DNSKEY Resource Record

DNSKEY Resource Record

DNSKEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. DNSKEY Records werden im Rahmen von DNSSEC (DNS Security) verwendet und lösten 2004 die nahezu identischen KEY Resource Records ab.

Inhaltsverzeichnis

Hintergrund

Public-Key-Systeme gelten heute als leistungsfähige und vielfältig einsetzbare Verschlüsselungsverfahren. Der Besitzer eines Schlüssels unterzeichnet beispielsweise eine Nachricht mit dem nur ihm selbst bekannten Privaten Schlüssel. Ein Empfänger kann diese Unterschrift unter Zuhilfenahme des korrespondierenden Öffentlichen Schlüssel verifizieren und damit sicherstellen, dass die Nachricht tatsächlich vom Absender stammt und dass sie unverfälscht ist.

Ein Grundproblem von Public-Key-Systemen ist die Verteilung der Öffentlichen Schlüssel: Wie macht ein User seinen Public Key der Welt bekannt? Das hier beschriebene Verfahren verwendet DNS. Der Besitzer des Schlüssels legt diesen als DNSKEY-RR auf einem öffentlich zugängigen DNS-Server ab. Jeder, der den Public Key dieses Users benötigt, sendet eine entsprechende DNS-Anfrage. Als Antwort erhält er dann den Öffentlichen Schlüssel. Das Verfahren entspricht damit der Propagierung von IP-Adressen.

In der Praxis reicht diese Art der Propagierung aber nicht aus, da eine komplette Zone gefälscht sein kann. Der Public Key muss deshalb manuell als Trusted Key in den Resolver eingebracht werden.

Aufbau

Ein DNSKEY-RR besteht aus den folgenden Feldern:

Label 
Name des Besitzers des Schlüssels
Class 
nur IN zulässig
Typ 
DNSKEY
Flags 
zusätzliche Angaben wie z. B. Host-, Zonen- oder Schlüsselunterzeichnungs-Schlüssel. Im Rahmen von DNSSEC werden 256=Zone und 257=Schlüssel verwendet
Protokoll 
1=TLS, 2=email, 3=DNSSEC, 4=IPsec, 255=alle
Verschlüsselungsverfahren 
1=RSA/MD5, 2=Diffie Hellman, 3=DSA/SHA-1, 4=Elliptische Kurven, 5=RSA/SHA-1, 6=DSA/SHA-1/NSEC3, 7=RSA/SHA-1/NSEC3, 8=RSA/SHA-256, 10=RSA/SHA-512
Schlüssel

Beispiele

child.example IN DNSKEY (
                          256          ; Zonenschlüssel 
                          3            ; dnssec
                          3            ; DSA-Verschlüsselung
                          BOPdJjdc/ZQWCVA/ONz6LjvugMnB2KKL3F1D2i9Gdrpi
                          rcWRKS2DfRn5KiMM2HQXBHv0ZdkFs/tmjg7rYxrN+bzB
                          NrlwfU5RMjioi67PthD07EHbZjwoZ5sKC2BZ/M596hyg
                          fx5JAvbIWBQVF+ztiuCnWCkbGvVXwsmE+odINCur+o+E
                          jA9hF06LqTviUJKqTxisQO5OHM/0ufNenzIbijJPTXbU
                          cF3vW+CMlX+AUPLSag7YnhWaEu7BLCKfg3vJVw9mtaN2
                          W3oWPRdebGUf/QfyVKXoWD6zDLByCZh4wKvpcwgAsel4
                          bO5LVe7s8qstSxqrwzmvaZ5XYOMZFbN7CXtutiswAkb0
                          pkehIYime6IRkDwWDG+14H5yriRuCDK3m7GvwxMo+ggV
                          0k3Po9LD5wWSIi1N ) 
f-beispiel.de. IN DNSKEY (
                           257         ; Schlüsselunterzeichnungs-Schlüssel
                           3           ; DNSSEC
                           1           ; RSA-Verschlüsselung
                           AQOW4333ZLdOHLRk+3Xe6RAaCQAOMhAVJu2T
                           xqmk1Kyc13h69/wh1zhDk2jjqxsN6dVAFi16
                           CUoynd7/EfaXdcjL )

Sicherheit des Verfahrens

Die Propagierung eines Öffentlichen Schlüssels per DNS ist nur dann ausreichend sicher, wenn der entsprechende DNSKEY-RR durch einen RRSIG Resource Record digital unterschrieben und der DNS-Request durch DNSSEC abgesichert ist. Die Propagierung durch ein X.509-Zertifikat ist noch sicherer, aber sehr viel aufwändiger und teurer.

Weblinks

  • RFC 4034Resource Records for the DNS Security Extension

Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Resource-Record — Ein Resource Record (RR) ist die kleinste Informationseinheit im Domain Name System (DNS). Er tritt in ASCII Darstellung in Zonendateien oder in komprimierter Form in DNS Transport Paketen oder DNS Caches auf. Einige RR Typen – sogenannte Pseudo… …   Deutsch Wikipedia

  • Resource Record — Ein Resource Record (RR) ist die grundlegende Informationseinheit im Domain Name System (DNS). Er tritt in ASCII Darstellung in Zonendateien oder in komprimierter Form in DNS Transport Paketen oder DNS Caches auf. Einige RR Typen – sogenannte… …   Deutsch Wikipedia

  • KEY Resource Record — KEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. KEY Records wurden im Rahmen von DNSSEC (DNS Security) verwendet, ab 2004 aber durch die nahezu identischen DNSKEY Resource Records ersetzt. Inhaltsverzeichnis 1… …   Deutsch Wikipedia

  • DNSKEY-Record — DNSKEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. DNSKEY Records werden im Rahmen von DNSSEC (DNS Security) verwendet und lösten 2004 die nahezu identischen KEY Resource Records ab. Inhaltsverzeichnis 1 Hintergrund …   Deutsch Wikipedia

  • DNSKEY — Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. DNSKEY Records werden im Rahmen von DNSSEC (DNS Security) verwendet und lösten 2004 die nahezu identischen KEY Resource Records ab. Inhaltsverzeichnis 1 Hintergrund 2… …   Deutsch Wikipedia

  • KEY-Record — KEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. KEY Records wurden im Rahmen von DNSSEC (DNS Security) verwendet, ab 2004 aber durch die nahezu identischen DNSKEY Resource Records ersetzt. Inhaltsverzeichnis 1… …   Deutsch Wikipedia

  • List of DNS record types — This List of DNS record types provides an overview of types of resource records (database records) stored in the zone files of the Domain Name System (DNS). The DNS implements a distributed, hierarchical, and redundant database for information… …   Wikipedia

  • DS-Record — DS Resource Records dienen der Verkettung von DNSSEC signierten Zonen. Dadurch können mehrere DNS Zonen zu einer Chain of Trust zusammengefasst und über einen einzigen Öffentlichen Schlüssen validiert werden. Inhaltsverzeichnis 1 Hintergrund 2… …   Deutsch Wikipedia

  • DNSSEC — im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang …   Deutsch Wikipedia

  • DNS Security Extensions — DNSSEC im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”