Dnssec Ablauf

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Frage des Resolvers

  • Ein Resolver fragt nach einer Domain, z. B. www.dnssec.net.

Anfrage beim Root-Nameserver

  • Der Resolver fragt die **Root-Nameserver** nach der Delegation für `.net`.
  • Die Antwort enthält:
    • Einen Verweis auf die autoritativen Nameserver der `.net`-Zone.
    • Einen **DS-Record** für `.net`.
    • Den **DNSKEY der Root-Zone**, der den öffentlichen **KSK und ZSK der Root-Zone** enthält.

Signatur des DS-Records

  • Der **DS-Record für `.net`** wird zunächst mit einem Hash-Algorithmus (z. B. SHA-256) gehasht.
  • Der resultierende Hash-Wert wird mit dem privaten **KSK der Root-Zone** signiert.
  • Diese Signatur wird als **RRSIG-Record** gespeichert.

Überprüfung durch den Resolver

  • Der Resolver empfängt den **DS-Record** und die zugehörige **RRSIG-Signatur** von der Root-Zone.
  • Zur Validierung führt der Resolver folgende Schritte aus:
    • Er berechnet den Hash-Wert des **DS-Records**.
    • Er entschlüsselt die **RRSIG-Signatur** mit dem **öffentlichen KSK der Root-Zone** (der im DNSKEY-Record enthalten ist).
    • Er vergleicht beide Werte miteinander.
  • Wenn die Signatur gültig ist:
    • Der **DS-Record für `.net`** ist authentisch und wurde nicht manipuliert.
    • Die **DNSSEC-Vertrauenskette** wird fortgesetzt.

Anfrage bei den `.net`-Nameservern

  • Nach erfolgreicher Validierung des **DS-Records** fragt der Resolver die `.net`-Nameserver an.
  • Er fordert folgende Einträge an:
    • Den **DNSKEY-Record der `.net`-Zone**, der den öffentlichen **KSK und ZSK der `.net`-Zone** enthält.
    • Die **RRSIG-Signatur** des DNSKEY-Records.

Validierung des DNSKEY der `.net`-Zone

  • Der **öffentliche KSK der `.net`-Zone** ist mit einer **RRSIG-Signatur** signiert.
  • Diese Signatur wurde mit dem **privaten KSK der `.net`-Zone** erstellt.
  • Der Resolver überprüft die Signatur mit dem **öffentlichen DS-Record der `.net`-Zone**.
  • Wenn die Signatur gültig ist:
    • Der **DNSKEY der `.net`-Zone** ist authentisch.
    • Die **DNSSEC-Vertrauenskette** wird weitergeführt.

Anfrage bei den `dnssec.net`-Nameservern

  • Der Resolver fragt die autoritativen Nameserver von `dnssec.net` nach der IP-Adresse von `www.dnssec.net`.
  • Die Antwort enthält:
    • Einen **A-Record** (oder **AAAA** für IPv6).
    • Eine **RRSIG-Signatur** für die Antwort.

Validierung der Antwort

  • Die **RRSIG-Signatur** der Antwort wurde mit dem **privaten ZSK der `dnssec.net`-Zone** erstellt.
  • Der Resolver verwendet den zuvor validierten **öffentlichen DNSKEY der `dnssec.net`-Zone**, um die Signatur zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Die Antwort ist authentisch und wurde nicht manipuliert.
    • Der Resolver gibt die IP-Adresse an den Client zurück.

Zusammenfassung

  • DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
  • Die Validierung beginnt in der **Root-Zone** mit dem **DNSKEY der Root-Zone**.
  • Jeder nachfolgende Schritt wird mit dem **übergeordneten Schlüssel** validiert.
  • DNSSEC stellt sicher, dass die **DNS-Antworten authentisch** und **nicht manipuliert** sind.

Jetzt ist alles im **Raw-Format** für MediaWiki und ohne unnötige Formatierungen.

Überprüfung durch den Resolver

  • Der Resolver empfängt den DS-Record und die zugehörige RRSIG-Signatur von der Root-Zone.
  • Zur Validierung führt der Resolver folgende Schritte aus:
    • Er berechnet den Hash-Wert des DS-Records.
    • Er entschlüsselt die RRSIG-Signatur mit dem öffentlichen KSK der Root-Zone.
    • Er vergleicht beide Werte miteinander.
  • Wenn die Signatur gültig ist:
    • Der DS-Record für .net ist authentisch und wurde nicht manipuliert.
    • Die DNSSEC-Vertrauenskette wird fortgesetzt.

Anfrage bei den .net-Nameservern

  • Nach erfolgreicher Validierung des DS-Records fragt der Resolver die .net-Nameserver an.
  • Er fordert den DNSKEY der .net-Zone an.

Validierung des DNSKEY der .net-Zone

  • Der DNSKEY der .net-Zone ist mit einer RRSIG-Signatur signiert, die mit dem privaten KSK der .net-Zone erstellt wurde.
  • Der Resolver überprüft die Signatur mit dem öffentlichen KSK der .net-Zone.
  • Wenn die Signatur gültig ist:
    • Der DNSKEY der .net-Zone ist authentisch.
    • Der Resolver kann nun weitere DNSSEC-Validierungen innerhalb der .net-Zone durchführen.

Anfrage bei den dnssec.net-Nameservern

  • Der Resolver fragt die autoritativen Nameserver von dnssec.net nach der IP-Adresse von www.dnssec.net.
  • Die Antwort enthält:
    • Einen A-Record (oder AAAA für IPv6).
    • Eine RRSIG-Signatur für die Antwort.

Validierung der Antwort

  • Die RRSIG-Signatur der Antwort wurde mit dem privaten ZSK der dnssec.net-Zone erstellt.
  • Der Resolver verwendet den zuvor validierten öffentlichen DNSKEY der dnssec.net-Zone, um die Signatur zu überprüfen.
  • Wenn die Signatur gültig ist:
    • Die Antwort ist authentisch und wurde nicht manipuliert.
    • Der Resolver gibt die IP-Adresse an den Client zurück.

Zusammenfassung

  • DNSSEC validiert jede Zone schrittweise mit kryptografischen Signaturen.
  • Der Resolver überprüft jede Signatur anhand des jeweils übergeordneten Schlüssels in der Vertrauenskette.
  • DNSSEC stellt sicher, dass die DNS-Antworten authentisch und nicht manipuliert sind.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Ablauf&oldid=60215