Workshop: Open Source-Tipp

Nahezu alle Dienste in Rechnernetzwerken verlassen sich darauf, dass die abgefragten DNS-Server die richtigen Antworten zurückliefern. Also beispielsweise, welche IP-Adresse hinter einem bestimmten Rechnernamen steckt. Dabei garantiert das eingesetzte DNS-Protokoll weder die Authentizität noch die Integrität der zurückgelieferten Daten. Somit ist zu keiner Zeit sichergestellt, dass die erhaltene Antwort tatsächlich von dem Server stammt, der für den abgefragten Rechnernamen über eine entsprechende IP-Adresse in der eigenen DNS-Zonendatei verfügt, noch, dass die Antwort nicht vielleicht auf dem Weg durch verschiedene DNS-Caches manipuliert wurde und somit beim Empfänger eine andere Antwort ankommt, als ursprünglich losgeschickt wurde.

Abhilfe schaffen einige standardisierte Erweiterungen des DNS-Protokolls, Domain Name System Security Extensions (DNSSEC) [1] genannt. Diese sorgen für eine sogenannte Quellenauthentisierung. Das Prinzip basiert dabei auf kryptografischen Signaturen, die zusammen mit den eigentlich abgefragten DNS-Einträgen zurück an den Empfänger geschickt werden. Mit Hilfe dieser Signaturen können Clients die Authentizität und Integrität der erhaltenen DNS-Daten verifizieren.

Chain of Trust

Jeder Eintrag in einer DNS-Zone, auch als Resource Record (RR) bezeichnet, wird mit einer digitalen Signatur versehen, die mit Hilfe eines zuvor erzeugten kryptografischen Schüssels, dem sogenannten Zone Signing Key (ZSK), erzeugt wurde. Diese Signatur wird ebenfalls innerhalb der DNS-Zone in einem sogenannten Digital Signature Resource Record (RRSIG) hinterlegt. Um diese Signatur nun verifizieren zu können, wird der öffentliche Teil des ZSK benötigt. Dieser ist in der DNS-Zonendatei in einem DNS-KEY Resource Record vorhanden und steht somit für jederman zum Abruf bereit. Probieren Sie es einmal am Beispiel der Domäne fedoraproject.com aus:

$

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.