Z punktu widzenia DNS najistotniejszymi usługami ochrony danych są uwierzytelnianie i nienaruszalność. Uwierzytelnianie gwarantuje zapewnienie autentyczności informacji, dostarczając mechanizm, który umożliwia zweryfikowanie źródła informacji. Usługa nienaruszalności pozwala na zapewnienie integralności komunikacji, umożliwiając stwierdzenie czy odebrana informacja jest w takiej postaci, w jakiej została wysłana.
Implementacja nienaruszalności opiera się na jednokierunkowej funkcji skrótu. W przypadku TSIG jest to odmiana HMAC (RFC 2141) funkcji MD5 (RFC1321), czyli HMAC-MD5. DNSSEC może wykorzystywać różne typy funkcji skrótu, w praktyce jednak preferowany jest algorytm SHA-1.
Jednokierunkowa funkcja skrótu MD5 (stworzona w MIT przez Rona Rivesta) tworzy 128 bitowy skrót dowolnie długiej wiadomości binarnej. Skrót nazywany jest "odciskiem palca" wiadomości. Funkcja jest skonstruowana tak, by wytworzenie dwóch wiadomości o jednakowym skrócie, bądź wygenerowanie wiadomości o skrócie identycznym do skrótu danej wiadomości było obliczeniowo niewykonalne.
Funkcja skrótu SHA-1 jest uznawana za następcę MD5. Tworzy ona 160 bitowy skrót z widomości o długości maksymalnie 2^64 bitów, który jest uznawany za bardziej bezpieczny niż 128 bitowy skrót wygenerowany przez funkcję MD5. Algorytm tej funkcji jest oparty na podobnych zasadach jakie zastosowano w funkcji MD5.
Algorytm HMAC-SHA-1 rozszerza mechanizm skrótu, pozwalając na użycie klucza w procesie generowania "odcisku palca" wiadomości. W ten sposób odbiorca informacji, dysponując sekretnym kluczem użytym przez nadawcę do wygenerowania skrótu, ma możliwość sprawdzenia czy odebrana wiadomość nie została naruszona w trakcie transportu.
Procedura podpisania wiadomości przy wykorzystaniu HMAC-SHA-1:
obliczenie skrótu wiadomości przy wykorzystaniu sekretnego klucza współdzielonego przez nadawcę i odbiorcę,
dołączenie skrótu do transmitowanej kanałem publicznym wiadomości.
Etapy weryfikacji odebranej wiadomości:
obliczenie skrótu odebranej wiadomości wykorzystując sekretny klucz znany tylko nadawcy i właściwemu odbiorcy wiadomości (pomijając dołączony skrót),
porównanie odebranego skrótu ze skrótem obliczonym lokalnie; w przypadku ich zgodności można być pewnym, że wiadomość nie została zmodyfikowana w trakcie transportu.
Funkcja SHA-1 w połączeniu z algorytmem szyfrowania z kluczem publicznym RSA umożliwiają wygenerowanie tak zwanego elektronicznego podpisu, wykorzystywanego między innymi w DNSSEC.
Algorytm RSA (stworzony w MIT przez Rona Rivesta, Adi Shamira i Leonarda Adelmana) jest obecnie najpowszechniejszym rozwiązaniem wykorzystywanym w kryptografii z kluczem publicznym. Opiera się on na potęgowaniu, a jego bezpieczeństwo zapewnione jest przez złożoność obliczeniową problemu faktoryzacji ogromnych liczb, rzędu 10^200. W celu zapewnienia odpowiedniego poziomu bezpieczeństwa w praktyce wykorzystuje się klucze o długość od 512 do 2048 bitów. Algorytm wykorzystuje klucz publiczny i odpowiadający mu klucz prywatny. Dane zaszyfrowane przez nadawcę kluczem publicznym odbiorcy mogą zostać odszyfrowane wyłącznie przez samego odbiorcę, ponieważ tylko on posiada właściwy klucz prywatny. Analogicznie, informacja zaszyfrowana kluczem prywatnym nadawcy może być odszyfrowana tylko jego kluczem publicznym; ten mechanizm wykorzystywany jest właśnie w DNSSEC w celach autoryzacji.
Etapy podpisywania informacji - tworzenia podpisu cyfrowego wiadomości przeznaczonej do transmisji publicznym kanałem:
wyznaczenie skrótu wiadomości za pomocą jednokierunkowej funkcji skrótu,
porównanie odszyfrowanego skrótu ze skrótem obliczonym lokalnie; w przypadku ich zgodności można być pewnym, że wiadomość nie została zmodyfikowana w trakcie transportu.
2011
