RRSIG

RRSIG

Mit RRSIG Resource Record bzw. Signature Resource Record können im Rahmen von DNSSEC (DNS Security) beliebige Resource Records digital unterschrieben werden. Der RRSIG-Typ löste 2004 den nahezu identischen SIG Resource Record ab.

Inhaltsverzeichnis

Hintergrund

Ein Benutzer, der auf einen DNS-Request eine Antwort erhält (z. B. eine IP-Adresse), kann nicht sicher sein, dass die Antwort auch wirklich von einem regulären Nameserver stammt und dass sie nicht auf dem Transportweg verfälscht wurde. Die Lösung ist, Resource Records digital zu unterschreiben.

Eine Digitale Unterschrift setzt ein Public-Key-Verfahren voraus. Der Nameserver, der als Master für einen DNS-Eintrag autoritativ ist, unterschreibt diesen mit seinem Privaten Schlüssel. Resolver können die digitale Unterschrift jederzeit validieren, sofern sie den öffentlichen Schlüssel der Zone kennen.

Aufbau

Ein RRSIG Resource Record besteht aus den folgenden Feldern:

Name 
des digital unterschriebenen RRs

RRSIG (Typ 46)

Aktuelle TTL 
gibt an, wie lange dieser Eintrag im Cache gehalten werden darf
KEY
Typ 
des unterschriebenen RR – z. B. A, NS, SOA
Verschlüsselungsalgorithmus 
(1=MD5,2=Diffie-Hellman,3=DSA)
Anzahl der Namenskomponenten 
zur Wildcard-Auflösung siehe RFC 2535
TTL 
zum Zeitpunkt der Unterschrift
Anfangszeitpunkt 
ab der die Unterschrift gültig ist
Endzeitpunkt 
bis zu dem die Unterschrift gültig ist
eindeutige Nummer 
um zwischen mehreren Signaturen zu unterscheiden (engl. key tag)
Name des Unterzeichners (Zone)
eigentliche Unterschrift

Beispiel

In diesem Beispiel wird ein A-RR digital unterschrieben:

www.child.example. 1285    A    1.2.3.15
www.child.example. 1285    RRSIG   (
                           A                 ; Typ ist A-RR
                           3                 ; DSA-Encryption
                           3                 ; Name hat 3 Komponenten
                           1285              ; Original-TTL
                           20040327122207    ; Anfangszeitpunkt
                           20040226122207    ; Endzeitpunkt
                           22004             ; eindeutige Nummer
                           child.example.    ; Name des Unterzeichners
                           BMTLR80WnKndatr77OirBtprR9SLKoZUiPWX
                           U5kViDi+5amYW/GFCp0= )

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • RRSIG Resource Record — Mit RRSIG Resource Record bzw. Signature Resource Record können im Rahmen von DNSSEC (DNS Security) beliebige Resource Records digital unterschrieben werden. Der RRSIG Typ löste 2004 den nahezu identischen SIG Resource Record ab.… …   Deutsch Wikipedia

  • RRSIG-Record — Mit RRSIG Resource Record bzw. Signature Resource Record können im Rahmen von DNSSEC (DNS Security) beliebige Resource Records digital unterschrieben werden. Der RRSIG Typ löste 2004 den nahezu identischen SIG Resource Record ab.… …   Deutsch Wikipedia

  • Domain Name System Security Extensions — Internet protocol suite Application layer BGP DHCP DNS FTP HTTP …   Wikipedia

  • DNSSEC — im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang …   Deutsch Wikipedia

  • DNS Security Extensions — DNSSEC im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang …   Deutsch Wikipedia

  • Domain Name System Security Extensions — DNSSEC im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang Ethernet …   Deutsch Wikipedia

  • List of DNS record types — This List of DNS record types provides an overview of types of resource records (database records) stored in the zone files of the Domain Name System (DNS). The DNS implements a distributed, hierarchical, and redundant database for information… …   Wikipedia

  • NSEC — Mit NSEC Resource Records werden bei DNSSEC signierten Zone alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab. Inhaltsverzeichnis 1 Hintergrund 2 Aufbau 3 Beispiel …   Deutsch Wikipedia

  • NSEC-Record — Mit NSEC Resource Records werden bei DNSSEC signierten Zone alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab. Inhaltsverzeichnis 1 Hintergrund 2 Aufbau 3 Beispiel …   Deutsch Wikipedia

  • Domain Name System — The Domain Name System (DNS) is a hierarchical distributed naming system for computers, services, or any resource connected to the Internet or a private network. It associates various information with domain names assigned to each of the… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”