Domain Name System Security Extensions

Die dnssec ist eine Reihe von Standarten im Internet, die eine Gewährleistung von Sicherheitsmechanismen geben. Diese unterliegen auch der Authentizität und der Integrität der Daten. Ein Teilnehmer des dnssec kann bestimmte Zonendaten verifizieren. Dieser kann auch prüfen ob die DNS-Zonendaten identisch sind mit denen die ein Ersteller von der Zone autorisiert ist.

Keine Verschlüsselung der Daten

Das dnssec wurde entwickelt um gegen Cache Poinsoning vorzugehen. Digitale Signaturen werden bei der Übertragung von Resource Records gesichert. Authentifizierung findet bei den Servern und auch bei den Clients nie statt. Bei dnssec werden keine Daten verschlüsselt. Das asymmetrische Kryptosystem. Der Besitzer einer bestimmten Information nennt man den Master-Server. Dort liegt auch die Zone die abgesichert werden soll. Jeder einzelne Record ist mit einem private key, bzw. einem geheimen Schlüssel, unterzeichnet. Authentizität und auch Integrität können mit einem public key, oder auch öffentlichen Schlüssel, validiert werden. Die Erweiterung EDNS wird von dnssec bevorzugt. Zusätzliche Parameter können mit dieser Erweiterung genutzt werden. Die Größenbeschränkung von 512 Bytes wird mit der Erweiterung zusätzlich aufgehoben. Längere DNS- Nachrichten sind nötig, wenn ein Schlüssel oder eine Signatur übertragen werden sollen.

Wie funktioniert DNS?

In den RR, also Resource Record werden Informationen bei dnssec bereit gestellt. Diese sichern die Authentizität der Informationen mit einer digitalen Signatur ab. Der Master-Server der in der Zone liegt ist der Besitzer dieser Information. Dieser ist auch autoritativ. Für jede Zone, die abgesichert werden soll, liegt ein zone singing key vor, also ein Zonenschlüssel. Das Paar besteht aus öffentlichen und auch privaten Schlüsseln. In die Zonendatei wird der öffentliche Teil des Zonenschlüssels als DNSKEY Resource Record aufgenommen. Der private Schlüssel sorgt dafür das jede einzelne RR digital in der Zone unterschrieben wird. Dazu wird ein Resource Record fertig gestellt, das ist dann der RRSIG Resource Record. Dieser enthält die Signatur für den DNS-Eintrag.
Bei jeder dieser Transaktionen wird neben dem normalen Resource Record auch eine RRSIG-RR mitgeschickt. Bei einem Transfer in der Zone erhalten ihn zuerst die Slaves. Dieser wird dann bei einer guten Auflösung in einem Cache gespeichert. Als letztes landet das RR bei dem Revolver, der angefragt hat. Mit dem öffentlichen Zonenschlüssel kann dieser die Signatur validieren.

Die Auswertung

Bei dnssec sind die DNS-Resolver die Endgeräte, wie ein Rechner oder ein Smartphone, auf denen die Records nicht validiert werden können. Stubresolver sind einfach gebaute Programme, die vollständig einen Namen auflösen können. Auch in einem rekursiven Namenserver. Um diesen Namen auflösen zu können schickt dieser eine Anfrage an einen Namensserver im lokalen Netz, oder auch in dem Netz des ISP, ausgesprochen Internet Service Providers.

Es wird ein DO-Bit gesetzt, dieser kann dem Resolver des Namensservers mitteilen, das der Record validiert werden soll. Der Stubresolver muss hierfür aber die Erweiterung EDNS vom dnssec unterstützen. So kann der Server auch konfoguriert werden. Das bedeutet das die Validierung immer durchgeführt werden kann.

Das ist unabhängig vom Inhalt und Vorhandensein des DO-Bit. Wenn der Server einen allgemeinen Fehler zurück gibt ist etwas schief gelaufen. Wenn es erfolgreich war gibt der Server eine AD-Bit Antwort. AD bedeutet Authenticated Data. Für einen Stubresolver ist es nicht zu erkennen, ob der Fehler an der fehlgeschlagenen Validierung ausgelöst wurde, oder eine andere Ursache hat. Ursachen können ein Netzausfall, oder ein Namenserverausfall im angefragten Domainnamen sein.