KEY Resource Record

KEY Resource Record

KEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. KEY Records wurden im Rahmen von DNSSEC (DNS Security) verwendet, ab 2004 aber durch die nahezu identischen DNSKEY Resource Records ersetzt.

Inhaltsverzeichnis

Hintergrund

Public-Key-Systeme gelten heute als leistungsfähige und vielfältig einsetzbare Verschlüsselungsverfahren. Der Besitzer eines Schlüssels unterzeichnet beispielsweise eine Nachricht mit dem nur ihm selbst bekannten Privaten Schlüssel. Ein Empfänger kann diese Unterschrift unter Zuhilfenahme des korrespondierenden Öffentlichen Schlüssel verifizieren und damit sicherstellen, dass die Nachricht tatsächlich vom Absender stammt und dass sie unverfälscht ist.

Ein Grundproblem von Public-Key-Systemen ist die Verteilung der Öffentlichen Schlüssel: Wie macht ein User seinen Public Key der Welt bekannt? Das hier beschriebene Verfahren verwendet DNS. Der Besitzer des Schlüssels legt diesen als KEY-RR auf einem öffentlich zugängigen DNS-Server ab. Jeder, der den Public Key dieses Users benötigt, sendet eine entsprechende DNS-Anfrage. Als Antwort erhält er dann den Öffentlichen Schlüssel. Das Verfahren entspricht damit der Propagierung von IP-Adressen.

Aufbau

Ein KEY-RR besteht den folgenden Feldern:

Label 
Name des Besitzers des Schlüssels
Class 
nur IN zulässig
Typ 
KEY
Flags 
zusätzliche Angaben wie z. B. Host-, Zonen- oder User-Schlüssel
Protokoll 
1=TLS, 2=email, 3=DNSSEC, 4=IPsec, 255=alle
Verschlüsselungsverfahren 
1=MD5, 2=Diffie Hellman, 3=DSA
Schlüssel

Beispiel

child.example IN KEY (
                       256                ; Zonenschlüssel 
                       3                  ; dnssec
                       3                  ; DSA-Verschlüsselung
                       BOPdJjdc/ZQWCVA/ONz6LjvugMnB2KKL3F1D2i9Gdrpi
                       rcWRKS2DfRn5KiMM2HQXBHv0ZdkFs/tmjg7rYxrN+bzB
                       NrlwfU5RMjioi67PthD07EHbZjwoZ5sKC2BZ/M596hyg
                       fx5JAvbIWBQVF+ztiuCnWCkbGvVXwsmE+odINCur+o+E
                       jA9hF06LqTviUJKqTxisQO5OHM/0ufNenzIbijJPTXbU
                       cF3vW+CMlX+AUPLSag7YnhWaEu7BLCKfg3vJVw9mtaN2
                       W3oWPRdebGUf/QfyVKXoWD6zDLByCZh4wKvpcwgAsel4
                       bO5LVe7s8qstSxqrwzmvaZ5XYOMZFbN7CXtutiswAkb0
                       pkehIYime6IRkDwWDG+14H5yriRuCDK3m7GvwxMo+ggV
                       0k3Po9LD5wWSIi1N ) ; key id = 22004

Sicherheit des Verfahrens

Die Propagierung eines Öffentlichen Schlüssels per DNS ist nur dann ausreichend sicher, wenn der entsprechende KEY-RR durch einen SIG Resource Record digital unterschrieben und der DNS-Request durch DNSSEC abgesichert ist. Die Propagierung durch ein X.509-Zertifikat ist noch sicherer, aber sehr viel aufwändiger und teurer.

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Resource-Record — Ein Resource Record (RR) ist die kleinste Informationseinheit im Domain Name System (DNS). Er tritt in ASCII Darstellung in Zonendateien oder in komprimierter Form in DNS Transport Paketen oder DNS Caches auf. Einige RR Typen – sogenannte Pseudo… …   Deutsch Wikipedia

  • Resource Record — Ein Resource Record (RR) ist die grundlegende Informationseinheit im Domain Name System (DNS). Er tritt in ASCII Darstellung in Zonendateien oder in komprimierter Form in DNS Transport Paketen oder DNS Caches auf. Einige RR Typen – sogenannte… …   Deutsch Wikipedia

  • DS Resource Record — DS Resource Records dienen der Verkettung von DNSSEC signierten Zonen. Dadurch können mehrere DNS Zonen zu einer Chain of Trust zusammengefasst und über einen einzigen Öffentlichen Schlüssen validiert werden. Inhaltsverzeichnis 1 Hintergrund 2… …   Deutsch Wikipedia

  • RRSIG Resource Record — Mit RRSIG Resource Record bzw. Signature Resource Record können im Rahmen von DNSSEC (DNS Security) beliebige Resource Records digital unterschrieben werden. Der RRSIG Typ löste 2004 den nahezu identischen SIG Resource Record ab.… …   Deutsch Wikipedia

  • DNSKEY Resource Record — DNSKEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. DNSKEY Records werden im Rahmen von DNSSEC (DNS Security) verwendet und lösten 2004 die nahezu identischen KEY Resource Records ab. Inhaltsverzeichnis 1 Hintergrund …   Deutsch Wikipedia

  • SSHFP Resource Record — Mit einem SSHFP Resource Record (SSHFP für eng. Secure Shell (Key) Fingerprint) kann der DNS Name eines Hosts mit dessen SSH Key verknüpft werden. Aufbau <Name> [<TTL>] [<Klasse>] SSHFP <Algorithmus> <Typ>… …   Deutsch Wikipedia

  • SIG Resource Record — Mit SIG Resource Record bzw. Signature Resource Record können im Rahmen von DNSSEC (DNS Security) beliebige Resource Records digital unterschrieben werden. Der SIG Typ ist nicht mehr im Gebrauch und wurde 2004 durch den nahezu identischen RRSIG… …   Deutsch Wikipedia

  • KEY-Record — KEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. KEY Records wurden im Rahmen von DNSSEC (DNS Security) verwendet, ab 2004 aber durch die nahezu identischen DNSKEY Resource Records ersetzt. Inhaltsverzeichnis 1… …   Deutsch Wikipedia

  • List of DNS record types — This List of DNS record types provides an overview of types of resource records (database records) stored in the zone files of the Domain Name System (DNS). The DNS implements a distributed, hierarchical, and redundant database for information… …   Wikipedia

  • DNSKEY-Record — DNSKEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. DNSKEY Records werden im Rahmen von DNSSEC (DNS Security) verwendet und lösten 2004 die nahezu identischen KEY Resource Records ab. Inhaltsverzeichnis 1 Hintergrund …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”