Um DNSSEC zu verstehen, muss man zunächst die grundlegende Funktionsweise des DNS-Systems kennen.
Die Hauptfunktion des DNS besteht darin, Domainnamen (wie beispiel.at) in numerische Internetadressen (wie 91.227.139.235) zu übersetzen.
Dieses numerische Adressierungssystem ist zwar für Computer sehr effizient zum Lesen und Verarbeiten von Daten, für Menschen jedoch sehr schwer zu merken.
Stellen Sie sich vor, Sie müssten jedes Mal, wenn Sie eine Website besuchen möchten, die IP-Adresse eingeben. Aus diesem Grund wird DNS auch als Telefonbuch des Internets bezeichnet.
Um dieses Problem zu lösen, wurde jeder Domain-Name mit einer numerischen IP-Adresse verknüpft.
Die Adressen der Websites, die wir kennen, sind eigentlich Domainnamen.
Informationen zu Domainnamen werden auf speziellen Servern gespeichert und sind über diese zugänglich. Diese werden als Domainnameserver bezeichnet und wandeln Domains in IP-Adressen und IP-Adressen in Domains um.
Die oberste Ebene des DNS befindet sich in einer sogenannten Root-Zone, in der alle IP- und Domainnamen in Datenbanken gespeichert und nach TLDs wie .com, .net, .org usw. sortiert sind.
Als das DNS erstmals in Betrieb genommen wurde, war es weder geschützt noch überwacht, und es wurden schnell viele potenzielle Gefahrenquellen entdeckt. Infolgedessen wurde ein Sicherheitssystem entwickelt, das sich leicht als Ergänzung zu den bestehenden DNS-Protokollen hinzufügen ließ.
Die Domain Name System Security Extension (DNSSEC) ist nichts anderes als eine Protokollfamilie, die DNS-Abfragen und Datenaustauschprozesse, die für den Zugriff auf Websites erforderlich sind, um eine zusätzliche Sicherheitsebene erweitert.
So funktioniert DNSSEC:
Der ursprüngliche Zweck von DNSSEC war der Schutz vor gefälschten DNS-Daten. Dies sollte durch eine in die Daten eingebettete digitale Signatur erreicht werden.
Wenn die Besucher:innen einen Domainnamen in ihren Browser eingeben, überprüft der Controller die Signatur.
Wenn die digitale Signatur mit den auf dem Master-DNS-Server gespeicherten Daten übereinstimmt, werden die Daten für den Client-Computer, der die Anfrage gestellt hat, zugänglich gemacht.
Wenn die digitale Signatur mit den auf dem DNS-Server gespeicherten Daten übereinstimmt, werden die Daten für den Client-Computer, der die Anfrage gestellt hat, zugänglich gemacht.
Die digitale Signatur DNSSEC stellt sicher, dass die Benutzer:innen mit der Website kommunizieren, die er aufrufen wollen.
DNSSEC verwendet ein System aus öffentlichen Schlüsseln und digitalen Signaturen zur Authentifizierung von Daten. Dabei wird einfach ein neuer Eintrag zu den bereits vorhandenen DNS-Einträgen hinzugefügt.
Diese neuen Einträge, wie z. B. RRSIG und DNSKEY, können genauso abgefragt werden wie A-, CNAME- und MX-Einträge.
Diese neuen Einträge kennzeichnen und signieren die Domain digital mit einer Methode, die als öffentliche Schlüsselkryptografie bekannt ist.
Der signierte Nameserver verfügt in jeder Zone über einen öffentlichen und einen privaten Schlüssel. Wenn jemand eine Anfrage an den Server sendet, sendet dieser ihm mit seinem privaten Schlüssel signierte Informationen, die der Empfänger dann mit dem öffentlichen Schlüssel entschlüsselt. Wenn ein Dritter versucht, unbekannte, unzuverlässige Informationen zu senden, können diese mit dem öffentlichen Schlüssel nicht ordnungsgemäß entschlüsselt werden, sodass der Empfänger weiß, dass die Informationen gefälscht sind.
Von DNSSEC verwendete Schlüssel
Es gibt zwei von DNSSEC verwendete Schlüssel.
Der Zonensignaturschlüssel (zone signing key) – dient zur Kennzeichnung und Authentifizierung der einzelnen Einträge in der Zone.
Der „Schlüsselsignaturschlüssel” (key signing key) – wird zum Signieren der DNSKEY-Einträge in der Zone verwendet.
Beide Schlüssel werden als DNSKEY-Einträge in der Zonendatei gespeichert.
DS-Eintrag anzeigen
DS steht für „Delegation Signer”. Der Eintrag enthält die eindeutige Zeichenfolge des öffentlichen Schlüssels sowie Metadaten zum Schlüssel, die beispielsweise beschreiben, welcher Algorithmus verwendet wird.
Jede DS-Datei besteht aus vier Teilen: KeyTag, Algorithm, DigestType und Digest und sieht wie folgt aus: beispiel.at. 3600 IN DS 2371 13 2 18e02779e597bf3662db339464ea2614c3607d7127bc7684f56f31dfab038e96
Die einzelnen Teile der DS-Datei können wir aufschlüsseln, um zu sehen, welche Informationen die einzelnen Teile enthalten:
- beispiel.at – Domainname, zu dem die DS gehört.
- 3600 – TTL, die Zeitspanne, während der die Datei im Cache verbleibt.
- IN – wie Internet.
- 2371 – KeyTag, die Kennung des Schlüssels.
- 13 – der Algorithmus-Typ. Jeder zugelassene Algorithmus hat eine eigene Nummer im DNSSEC.
- 2 – Digest-Typ oder die Hash-Funktion, mit deren Hilfe der Digest aus dem öffentlichen Schlüssel generiert wurde.
- Die lange Zeichenfolge am Ende ist der Digest oder der Hash des öffentlichen Schlüssels.
Alle DS-Dateien müssen RFC 3658 entsprechen.