4
DNSSEC - KSK und ZKS
Hallo,
Ich eine Frage zu Zertifikaten / Kryptographie unter dem Thema DNSSEC.
Folgendes verstehe ich nicht ganz: https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions -> Schlüsselverwaltung
"
Mit den KSKs werden DNSKEY-Records signiert und mit den ZSKs alle anderen Records.
"
Versuche mal das zu Wiedergeben was ich verstanden habe und was mich irritiert:
Die DNSKEYs signieren die Zone und die RRSIGs signieren die jeweiligen Ressourcen Records. Beides steht unter einem Dach namens ZSK. Davon existiert eine Kopie namens KSK. Dieses KSK signiert wiederrum die DNSKEY-Records und das ZSK die RRSIG-Records. Wieso werden die DNSKEY und RRSIG noch auch noch signiert? RRSIG und DNSKEY sind doch bereits signiert. Verstehe nicht den Sinn von diesem KSK welches eines Kopie von den Schlüsseln eines ZKS darstellen sollen und was der Gedanke dahinter ist.
Hoffe auf einige hilfreiche Aufklärung und news.
Vielen Dank und gruss
Nicolas
Ich eine Frage zu Zertifikaten / Kryptographie unter dem Thema DNSSEC.
Folgendes verstehe ich nicht ganz: https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions -> Schlüsselverwaltung
"
Mit den KSKs werden DNSKEY-Records signiert und mit den ZSKs alle anderen Records.
"
Versuche mal das zu Wiedergeben was ich verstanden habe und was mich irritiert:
Die DNSKEYs signieren die Zone und die RRSIGs signieren die jeweiligen Ressourcen Records. Beides steht unter einem Dach namens ZSK. Davon existiert eine Kopie namens KSK. Dieses KSK signiert wiederrum die DNSKEY-Records und das ZSK die RRSIG-Records. Wieso werden die DNSKEY und RRSIG noch auch noch signiert? RRSIG und DNSKEY sind doch bereits signiert. Verstehe nicht den Sinn von diesem KSK welches eines Kopie von den Schlüsseln eines ZKS darstellen sollen und was der Gedanke dahinter ist.
Hoffe auf einige hilfreiche Aufklärung und news.
Vielen Dank und gruss
Nicolas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389970
Url: https://administrator.de/contentid/389970
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
Experten gesucht... 
Hola Nicolas,
ham' wer dich vergessen wa
Zitat Wikipedia
Gruß l.
ham' wer dich vergessen wa
Verstehe nicht den Sinn von diesem KSK welches eines Kopie von den Schlüsseln eines ZKS darstellen sollen und was der Gedanke dahinter ist.
Zitat Wikipedia
Ein derartiger Schlüsselunterzeichnungs-Schlüssel wird für die Bildung von Vertrauens-Ketten (engl.: chains of trust) verwendet. Ein Hashwert des KSK wird in der übergeordneten Zone in einem DNS-Record abgelegt, wodurch die Echtheit der Zonenschlüssel im signierten DNSKEY-Record sichergestellt werden kann. Im Gegensatz zum häufig erneuerten Zonenschlüssel besitzt ein KSK eine lange Lebensdauer.Die DNSKEYs signieren die Zone und die RRSIGs signieren die jeweiligen Ressourcen Records.
Richtig.Beides steht unter einem Dach namens ZSK.
Jep.Davon existiert eine Kopie namens KSK. Dieses KSK signiert wiederrum die DNSKEY-Records und das ZSK die RRSIG-Records.
Jep.Wieso werden die DNSKEY und RRSIG noch auch noch signiert?
RRSIG und DNSKEY sind doch bereits signiert.
