de SIG Resource Record

Mit SIG Resource Record bzw. Signature Resource Record können im Rahmen von DNSSEC (DNS Security) beliebige Resource Records digital unterschrieben werden. Der SIG-Typ ist nicht mehr im Gebrauch und wurde 2004 durch den nahezu identischen RRSIG Resource Record ersetzt.

Hintergrund

Ein Benutzer, der auf einen DNS-Request eine Antwort erhält (z. B. eine IP-Adresse), kann nicht sicher sein, dass die Antwort auch wirklich von einem regulären Nameserver stammt und dass sie nicht auf dem Transportweg verfälscht wurde. Die Lösung ist, Resource Records digital zu unterschreiben.

Eine Digitale Unterschrift setzt ein Public-Key-Verfahren voraus. Der Nameserver, der als Master für einen DNS-Eintrag autoritativ ist, unterschreibt diesen mit seinem Privaten Schlüssel. Resolver können die digitale Unterschrift jederzeit verifizieren, sofern sie den öffentlichen Schlüssel des Nameservers kennen.

Aufbau

Ein SIG Resource Record besteht aus den folgenden Feldern:

Name: des digital unterschriebenen RRs
Aktuelle TTL: gibt an, wie lange dieser Eintrag im Cache gehalten werden darf
Class: immer IN
KEY
Typ: des unterschriebenen RR – z. B. A, NS, SOA
Verschlüsselungsalgorithmus: 1=MD5; 2=Diffie-Hellman; 3=DSA
Anzahl der Namenskomponenten: zur Wildcard-Auflösung siehe RFC 2535^[1]
TTL: zum Zeitpunkt der Unterschrift
Anfangszeitpunkt: ab der die Unterschrift gültig ist
Endzeitpunkt: bis zu dem die Unterschrift gültig ist
eindeutige Nummer: um zwischen mehreren Signaturen zu unterscheiden
Name des Unterzeichners
eigentliche Unterschrift

Beispiel

In diesem Beispiel wird ein A-RR digital unterschrieben:

www.child.example. 1285    IN A    1.2.3.15
www.child.example. 1285    SIG     (
                           A                 ; Typ ist A-RR
                           3                 ; DSA-Encryption
                           3                 ; Name hat 3 Komponenten
                           1285              ; Original-TTL
                           20040327122207    ; Anfangszeitpunkt
                           20040226122207    ; Endzeitpunkt
                           22004             ; eindeutige Nummer
                           child.example.    ; Name des Unterzeichners
                           BMTLR80WnKndatr77OirBtprR9SLKoZUiPWX
                           U5kViDi+5amYW/GFCp0= )

Weblinks

RFC: 2535 – DNS-Security Extension. (englisch).

Einzelnachweise

↑ RFC: 2535 – DNS-Security Extension. (englisch).

[1] RFC: 2535 – DNS-Security Extension. (englisch).

[1]