22
DNSSEC - KSK und ZKS - Thema - unbeantwortet
Hallo, Ich habe da vor einiger Zeit ein Thema eröffnet nun suche ich immer noch nach jemandem der sich mit DNSSEC auskennt und mir bei der Frage weiterhelfen kann. Siehe Beitrag:
DNSSEC - KSK und ZKS
DNSSEC - KSK und ZKS
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 414842
Url: https://administrator.de/contentid/414842
Printed on: April 25, 2024 at 04:04 o'clock
22 Comments
Latest comment
Hallo Nicuhu,
ich glaube, das liegt daran, dass wir keine Hausaufgaben machen. Sollten das keine sein - wende dich an einen Dienstleister.
VG
ich glaube, das liegt daran, dass wir keine Hausaufgaben machen. Sollten das keine sein - wende dich an einen Dienstleister.
VG
Eigentlich überflüssig wenn man sich dieses Tutorial dazu durchliest (sogar mit Bildchen, wow!)
https://www.cloudflare.com/dns/dnssec/how-dnssec-works/
Lies dir das so lange durch bis du es kapiert hast und deine Fragen lösen sich in Luft auf.
https://www.cloudflare.com/dns/dnssec/how-dnssec-works/
Lies dir das so lange durch bis du es kapiert hast und deine Fragen lösen sich in Luft auf.
Mal auf xing, linkedin oder gulp nen Auftrag platzieren...
und wenn da keiner antwortet - warum sollte das hier jemand tun?
Danke euch für die vielen unnötigen Beiträge einer davon mit Sinn. Danke laserjet.
https://www.heise.de/ct/artikel/Domain-Name-System-absichern-mit-DNSSEC- ...
Übrigens gibt es für peinliche Fehler in Überschriften hier immer den "Bearbeiten" Button !
Übrigens gibt es für peinliche Fehler in Überschriften hier immer den "Bearbeiten" Button !
Zitat von @138721:
Eigentlich überflüssig wenn man sich dieses Tutorial dazu durchliest (sogar mit Bildchen, wow!)
https://www.cloudflare.com/dns/dnssec/how-dnssec-works/
Lies dir das so lange durch bis du es kapiert hast und deine Fragen lösen sich in Luft auf.
Eigentlich überflüssig wenn man sich dieses Tutorial dazu durchliest (sogar mit Bildchen, wow!)
https://www.cloudflare.com/dns/dnssec/how-dnssec-works/
Lies dir das so lange durch bis du es kapiert hast und deine Fragen lösen sich in Luft auf.
Habs mir angeschaut ist nicht ganz einfach dem englisch dort folgen. Ich schau mir noch den Artikel von Aqui an und stelle dann weitere Fragen sollte ich welche haben. Ich danke dir.
Danke ich schau mir das mal an. Erlaube mir dann bei offenen Fragen nochmals zu kontaktieren
Übrigens gibt es für peinliche Fehler in Überschriften hier immer den "Bearbeiten" Button !
Ja habs soeben gesehen. Danke dir :D
Ich habe bereits die ersten Fragen und zwar habe ich gelesen, dass der Oeffentliche Schlüssel zum Entschlüsseln ist und der private Schlüssel um die Nachricht zu verschlüsseln.
Dabei habe ich vor längerger Zeit gelernt, dass bei der Asymetrischen Kryptogaphie der Oeffentliche Schlüssel dazu dient zu verschlüsseln und der private Key zum Entschlüsseln.
Was stimmt nun? Habe ich da etwas falsch verstanden? Kann man das so implementieren wie man will ist das eine Konfigurations Frage?
Dabei habe ich vor längerger Zeit gelernt, dass bei der Asymetrischen Kryptogaphie der Oeffentliche Schlüssel dazu dient zu verschlüsseln und der private Key zum Entschlüsseln.
Was stimmt nun? Habe ich da etwas falsch verstanden? Kann man das so implementieren wie man will ist das eine Konfigurations Frage?
