4
Manuelle Verifizierung von DNSSEC Signaturen
Hallo liebes Administrator-Forum,
dies ist mein erster Post in diesem Forum, bitte seid nachsichtig,
falls etwas in meiner Frage fehlen sollte.
Ich möchte gerne die Funktionsweise von DNSSEC manuell in Einzelschritten auf Kommandozeile nachvollziehen.
Davon erhoffe ich mir detailierte Einsichten in die Funktionsweise von DNSSEC,
so wie die Möglichkeit eine manuelle Überprüfung in ein Skript mit einzubauen.
Ich nutze eine OpenSuse 13.1 64bit ausschließlich auf Kommandozeile.
Per dig Befehl habe ich die RRSIG Signatur so wie den DNSKEY einer DNS-Zone abgefragt und beides in einer Datei abgespeichert.
Mein Ansatz wäre nun per openssl die Signatur gegen den Hashwert des A-Records zu verifizieren.
Dazu würde ich folgenden Befehl nutzen:
Leider erhalte ich folgenden Fehler:
An dieser Stelle weiß ich nun nicht mehr weiter.
Wo liegt mein Fehler, oder geht mein Ansatz sogar komplett in die falsche Richtung?
dies ist mein erster Post in diesem Forum, bitte seid nachsichtig,
falls etwas in meiner Frage fehlen sollte.
Ich möchte gerne die Funktionsweise von DNSSEC manuell in Einzelschritten auf Kommandozeile nachvollziehen.
Davon erhoffe ich mir detailierte Einsichten in die Funktionsweise von DNSSEC,
so wie die Möglichkeit eine manuelle Überprüfung in ein Skript mit einzubauen.
Ich nutze eine OpenSuse 13.1 64bit ausschließlich auf Kommandozeile.
Per dig Befehl habe ich die RRSIG Signatur so wie den DNSKEY einer DNS-Zone abgefragt und beides in einer Datei abgespeichert.
Mein Ansatz wäre nun per openssl die Signatur gegen den Hashwert des A-Records zu verifizieren.
Dazu würde ich folgenden Befehl nutzen:
openssl dgst -sha256 -verify public.key -signature zone.sig zone.shaLeider erhalte ich folgenden Fehler:
unable to load key fileAn dieser Stelle weiß ich nun nicht mehr weiter.
Wo liegt mein Fehler, oder geht mein Ansatz sogar komplett in die falsche Richtung?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 288790
Url: https://administrator.de/forum/manuelle-verifizierung-von-dnssec-signaturen-288790.html
Ausgedruckt am: 20.04.2025 um 21:04 Uhr
4 Kommentare
Neuester Kommentar
Hi,
zunächst einmal Danke für deine schnelle Antwort.
Ich fürchte, dass ich das in meiner Frage nicht genau ausformuliert habe,
aber mir geht es nicht in erster Linie darum DNSSEC zu nutzen bzw. die Signaturen verifizieren zu können.
Ich möchte gern in der Lage sein die Einzelschritte selbst durchführen zu können.
Mit dig kann ich die Signaturen zwar in nur einem Befehl inkl. Chain of Trust verifizieren,
allerdings wird mir dann der komplette Vorgang von dig abgenommen und ich bin dann immernoch nicht schlauer.
Etwas konkreter:
Ich habe einen DNSKEY und die dazugehörige Signatur lokal abgespeichert.
In den Einträgen sehe ich, dass es mit RSA/SHA verschlüsselt ist.
Dann müsste es doch möglich sein, losgelöst vom DNS bzw. dig, mit herkömmlichen RSA Tools diese Signatur zu verifizieren.
Das ist mir allerdings bisher nie gelungen.
Bestimmt übersehe ich da irgendetwas.
Ich hoffe das ist nun einigermaßen verständlich.
Gruß TheMortiestRick
zunächst einmal Danke für deine schnelle Antwort.
Ich fürchte, dass ich das in meiner Frage nicht genau ausformuliert habe,
aber mir geht es nicht in erster Linie darum DNSSEC zu nutzen bzw. die Signaturen verifizieren zu können.
Ich möchte gern in der Lage sein die Einzelschritte selbst durchführen zu können.
Mit dig kann ich die Signaturen zwar in nur einem Befehl inkl. Chain of Trust verifizieren,
allerdings wird mir dann der komplette Vorgang von dig abgenommen und ich bin dann immernoch nicht schlauer.
Etwas konkreter:
Ich habe einen DNSKEY und die dazugehörige Signatur lokal abgespeichert.
In den Einträgen sehe ich, dass es mit RSA/SHA verschlüsselt ist.
Dann müsste es doch möglich sein, losgelöst vom DNS bzw. dig, mit herkömmlichen RSA Tools diese Signatur zu verifizieren.
Das ist mir allerdings bisher nie gelungen.
Bestimmt übersehe ich da irgendetwas.
Ich hoffe das ist nun einigermaßen verständlich.
Gruß TheMortiestRick
Nun die obige Seite besteht ja nicht nur aus dem einen "Befehl" sondern die Vorgänge dahinter werden ja auch detailliert Schritt für Schritt erläutert.
Wenn du auf die kleinsten Details bestehst zieh dir dir komplette Doku rein, da steht alles was du wissen musst:
Wenn du auf die kleinsten Details bestehst zieh dir dir komplette Doku rein, da steht alles was du wissen musst:
Guckst du hier:
http://www.heise.de/ct/ausgabe/2015-23-Pruefmethoden-fuer-die-Sicherhei ...
Da ist alles erklärt wie man es macht...
http://www.heise.de/ct/ausgabe/2015-23-Pruefmethoden-fuer-die-Sicherhei ...
Da ist alles erklärt wie man es macht...
