Vetrauenskette bei DNSSEC

Aus Xinux Wiki
Version vom 18. März 2025, 06:23 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=Ablauf in DNSSEC= *Der Nameserver signiert den A-Record: *Der ZSK (Zone Signing Key) des authoritativen Nameservers für die Domain erstellt einen Hash des A-…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Ablauf in DNSSEC

  • Der Nameserver signiert den A-Record:
  • Der ZSK (Zone Signing Key) des authoritativen Nameservers für die Domain erstellt einen Hash des A-Records (z. B. hund.example.com IN A 192.168.1.1).
  • Dieser Hash wird mit dem privaten ZSK signiert.
  • Das Ergebnis dieser Signierung ist der RRSIG-Record (die Signatur), die den Hash enthält.
  • Der Nameserver schickt dann den A-Record zusammen mit der RRSIG-Signatur an den Resolver.
  • Der Resolver überprüft die Signatur:
  • Der Resolver erhält den A-Record und die dazugehörige RRSIG-Signatur.
  • Der Resolver berechnet selbst den Hash des A-Records (mit demselben Hash-Algorithmus wie der Nameserver).
  • Der Resolver zieht den DNSKEY-Record (der den öffentlichen ZSK enthält) und verwendet den öffentlichen ZSK, um die RRSIG-Signatur zu entschlüsseln.
  • Der Resolver vergleicht den entschlüsselten Wert der Signatur mit dem von ihm selbst berechneten Hash des A-Records.
  • Wenn beide Werte übereinstimmen, bedeutet dies, dass der A-Record authentisch ist und nicht manipuliert wurde.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Vetrauenskette_bei_DNSSEC&oldid=60246