Habe ich da etwas falsch verstanden?
Ja. Hier wird nicht entschlüsselt sondern der Absender einer Signatur überprüft, das geschieht grob gesagt indem man den Hash der Signatur mit dem Hash des Public-Keys vergleichthttps://www.zimuel.it/blog/sign-and-verify-a-file-using-openssl
https://raymii.org/s/tutorials/Sign_and_verify_text_files_to_public_keys ...
Zitat von @138810:
https://www.zimuel.it/blog/sign-and-verify-a-file-using-openssl
https://raymii.org/s/tutorials/Sign_and_verify_text_files_to_public_keys ...
Habe ich da etwas falsch verstanden?
Ja. Hier wird nicht entschlüsselt sondern der Absender einer Signatur überprüft, das geschieht grob gesagt indem man den Hash der Signatur mit dem Hash des Public-Keys vergleichthttps://www.zimuel.it/blog/sign-and-verify-a-file-using-openssl
https://raymii.org/s/tutorials/Sign_and_verify_text_files_to_public_keys ...
Aber es steht doch klar:
"
Bei diesem Prinzip werden beliebige Nachrichten mit dem privaten Schlüssel signiert: Zuerst wird ein Fingerabdruck der Nachricht berechnet (Hash) und dann verschlüsselt; das Resultat wird Signatur genannt. Sie wird der Nachricht hinzufügt. Wenn der Empfänger den zugehörigen öffentlichen Schlüssel hat, kann er damit die Nachricht entschlüsseln und prüfen, ob sie unversehrt ist — er berechnet dafür selbst den Fingerabdruck der Nachricht.
"
Die Hash funktion an sich ist ja mehr oder weniger bereits eine Verschlüsselung dabei wird aus der Klartext Nachricht ABC -> BCD oder? Hash kann ja mehrere bedeutungen haben ? Was ist nun gemeint eine Prüfsumme? Versteh bereits das nicht...
Versteh bereits das nicht...
Dann bist du eigentlich falsch hier und solltest dich erst nochmal mit den Grundlagen beschäftigen:Signatur-Verification läuft anders ab:
https://de.wikipedia.org/wiki/Hashfunktion
https://en.wikipedia.org/wiki/Digital_signature
##### Schritte der digitalen Signatur #######
=> Signatur-Prozess
1. Signierer generiert einen Hash von den zu signierenden Daten
2. Private Key des Signierers und der Hash werden mit dem Signaturalgorithmus gefüttert und ergeben die eigentliche Signatur die zusätzlich zu den eigentlichen Daten übermittelt wird.
=> Verifikation einer Signatur
3. Empfänger generiert ebenfalls einen Hash der eigentlichen Daten
4. Aus dem Public Key des Signierers und der Signatur der Daten wird ebenfalls ein Hash erstellt
5. Wenn der Hash aus Schritt 3 mit dem aus Schritt 4 übereinstimmt, ist die Signatur gültig und die übermittelten Daten unverändert
Ich habe mich in den letzten Wochen mit dem Thema beschäftigt und habe noch folgende Fragen:
1.) Was hat es sich mit dem primary Key auf sich dieser 3. Schlüssel neben oeffentlichen- und privaten Schlüssl kann anscheinend alles entschlüsseln dieser wird durch die NSA beispielweise eingesetzt? Wie funktioniert das mit diesem Primary Key? Ist das nicht einfach eine Kopie eines der beiden Schlüssel?
2.) Ich habe letzte Woche gelesen man könne HTTPS-Verbindungen welche verschlüsselt sind entschlüsseln ganz einfach soll das bereits mit Wireshark gehen. Wie ist das Möglich? Ich weiss leider nicht mehr genau ob HTTPS ebenfalls ein asynchrones Verschlüsselungsverfahren einsetzt oder sonst etwas weniger sicheres benutzt? Wie ist das so einfach Möglich? Wireshark ist ja kein Hacker-Tools trotzdem soll es möglich sein?... Bin gespannt auf eure Antworten.
