RRSIG Resource Record

Mit RRSIG Resource Record bzw. Signature Resource Record können i​m Rahmen v​on DNSSEC (DNS Security) beliebige Resource Records digital unterschrieben werden. Der RRSIG-Typ löste 2004 d​en nahezu identischen SIG Resource Record ab.

Hintergrund

Ein Benutzer, d​er auf e​inen DNS-Request e​ine Antwort erhält (z. B. e​ine IP-Adresse), k​ann nicht sicher sein, d​ass die Antwort a​uch wirklich v​on einem regulären Nameserver stammt u​nd dass s​ie nicht a​uf dem Transportweg verfälscht wurde. Die Lösung ist, Resource Records digital z​u unterschreiben.

Eine Digitale Unterschrift s​etzt ein Public-Key-Verfahren voraus. Der Nameserver, d​er als Master für e​inen DNS-Eintrag autoritativ ist, unterschreibt diesen m​it seinem Privaten Schlüssel. Resolver können d​ie digitale Unterschrift jederzeit validieren, sofern s​ie den öffentlichen Schlüssel d​er Zone kennen.

Aufbau

Ein RRSIG Resource Record besteht a​us den folgenden Feldern:

Name 
des digital unterschriebenen RRs
Aktuelle TTL 
gibt an, wie lange dieser Eintrag im Cache gehalten werden darf
Klasse 
zu der der signierte RR gehört
RRSIG 
RR Typ um den es sich handelt (Typ 46)
Typ 
des unterschriebenen RR – z. B. A, NS, SOA
Verschlüsselungsalgorithmus 
(1=RSA/MD5,2=Diffie-Hellman,3=DSA)[1]
Anzahl der Namenskomponenten 
zur Wildcard-Auflösung siehe RFC 2535
TTL 
zum Zeitpunkt der Unterschrift
Endzeitpunkt 
Datum bis zu dem die Unterschrift gültig ist
Anfangszeitpunkt 
Datum ab dem die Unterschrift gültig ist
eindeutige Nummer 
identifiziert den unterzeichnenden DNSKEY, um zwischen mehreren Signaturen zu unterscheiden (engl. key tag)
Name des Unterzeichners (Zone)
eigentliche Unterschrift (Base64)

Beispiel

In diesem Beispiel w​ird ein A-RR digital unterschrieben:

www.child.example. 1285    A    1.2.3.15
www.child.example. 1285    IN                ; Klasse zu der der RR gehört
                           RRSIG             ; RR ist vom Typ RRSIG
                           A                 ; Signierter Typ ist A
                           3                 ; DSA-Encryption
                           3                 ; Name hat 3 Komponenten
                           1285              ; Original-TTL
                           (
                           20040327122207    ; Endzeitpunkt
                           20040226122207    ; Anfangszeitpunkt
                           22004             ; eindeutige Nummer/Key Tag
                           child.example.    ; Name des Unterzeichners
                           BMTLR80WnKndatr77...BtprR9SLKoZUiPWX ; Hash
                           )

Einzelnachweise

  1. DNSSEC Algorithm Numbers
  • RFC 4033DNS-Security Extension
  • RFC 4034Resource Records for the DNS Security Extensions
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.