www.dns.pl - Krajowy Rejestr Domen .PL
  IDN ENUM Program Partnerski WHOIS Kontakt Polska wersja English version  
DOMENY INTERNETOWE
| Strona główna > DNSSEC > Teoria DNSSEC > Łańcuch zaufania
W SKRÓCIE
Domena .PL
Obsługa w NASK
Obsługa u Partnera
Opłaty
Regulaminy
Spory
Usługi
Lista domen usuniętych
Wiadomości
Informacje
Mapy
Statystyki
RSS
Jakość w NASK
DNSSEC
DOMENA .EU
Linki
Logowanie dla Partnerów
Płatności on-line
mastercard,maestro,visa,paypal
CENTR.org

ISO w NASK


 

Słowniczek

DS

HMAC-SHA-1

DNSKEY

KSK

MD5

NSEC

RRset

RSA

RRSIG

TSIG

ZSK

Łańcuch zaufania i dystrybucja kluczy

Weryfikacja podpisów zawartych w rekordach RRSIG odbywa się przy wykorzystaniu właściwych kluczy publicznych w strefie, której dane są sprawdzane. Klient systemu (resolver) dokonując weryfikacji musi być pewny, że posiadany przez niego klucz publiczny jest autentyczny. O ile nie posiada on lokalnie skonfigurowanego klucza publicznego danej strefy, musi skorzystać z mechanizmów DNS by dotrzeć do zaufanego klucza publicznego (przynajmniej jeden taki klucz musi być lokalnie skonfigurowany), a następnie podążając łańcuchem zaufania w głąb hierarchii DNS zweryfikować interesujący klucz.

Łańcuch zaufania jest zwykle tworzony począwszy od korzenia drzewa DNS a skończywszy na jego liściach. Kluczem, który musi być znany przez resolwery sytemu, jest właśnie publiczny klucz korzenia i przynajmniej ten klucz powinien zostać użyty do konfiguracji resolwerów. Nic nie stoi jednak na przeszkodzie, by skonfigurować resolwer tak, by znał klucze publiczne, np. lokalnej mu strefy, lub nie ufał pewnym kluczom, nawet jeżeli ich autentyczność może zostać zweryfikowana na drodze łańcucha zaufania.

Wprowadzenie rekordu DS umożliwiło uproszczenie zadań administracyjnych związanych z podpisywaniem kluczy publicznych pomiędzy organizacjami. Rekord ten występuje w punktach delegacji i wskazuje klucz potomka używany jako klucz podpisujący klucz (KSK), który podpisuje klucz strefy (ZSK). Kluczem strefy są podpisywane wszystkie jej rekordy, łącznie z ewentualnymi rekordami DS dalszych delegacji. Tym samym łańcuch zaufania ma postać KSK->ZSK->(DS->KSK->ZSK)*->RRset, gdzie .*. oznacza zero bądź więcej ogniw łańcucha zaufania. W uproszczeniu można przedstawić go tak: DNSKEY -> (DS.->DNSKEY)*->RRset.

Dane DNS są uznawane za bezpieczne, jeżeli są podpisane, a sam podpis może być zweryfikowany podążając łańcuchem zaufania. Dane ze strefy, której delegacji nie towarzyszy rekord DS są uważane za niezabezpieczone, co automatycznie wyklucza strefę z łańcucha zaufania. Wreszcie informacje DNS, które nie mogą zostać zweryfikowane, na podstawie podpisu i odpowiedniego klucza, są uznawane za złe i muszą zostać odrzucone.

NASK ul. Wąwozowa 18, 02-796 Warszawa, tel. +48 22 380 83 00 mapa serwisu
 
© Copyright by NASK 2011