1.) Was hat es sich mit dem primary Key auf sich dieser 3. Schlüssel neben oeffentlichen- und privaten Schlüssl kann anscheinend alles entschlüsseln dieser wird durch die NSA beispielweise eingesetzt? Wie funktioniert das mit diesem Primary Key? Ist das nicht einfach eine Kopie eines der beiden Schlüssel?
2.) Ich habe letzte Woche gelesen man könne HTTPS-Verbindungen welche verschlüsselt sind entschlüsseln ganz einfach soll das bereits mit Wireshark gehen. Wie ist das Möglich? Ich weiss leider nicht mehr genau ob HTTPS ebenfalls ein asynchrones Verschlüsselungsverfahren einsetzt oder sonst etwas weniger sicheres benutzt? Wie ist das so einfach Möglich? Wireshark ist ja kein Hacker-Tools trotzdem soll es möglich sein?... Bin gespannt auf eure Antworten.
1.)
Guckst du hier:
https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/V ...
2.)
Wireshark ist kostenlos ! Warum also probierst du es nicht ganz einfach mal selber aus ???
Starte den Wireshark auf deinem Rechner, surfe zu deiner Banking Seite und schneide den Traffic mit. Dann suchst du im Datenstrom mal nach deiner Kontonummer.
Ein Bild sagt doch mehr als 1000 Worte hier also selber checken !
Guckst du hier:
https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/V ...
2.)
Wireshark ist kostenlos ! Warum also probierst du es nicht ganz einfach mal selber aus ???
Starte den Wireshark auf deinem Rechner, surfe zu deiner Banking Seite und schneide den Traffic mit. Dann suchst du im Datenstrom mal nach deiner Kontonummer.
Ein Bild sagt doch mehr als 1000 Worte hier also selber checken !
Ich kann in beiden Artikeln nichts von diesem 3. geheimnisvollen Schlüssel (primary Key) finden welcher alles entschlüsseln kann.
1. Blödsinn wenn man sich an bewährte Algorithmen hält die dokumentiert sind.
2. Kann man nur in dem man als ManInTheMiddle und SSL Interception den Traffic aufbricht. Ein Client wird das aber sehr schnell merken sofern sich dieser nicht ganz dämlich anstellt.
2. Kann man nur in dem man als ManInTheMiddle und SSL Interception den Traffic aufbricht. Ein Client wird das aber sehr schnell merken sofern sich dieser nicht ganz dämlich anstellt.
Zitat von @138810:
1. Blödsinn wenn man sich an bewährte Algorithmen hält die dokumentiert sind.
2. Kann man nur in dem man als ManInTheMiddle und SSL Interception den Traffic aufbricht. Ein Client wird das aber sehr schnell merken sofern sich dieser nicht ganz dämlich anstellt.
1. Blödsinn wenn man sich an bewährte Algorithmen hält die dokumentiert sind.
2. Kann man nur in dem man als ManInTheMiddle und SSL Interception den Traffic aufbricht. Ein Client wird das aber sehr schnell merken sofern sich dieser nicht ganz dämlich anstellt.
- Zu Punkt eins. Aber in der Tatsache würde die Möglichkeit bestehen, einen Schlüssel für dritte zu kopieren um danach einer Behörde zu ermöglichen mit zulauschen?
- Punkt 2, also meine Firewall kann das dadurch lässt sich SSL Traffic auch nach Malware filtern? Wie merkt der Client das? Vermute mal dadurch, dass der Browser mir meldet, dass die Verbindung nicht sicher sei oder? Korrigiere mich wenn ich falsch liege...
Aber wie ist den das Technisch möglich SSL Traffic aufzubrechen wenn man keinen dazu benötigten Schlüssel hat (vermute SSL, Website braucht asymetrische Kryographie)? Wobei mir noch in den Sinn kommt, dass HTTPS SSL verwendet was ja durch TLS abgelöst wurde und SSL nicht mehr als "sicher" betrachtet werden kann.
