DS-Record

DS-Record

DS Resource Records dienen der Verkettung von DNSSEC-signierten Zonen. Dadurch können mehrere DNS-Zonen zu einer Chain of Trust zusammengefasst und über einen einzigen Öffentlichen Schlüssen validiert werden.

Inhaltsverzeichnis

Hintergrund

Public-Key-Systeme gelten heute als leistungsfähige und vielfältig einsetzbare Verschlüsselungsverfahren. Der Besitzer eines Schlüssels unterzeichnet beispielsweise eine Nachricht mit dem nur ihm selbst bekannten Privaten Schlüssel. Ein Empfänger kann diese Unterschrift unter Zuhilfenahme des korrespondierenden Öffentlichen Schlüssel verifizieren und damit sicherstellen, dass die Nachricht tatsächlich vom Absender stammt und dass sie unverfälscht ist.

Ein Grundproblem von Public-Key-Systemen ist die Verteilung der Öffentlichen Schlüssel: Wie macht ein User seinen Public Key der Welt bekannt? Das eigentliche Problem beim Einsatz von DNSSEC besteht darin, dass die Anzahl der Zonen (und damit die Anzahl der Schlüssel) beliebig groß werden kann. Außerdem müssen derartige Schlüssel regelmäßig erneuert werden.

Die Grundidee ist, alle beteiligten Zonen zu verketten und nur noch die oberste als Secure Entry Point zu verwenden. Nur für diese eine Zone ist die Propagierung des öffentlichen Keys erforderlich.

Aufbau

Ein DS Record tritt immer gemeinsam mit einem NS Resource Record auf. Beide verweisen auf eine Subzone. Im DS-Record liegt der Hash des Secure Entry Points der Subzone. Jeder DS-Eintrag wird mit dem Zonenschlüssel der Zone, in der er sich befindet digital unterschrieben. Damit kann der Öffentliche Schlüssel dieser Subzone validiert werden. Eine Subzone kann ihrerseits DS-Records enthalten, die auf weitere Subzonen verweisen. Dadurch entsteht ausgehend von der obersten Zone eine Kette, die sogenannte Chain of Trust.

Ein DNSKEY-RR besteht den folgenden Feldern:

Label 
Name der zu verkettenden Subzone
Typ 
DS (Typcode 43)
ID 
Identifikationsnummer (key tag)
Verschlüsselungsverfahren 
1=RSA/MD5, 2=Diffie Hellman, 3=DSA
Hash-Typ 
1=SHA-1, 2=SHA-256
Hash

Beispiel

In diesem Beispiel wird aus der Zone f-beispiel.de heraus per Delegation auf die Subzone filiale1.f-beispiel.de verwiesen. Der im DS-record aufgeführte Hash-Wert entspricht dem Schlüsselunterzeichnungs-Schlüssel der Subzone filiale1.f-beispiel.de.

filiale1.f-beispiel.de.    NS nsf
filiale1.f-beispiel.de.    DS       ; Typ 
                           52037    ; Identifikationsnummer
                           1        ; Verschlüsselungsverfahren
                           1        ; Hash-Typ
                           378929E92D7DA04267EE87E802D75C5CA1B5D280

Schwachstelle

Um in eine Chain of Trust aufgenommen werden, muss der Öffentliche Schlüssel einer Zone der übergeordneten Zone übermittelt werden. Das kann schwierig sein, wenn diese von einer Instanz außerhalb des eigenen Einflussbereichs verwaltet wird und bietet daher Angriffspunkte.

Weblinks

  • RFC 4034Resource Records for the DNS Security Extension
  • RFC 4509Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records

Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • record — [ r(ə)kɔr ] n. m. • 1882; mot angl., de to record « rappeler, enregistrer », du fr. recorder (vx), rac. cord « cœur » 1 ♦ Exploit sportif qui dépasse ce qui a été fait avant dans le même genre et par la même catégorie de sportifs. Homologuer un… …   Encyclopédie Universelle

  • Record collecting — is the hobby of collecting music. Although the main focus is on vinyl records, all formats of recorded music are collected. Contents 1 History 2 Intended audience 3 Scope of collection 4 Notab …   Wikipedia

  • Record of Lodoss War — ロードス島戦記 Genre Fantasy Original video animation Directed by Akinori Nagaoka Akio Sakai Hiroshi Kawasaki Katsuhisa Yamada Kazunori Mizuno …   Wikipedia

  • Record News — Saltar a navegación, búsqueda Record News Eslogan Record News, jornalismo 24 horas de plantão. Tipo Televisión satelital Propietario Edir Macedo País …   Wikipedia Español

  • Record linkage — (RL) refers to the task of finding entries that refer to the same entity across different data sources (e.g., files, books, websites, databases, etc.). Record linkage is an appropriate technique when you have to join data sets that do not already …   Wikipedia

  • Record Mirror — was a national tabloid consumer weekly pop music newspaper founded by Isadore Green in 1953, [ [http://www.pressgazette.co.uk/story.asp?storyCode=30358 sectioncode=1 Simon Blumenfeld Columnist, author, playwright, theatre critic, editor and… …   Wikipedia

  • Record of lodoss war — (jap. ロードス島戦記 Rōdosu tō senki, wörtlich: Kriegsgeschichte der Insel Lodoss) von Ryō Mizuno von Group SNE ist eine japanische Roman Serie, in der es um den ewig währende Konflikt zwischen Gut und Böse auf der Insel Lodoss geht. Die Serie beruht… …   Deutsch Wikipedia

  • record — re·cord 1 /ri kȯrd/ vt 1: to put in a record 2: to deposit or otherwise cause to be registered in the appropriate office as a record and notice of a title or interest in property record a deed record a mortgage see also recording act …   Law dictionary

  • Record — or The Record may mean:An item or collection of data: * Storage medium that contains data (more specifically audio data) ** Gramophone record (also called phonograph record ), mechanical storage medium ** Compact Disc, optical storage medium *… …   Wikipedia

  • Record producer — A Danish recording session Occupation Names Record Producer Recording Artist …   Wikipedia

  • Record of Lodoss War — (jap. ロードス島戦記 Rōdosu tō senki, wörtlich: Kriegsgeschichte der Insel Lodoss) von Ryō Mizuno von Group SNE ist eine japanische Replay und Roman Serie, in der es um den ewig währenden Konflikt zwischen Gut und Böse auf der Insel Lodoss geht. Die… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”