nicuhu
Oct 18, 2018
view2629
view4
0
Goto Top

DNSSEC - KSK und ZKS

GermanQuestionEncryption, CertificatesSecurity
Hallo,

Ich eine Frage zu Zertifikaten / Kryptographie unter dem Thema DNSSEC.

Folgendes verstehe ich nicht ganz: https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions -> Schlüsselverwaltung

"
Mit den KSKs werden DNSKEY-Records signiert und mit den ZSKs alle anderen Records.
"
Versuche mal das zu Wiedergeben was ich verstanden habe und was mich irritiert:

Die DNSKEYs signieren die Zone und die RRSIGs signieren die jeweiligen Ressourcen Records. Beides steht unter einem Dach namens ZSK. Davon existiert eine Kopie namens KSK. Dieses KSK signiert wiederrum die DNSKEY-Records und das ZSK die RRSIG-Records. Wieso werden die DNSKEY und RRSIG noch auch noch signiert? RRSIG und DNSKEY sind doch bereits signiert. Verstehe nicht den Sinn von diesem KSK welches eines Kopie von den Schlüsseln eines ZKS darstellen sollen und was der Gedanke dahinter ist.

Hoffe auf einige hilfreiche Aufklärung und news.


Vielen Dank und gruss
Nicolas
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 389970

Url: https://administrator.de/contentid/389970

Printed on: April 25, 2024 at 08:04 o'clock

4 Comments
Latest comment
Goto Top
Member: nicuhu
nicuhu Oct 23, 2018 at 12:06:32 (UTC)
Goto Top
Experten gesucht... face-smile face-smile
Mitglied: 137443
137443 Oct 23, 2018 updated at 13:12:28 (UTC)
Goto Top
Hola Nicolas,
ham' wer dich vergessen wa face-wink

Verstehe nicht den Sinn von diesem KSK welches eines Kopie von den Schlüsseln eines ZKS darstellen sollen und was der Gedanke dahinter ist.

Zitat Wikipedia
Ein derartiger Schlüsselunterzeichnungs-Schlüssel wird für die Bildung von Vertrauens-Ketten (engl.: chains of trust) verwendet. Ein Hashwert des KSK wird in der übergeordneten Zone in einem DNS-Record abgelegt, wodurch die Echtheit der Zonenschlüssel im signierten DNSKEY-Record sichergestellt werden kann. Im Gegensatz zum häufig erneuerten Zonenschlüssel besitzt ein KSK eine lange Lebensdauer.
Die DNSKEYs signieren die Zone und die RRSIGs signieren die jeweiligen Ressourcen Records.
Richtig.
Beides steht unter einem Dach namens ZSK.
Jep.
Davon existiert eine Kopie namens KSK. Dieses KSK signiert wiederrum die DNSKEY-Records und das ZSK die RRSIG-Records.
Jep.
Wieso werden die DNSKEY und RRSIG noch auch noch signiert?
RRSIG und DNSKEY sind doch bereits signiert.
Nun, da sich Zonenkeys (DNSKEYs) öfter mal ändern können würde bei einer Chain of Trust die Parent-Zone der Child-Zone nicht mehr vertrauen. Genau für diesen Fall ist der KSK da der für einen langen Zeitraum der gleiche bleibt und somit bei Änderungen die Chain of Trust zwischen Parent und Child-Zone erhalten bleibt, ansonsten müsste die Child Zone der Parent Zone immer wieder neue Schlüssel mitteilen (ineffizient und fehleranfällig).

Gruß l.
Member: nicuhu
nicuhu Oct 24, 2018 updated at 19:14:59 (UTC)
Goto Top
Zitat von @137443:

Hola Nicolas,
ham' wer dich vergessen wa face-wink

Ja, aber auch nicht so schlimm bin nun hoffentlich in guten Händen. face-smile

Verstehe nicht den Sinn von diesem KSK welches eines Kopie von den Schlüsseln eines ZKS darstellen sollen und was der Gedanke dahinter ist.

Zitat Wikipedia
> Ein derartiger Schlüsselunterzeichnungs-Schlüssel wird für die Bildung von Vertrauens-Ketten (engl.: chains of trust) verwendet. Ein Hashwert des KSK wird in der übergeordneten Zone in einem DNS-Record abgelegt, wodurch die Echtheit der Zonenschlüssel im signierten DNSKEY-Record sichergestellt werden kann. Im Gegensatz zum häufig erneuerten Zonenschlüssel besitzt ein KSK eine lange Lebensdauer.
>

Ja, habe ich soweit auch gelesen weshalb wird den nicht einfach der ZKS als Chains of Trust genommen? Irgendwie ist doch das viel komplizierter vom ZKS existiert eine Kopie (KSK) dieser behinhaltet einen Privaten und Öffentlichen Schlüssel (RRSIG + DNSKEY). Vom KSK wird nur ein Haskwert vom KSK in der übergeordneten Zone gespeichert.

Wieso werden die DNSKEY und RRSIG noch auch noch signiert?
RRSIG und DNSKEY sind doch bereits signiert.
Nun, da sich Zonenkeys (DNSKEYs) öfter mal ändern können würde bei einer Chain of Trust die Parent-Zone der Child-Zone nicht mehr vertrauen. Genau für diesen Fall ist der KSK da der für einen langen Zeitraum der gleiche bleibt und somit bei Änderungen die Chain of Trust zwischen Parent und Child-Zone erhalten bleibt, ansonsten müsste die Child Zone der Parent Zone immer wieder neue Schlüssel mitteilen (ineffizient und fehleranfällig).

Gruß l.

Wieso sollte sich ein Zonenkey (DNSKEY) überhaupt ändern? Ich habe mal gemeint ein Zertifikat bleibt immer eine gewisse Zeit (Administrator entscheidet das) gültig?

Was mich auch irritiert ist dieser Schlüsselunterzeichnungsschlüsel. Der KSK ist eine Kopie vom ZKS jedoch aber auch gleichzeitig signiert ein ZKS nur RRSIGs wiederrum besteht ein ZKS aus einem RRSIG und DNSKEY. Also ist ja der KSK doch keine Kopie vom ZKS weil einer den Privaten und einer den Öffentliochen Schlüssel hat. Irgendwie total irritierend das. Betrifft sich diese Kopie nicht auf den Schlüsselunterzeichnungsschlüssel sondern auch die Grundfunktion von DNSSEC?

Irgendwie verstehe ich da nichts mehr. Eventuell noch zur beseren verständlichkeit:

Unter der Funktionsweise vom Wikipedia Eintrag zu DNSSEC. Dort wird erklärt dass ein ZKS aus einem privaten Schlüssel RRSIG und öffentlich Schlüssel DNSKEY besteht. Jedoch unter der Rubrik Schlüsselunterzeichnungsschlüssel wiederrum, dass KSK eine Kopie vom ZKS ist und der KSK nur DNSKEY signiert und ZKS öffentliche Schlüsse. Das ist doch ein wiederspruch. Ein ZKS enthällt doch beide Schlüssel also privat und öffentlich?
Member: nicuhu
nicuhu Oct 29, 2018 at 13:58:51 (UTC)
Goto Top
Kannst du mir da bitte weiterhelfen?
GermanQuestionEncryption, CertificatesSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments