvers

  • Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.

Der Root-Nameserver liefert den DS-Record für .net

  • Der DS-Record (Delegation Signer) ist ein spezieller DNS-Eintrag, der in der Root-Zone gespeichert ist.
  • Er enthält einen kryptografischen Hash (z. B. SHA-256) des öffentlichen Schlüssels (DNSKEY) der .net-Zone.
  • Der DS-Record dient als "Vertrauensanker" zwischen der Root-Zone und der .net-Zone.

Der DS-Record hat eine RRSIG-Signatur

  • Der DS-Record ist mit einer RRSIG (Resource Record Signature) signiert.
  • Diese Signatur wird mit dem privaten ZSK (Zone Signing Key) der Root-Zone erstellt.
  • Die RRSIG enthält Metadaten wie:
    • Den verwendeten Signaturalgorithmus (z. B. RSA/SHA-256).
    • Das Gültigkeitsdatum der Signatur (Start- und Endzeitpunkt).
    • Den Namen des Signers (in diesem Fall die Root-Zone).

Der Resolver nutzt den öffentlichen ZSK der Root-Zone

  • Der Resolver verwendet den öffentlichen ZSK der Root-Zone, um die RRSIG-Signatur des DS-Records zu überprüfen.
  • Der öffentliche ZSK ist im Vorhinein bekannt und wird zur Authentizitätsprüfung verwendet.

Überprüfung der Signatur

  • Der Resolver überprüft die RRSIG-Signatur, indem er:
    • Den Hashwert des DS-Records berechnet.
    • Die Signatur mit dem öffentlichen ZSK der Root-Zone entschlüsselt.
    • Die beiden Werte vergleicht.
  • Wenn die Signatur gültig ist:
    • Der DS-Record ist authentisch und wurde nicht manipuliert.
    • Die DNSSEC-Vertrauenskette ist intakt.

Anfrage bei den .net-Nameservern

  • Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
  • Der Resolver fordert den DNSKEY der .net-Zone an, um die Authentizität weiterer DNS-Antworten zu überprüfen.

Validierung des DNSKEY der .net-Zone

  • Der DNSKEY der .net-Zone ist mit einer RRSIG signiert, die mit dem privaten KSK (Key Signing Key) der .net-Zone erstellt wurde.
  • Der Resolver verwendet den öffentlichen KSK der .net-Zone, um die RRSIG des DNSKEY zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Der DNSKEY ist authentisch.
    • Der Resolver kann jetzt die DNSSEC-Validierung für die Domain dnssec.net fortsetzen.

Anfrage bei den dnssec.net-Nameservern

  • Der Resolver fragt die Nameserver (NS) von dnssec.net an, um die IP-Adresse von www.dnssec.net zu erhalten.
  • Die Antwort der dnssec.net-Nameserver enthält einen A-Record (oder AAAA für IPv6) sowie eine RRSIG-Signatur.
  • Der Resolver verwendet den öffentlichen Schlüssel (DNSKEY) der .net-Zone, um die RRSIG der Antwort zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Die Antwort ist authentisch und wurde nicht manipuliert.
    • Der Resolver liefert die IP-Adresse an den Client zurück.

Zusammenfassung

  • Die Validierung des DS-Records für .net ist der erste Schritt in der DNSSEC-Vertrauenskette.
  • Der Prozess setzt sich fort, bis die Antwort der Nameserver von dnssec.net validiert ist.
  • DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Ablauf_1&oldid=60204