Nun, da sich Zonenkeys (DNSKEYs) öfter mal ändern können würde bei einer Chain of Trust die Parent-Zone der Child-Zone nicht mehr vertrauen. Genau für diesen Fall ist der KSK da der für einen langen Zeitraum der gleiche bleibt und somit bei Änderungen die Chain of Trust zwischen Parent und Child-Zone erhalten bleibt, ansonsten müsste die Child Zone der Parent Zone immer wieder neue Schlüssel mitteilen (ineffizient und fehleranfällig).RRSIG und DNSKEY sind doch bereits signiert.
Gruß l.
Zitat von @137443:
Hola Nicolas,
ham' wer dich vergessen wa
Ja, aber auch nicht so schlimm bin nun hoffentlich in guten Händen. Hola Nicolas,
ham' wer dich vergessen wa
Verstehe nicht den Sinn von diesem KSK welches eines Kopie von den Schlüsseln eines ZKS darstellen sollen und was der Gedanke dahinter ist.
Zitat Wikipedia
> Ein derartiger Schlüsselunterzeichnungs-Schlüssel wird für die Bildung von Vertrauens-Ketten (engl.: chains of trust) verwendet. Ein Hashwert des KSK wird in der übergeordneten Zone in einem DNS-Record abgelegt, wodurch die Echtheit der Zonenschlüssel im signierten DNSKEY-Record sichergestellt werden kann. Im Gegensatz zum häufig erneuerten Zonenschlüssel besitzt ein KSK eine lange Lebensdauer.
> Ja, habe ich soweit auch gelesen weshalb wird den nicht einfach der ZKS als Chains of Trust genommen? Irgendwie ist doch das viel komplizierter vom ZKS existiert eine Kopie (KSK) dieser behinhaltet einen Privaten und Öffentlichen Schlüssel (RRSIG + DNSKEY). Vom KSK wird nur ein Haskwert vom KSK in der übergeordneten Zone gespeichert.
Wieso werden die DNSKEY und RRSIG noch auch noch signiert?
RRSIG und DNSKEY sind doch bereits signiert.
Nun, da sich Zonenkeys (DNSKEYs) öfter mal ändern können würde bei einer Chain of Trust die Parent-Zone der Child-Zone nicht mehr vertrauen. Genau für diesen Fall ist der KSK da der für einen langen Zeitraum der gleiche bleibt und somit bei Änderungen die Chain of Trust zwischen Parent und Child-Zone erhalten bleibt, ansonsten müsste die Child Zone der Parent Zone immer wieder neue Schlüssel mitteilen (ineffizient und fehleranfällig).RRSIG und DNSKEY sind doch bereits signiert.
Gruß l.
Wieso sollte sich ein Zonenkey (DNSKEY) überhaupt ändern? Ich habe mal gemeint ein Zertifikat bleibt immer eine gewisse Zeit (Administrator entscheidet das) gültig?
Was mich auch irritiert ist dieser Schlüsselunterzeichnungsschlüsel. Der KSK ist eine Kopie vom ZKS jedoch aber auch gleichzeitig signiert ein ZKS nur RRSIGs wiederrum besteht ein ZKS aus einem RRSIG und DNSKEY. Also ist ja der KSK doch keine Kopie vom ZKS weil einer den Privaten und einer den Öffentliochen Schlüssel hat. Irgendwie total irritierend das. Betrifft sich diese Kopie nicht auf den Schlüsselunterzeichnungsschlüssel sondern auch die Grundfunktion von DNSSEC?
Irgendwie verstehe ich da nichts mehr. Eventuell noch zur beseren verständlichkeit:
Unter der Funktionsweise vom Wikipedia Eintrag zu DNSSEC. Dort wird erklärt dass ein ZKS aus einem privaten Schlüssel RRSIG und öffentlich Schlüssel DNSKEY besteht. Jedoch unter der Rubrik Schlüsselunterzeichnungsschlüssel wiederrum, dass KSK eine Kopie vom ZKS ist und der KSK nur DNSKEY signiert und ZKS öffentliche Schlüsse. Das ist doch ein wiederspruch. Ein ZKS enthällt doch beide Schlüssel also privat und öffentlich?
Kannst du mir da bitte weiterhelfen?
