TSIG

TSIG

Ziel von TSIG (Transaction SIGnature) ist es, Authentizität von DNS-Partnern sicherzustellen und die Datenintegrität bei Transaktionen zu gewährleisten. Ein DNS-Teilnehmer soll damit verifizieren können, dass der Partner, mit dem er kommuniziert auch tatsächlich der ist, der er vorgibt zu sein und dass empfangene DNS-Nachrichten auf dem Transportweg nicht verfälscht wurden. TSIG wird hauptsächlich bei der Server-Server-Kommunikation eingesetzt und weniger bei der Client-Server-Kommunikation (Ausnahme: Dynamic Updates).

Eine Verschlüsselung von DNS-Daten ist im Rahmen von TSIG nicht vorgesehen. Da DNS-Informationen grundsätzlich der Öffentlichkeit zur Verfügung gestellt werden, würde eine Verschlüsselung keinen nennenswerten Sicherheitsgewinn bedeuten.

Inhaltsverzeichnis

Überblick

Bei TSIG besitzen zwei oder mehr DNS-Server, die miteinander kommunizieren, den gleichen Schlüssel (symmetrischer Schlüssel, geteiltes Geheimnis), der manuell konfiguriert wird. Werden zwischen TSIG-Servern Daten ausgetauscht (z. B. beim Zonentransfer oder bei rekursiven Abfragen), so wird von jedem übertragenen DNS-Paket der MD5-Hash gebildet und in einem speziellen TSIG Resource Record angehängt. Der Empfänger führt mit seinem Schlüssel die gleiche MD5-Operation durch und vergleicht die beiden Unterschriften. Sind sie identisch, so stammen die Daten vom gewünschten Partner und wurden nicht verfälscht.

TSIG Resource Record

Beim TSIG-RR handelt es sich um einen so genannten Meta-RR, der dynamisch vor Absenden einer DNS-Message erzeugt und nach Empfang und Auswertung verworfen wird. Er taucht weder in Zonenfiles noch in DNS-Caches auf.

Ein TSIG Resource Record besteht aus den folgenden Feldern:

  • Name (Name des Schlüssels)
  • Typ (immer TSIG)
  • Class (immer ANY)
  • TTL (immer 0)
  • Länge
  • Daten (digitale Unterschrift und weitere Angaben)

Anhand des Namens kann zwischen verschiedenen Schlüsseln unterschieden werden. Es ist dadurch möglich, zwischen zwei Partnern mehrere Schlüssel zu vereinbaren. Das macht vor allem bei Änderungen Sinn, da man dadurch eine Zeit lang den alten und den neuen Schlüssel parallel verwenden kann.

Bewertung

TSIG ist deutlich einfacher zu handhaben als DNSSEC und bietet sich in Umgebungen mit nur wenigen Servern an. Sind zu viele Server beteiligt, steigt der Administrationsaufwand stark an. Hier haben Public-Key-Verfahren wie etwa DNSSEC Vorteile, da die Schlüsselverteilung sehr viel einfacher ist.

Referenz

  • RFC 2845 (Secret Key Transaction Authentication for DNS)

Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • TSIG — (Transaction SIGnature) is a computer networking protocol definedin RFC 2845. It is used primarily by the Domain Name System (DNS) to provide a means of authenticating updates to a Dynamic DNS database. TSIG uses shared secret keys and one way… …   Wikipedia

  • TSIG — Le protocole de réseau TSIG (transaction signature ou signature de transaction) est décrit dans la RFC 2845. Il est principalement utilisé par le système des noms de domaine (DNS) pour fournir une forme d authentification pour les mises à jour… …   Wikipédia en Français

  • TSIG — TeleServices Internet Group (Business » NASDAQ Symbols) …   Abbreviations dictionary

  • TSIG — Trusted Systems Interoperability Group ( > Computer Security Basics , Russell/Gangemi, ORA 1991) …   Acronyms

  • TSIG — Trusted Systems Interoperability Group ( > Computer Security Basics , Russell/Gangemi, ORA 1991) …   Acronyms von A bis Z

  • tsig — that site is gay …   Glossary of chat acronyms & text shorthand

  • TSIG — abbr. TeleServices Internet Gro NASDAQ …   Dictionary of abbreviations

  • TSIG — abbr. Trusted Systems Interoperability Group (organization) …   United dictionary of abbreviations and acronyms

  • opsætsig — op|sæt|sig adj., t, e (trodsig) …   Dansk ordbog

  • undersætsig — un|der|sæt|sig adj., t, e (lav og kraftig) …   Dansk ordbog

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”