Zitat von @nicuhu:
- Zu Punkt eins. Aber in der Tatsache würde die Möglichkeit bestehen, einen Schlüssel für dritte zu kopieren um danach einer Behörde zu ermöglichen mit zulauschen?
Wenn du private Key auf dem Küchentisch liegen lässt dann ja ansonsten, nein.- Zu Punkt eins. Aber in der Tatsache würde die Möglichkeit bestehen, einen Schlüssel für dritte zu kopieren um danach einer Behörde zu ermöglichen mit zulauschen?
- Punkt 2, also meine Firewall kann das dadurch lässt sich SSL Traffic auch nach Malware filtern?
Ja.Wie merkt der Client das? Vermute mal dadurch, dass der Browser mir meldet, dass die Verbindung nicht sicher sei oder? Korrigiere mich wenn ich falsch liege...
Normalerweise muss man wenn man SSL Verbindungen aufbrechen will ein Root-Zertifikat der Firewall auf dem Client installieren damit dieser den Vorgang nicht bemerkt wird, ansonsten erhält der Client die Nachricht das das präsentierte Zertifikat von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.Aber wie ist den das Technisch möglich SSL Traffic aufzubrechen wenn man keinen dazu benötigten Schlüssel hat (vermute SSL, Website braucht asymetrische Kryographie)? Wobei mir noch in den Sinn kommt, dass HTTPS SSL verwendet was ja durch TLS abgelöst wurde und SSL nicht mehr als "sicher" betrachtet werden kann.
Die FW hängt sich also dazwischen und kann dadurch alles mitlesen, weil sie ja eine vertrauenswürdige Instanz am Client ist, sofern er das Root-Zertifikat der FW installiert, das ist die Bedingung.
Sorry für die späte Antwort.
Also kann ich damit die Integrität (Chain of Trust) überlisten. Nicht aber die Verschlüsselung? Ich gebe dem Client vor alles sei in Ordnung mit der Vertrauenskette dabei hat irgendwer eventuell Traffic verändert oder eben mitgelauscht wie in unserem Beispiel? Also kann nie sicher sein ob nicht jemand meine SSL Verbindung aufgebrochen hat ausser er fragt mich ob danach ob er ein Zertifikat installieren darf auf meinem Client?
Aber wie ist den das Technisch möglich SSL Traffic aufzubrechen wenn man keinen dazu benötigten Schlüssel hat (vermute SSL, Website braucht asymetrische Kryographie)? Wobei mir noch in den Sinn kommt, dass HTTPS SSL verwendet was ja durch TLS abgelöst wurde und SSL nicht mehr als "sicher" betrachtet werden kann.
Die Firewall präsentiert dem Client seine eigenen Zertifikate, dadurch ist sie in der Lage den Traffic im Klartext zu sehen und im Anschluss an die ursprüngliche Seite weiterzuleiten.
Die FW hängt sich also dazwischen und kann dadurch alles mitlesen, weil sie ja eine vertrauenswürdige Instanz am Client ist, sofern er das Root-Zertifikat der FW installiert, das ist die Bedingung.
Verstehe ich nicht ganz. Wenn mein Client mit dem Server meiner Bank kommuniziert. Die Bank besitzt eine PKI mein Client bekommt nun das öffentliche Zertifikat damit ich meinen Traffic zur Bank verschlüsseln kann. Wie kann also irgendjemand dazwischen "SSL interception" erfolgreich durchführen das verstehe ich nicht. Ist es eventuell so, dass "SSL interception" nicht mit aysmetrischer Verschlüssung funktionieren bzw. erfolgreich durchgeführt werden kann?
Weiter weiss ich nicht ob wir genau vom gleichen Reden. Ein Zertifikat kann ja zur Authentifizierung dienen aber auch um die Integrität sowie Verschlüsselung zu gewähren.
Zitat von @138810:
Also mag heissen wenn ich eine PKI betreibe kann ich die Schlüssel welche eigentlich mir und meinem Partner gehören einer Behörde weitergegeben sodass diese den Traffic mitlauschen kann oder?Zitat von @nicuhu:
- Zu Punkt eins. Aber in der Tatsache würde die Möglichkeit bestehen, einen Schlüssel für dritte zu kopieren um danach einer Behörde zu ermöglichen mit zulauschen?
Wenn du private Key auf dem Küchentisch liegen lässt dann ja ansonsten, nein.- Zu Punkt eins. Aber in der Tatsache würde die Möglichkeit bestehen, einen Schlüssel für dritte zu kopieren um danach einer Behörde zu ermöglichen mit zulauschen?
Wie merkt der Client das? Vermute mal dadurch, dass der Browser mir meldet, dass die Verbindung nicht sicher sei oder? Korrigiere mich wenn ich falsch liege...
Normalerweise muss man wenn man SSL Verbindungen aufbrechen will ein Root-Zertifikat der Firewall auf dem Client installieren damit dieser den Vorgang nicht bemerkt wird, ansonsten erhält der Client die Nachricht das das präsentierte Zertifikat von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.Aber wie ist den das Technisch möglich SSL Traffic aufzubrechen wenn man keinen dazu benötigten Schlüssel hat (vermute SSL, Website braucht asymetrische Kryographie)? Wobei mir noch in den Sinn kommt, dass HTTPS SSL verwendet was ja durch TLS abgelöst wurde und SSL nicht mehr als "sicher" betrachtet werden kann.
Die FW hängt sich also dazwischen und kann dadurch alles mitlesen, weil sie ja eine vertrauenswürdige Instanz am Client ist, sofern er das Root-Zertifikat der FW installiert, das ist die Bedingung.
Verstehe ich nicht ganz. Wenn mein Client mit dem Server meiner Bank kommuniziert. Die Bank besitzt eine PKI mein Client bekommt nun das öffentliche Zertifikat damit ich meinen Traffic zur Bank verschlüsseln kann. Wie kann also irgendjemand dazwischen "SSL interception" erfolgreich durchführen das verstehe ich nicht. Ist es eventuell so, dass "SSL interception" nicht mit aysmetrischer Verschlüssung funktionieren bzw. erfolgreich durchgeführt werden kann?
Weiter weiss ich nicht ob wir genau vom gleichen Reden. Ein Zertifikat kann ja zur Authentifizierung dienen aber auch um die Integrität sowie Verschlüsselung zu gewähren.
Belese dich zu MitM ...
Zitat von @138810:
Belese dich zu MitM ...
Belese dich zu MitM ...
Das heisst einfach jemand der zwischen beiden kommunikationspunkten bersteht... Meine Fragen klärt das ja trotzdem nicht. Kannst du mir diese bitte beantworten?
Zitat von @nicuhu:
Das heisst einfach jemand der zwischen beiden kommunikationspunkten bersteht... Meine Fragen klärt das ja trotzdem nicht
Doch das tut es!Zitat von @138810:
Belese dich zu MitM ...
Belese dich zu MitM ...
Das heisst einfach jemand der zwischen beiden kommunikationspunkten bersteht... Meine Fragen klärt das ja trotzdem nicht
Kannst du mir diese bitte beantworten?
Könnte ich, mache ich aber nicht da du das alles zum Thema MitM nachlesen kannst. Wieso sollte ich das hier nochmal wiederholen wenn du es sowieso nicht verstehst, denn wenn du das detailliert nachgelesen hättest erübrigen sich diese Fragen nämlich.Außerdem ist das inzwischen so Off-Topic das das eh niemand mehr findet...
Tschö.
Meine Fragen haben sich gelöst, habe mir sämtliche Themen von TLS / SSL wie auch MAC und MitM gelesen vielles wurde dadurch beantwortet. Danke @138810.
