https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=DNSKEY_Resource_RecordDNSKEY Resource Record - Versionsgeschichte2026-05-31T08:20:18ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=DNSKEY_Resource_Record&diff=627917&oldid=prev212.172.1.140: /* Aufbau */2024-08-12T15:19:27Z<p><span class="autocomment">Aufbau</span></p>
<p><b>Neue Seite</b></p><div>'''DNSKEY [[Resource Record]]s''' dienen der Propagierung [[öffentlicher Schlüssel]] durch [[Domain Name System|DNS]]. DNSKEY Records werden im Rahmen von [[Domain Name System Security Extensions|DNSSEC]] (DNS Security) verwendet und lösten 2004 die nahezu identischen [[KEY Resource Record]]s ab.<br />
<br />
== Hintergrund ==<br />
<br />
Public-Key-Systeme gelten heute als leistungsfähige und vielfältig einsetzbare [[Verschlüsselungsverfahren]]. Der Besitzer eines Schlüssels unterzeichnet beispielsweise eine Nachricht mit dem nur ihm selbst bekannten ''[[Privater Schlüssel|Privaten Schlüssel]]''. Ein Empfänger kann diese Unterschrift unter Zuhilfenahme des korrespondierenden ''Öffentlichen Schlüssel'' verifizieren und damit sicherstellen, dass die Nachricht tatsächlich vom Absender stammt und dass sie unverfälscht ist.<br />
<br />
Ein Grundproblem von Public-Key-Systemen ist die Verteilung der Öffentlichen Schlüssel: Wie macht ein User seinen Public Key der Welt bekannt? Das hier beschriebene Verfahren verwendet DNS. Der Besitzer des Schlüssels legt diesen als DNSKEY-RR auf einem öffentlich zugängigen DNS-Server ab. Jeder, der den Public Key dieses Users benötigt, sendet eine entsprechende DNS-Anfrage. Als Antwort erhält er dann den Öffentlichen Schlüssel. Das Verfahren entspricht damit der Propagierung von IP-Adressen.<br />
<br />
In der Praxis reicht diese Art der Propagierung aber nicht aus, da eine komplette Zone gefälscht sein kann. Der Public Key muss deshalb entweder manuell als ''Trusted Key'' in den Resolver eingebracht werden oder der zugehörige [[DS Resource Record]] in der überliegenden Zone publiziert werden. Siehe [[Domain Name System Security Extensions#Chain of Trust|Chain of Trust]].<br />
<br />
== Aufbau ==<br />
<br />
Ein DNSKEY-RR besteht aus den folgenden Feldern:<br />
<br />
; Label<br />
: Name des Besitzers des Schlüssels<br />
; Class<br />
: nur IN zulässig<br />
; Typ<br />
: DNSKEY<br />
; Flags<br />
: zusätzliche Angaben wie z.&nbsp;B. Host-, [[Zone (DNS)|Zonen]]- oder Schlüsselunterzeichnungs-Schlüssel. Im Rahmen von DNSSEC werden 256=Zone und 257=Schlüssel verwendet<br />
; Protokoll<br />
: 1=[[Transport Layer Security|TLS]], 2=[[E-Mail|email]], 3=[[Domain Name System Security Extensions|DNSSEC]], 4=[[IPsec]], 255=alle<br />
; Signaturalgorithmus<br />
: 3 = [[Digital Signature Algorithm|DSA]]/[[SHA-1]]<br /> 5 = [[RSA-Kryptosystem|RSA]]/SHA-1<br /> 6 = DSA/SHA-1/[[NSEC3]]<br /> 7 = RSA/SHA-1/NSEC3<br /> 8 = RSA/[[SHA-256]]<br /> 10 = RSA/[[SHA-512]]<br /> 12 = GOST R 34.10-2001<br /> 13 = ECDSA/Curve P-256/SHA-256<br /> 14 = ECDSA/Curve P-384/SHA-384<br /> 15 = [[Ed25519]] (EdDSA/Curve25519/SHA-512)<ref name="RFC8080">{{RFC-Internet |RFC=8080 |Titel=Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC |Datum=2017-02}}</ref><ref name="RFC8032">{{RFC-Internet |RFC=8032 |Titel=Edwards-Curve Digital Signature Algorithm (EdDSA) |Datum=2017-01}}</ref><br /> 16 = [[Ed448]] (EdDSA/Curve448/SHAKE256)<ref name="RFC8080" /><ref name="RFC8032" /><br /> <ref>[https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml#dns-sec-alg-numbers-1 iana.org]</ref><br />
; Schlüssel<br />
<br />
== Beispiele ==<br />
child.example IN DNSKEY (<br />
256 ; Zonenschlüssel<br />
3 ; DNSSEC<br />
3 ; DSA-Signatur<br />
BOPdJjdc/ZQWCVA/ONz6LjvugMnB2KKL3F1D2i9Gdrpi<br />
rcWRKS2DfRn5KiMM2HQXBHv0ZdkFs/tmjg7rYxrN+bzB<br />
NrlwfU5RMjioi67PthD07EHbZjwoZ5sKC2BZ/M596hyg<br />
fx5JAvbIWBQVF+ztiuCnWCkbGvVXwsmE+odINCur+o+E<br />
jA9hF06LqTviUJKqTxisQO5OHM/0ufNenzIbijJPTXbU<br />
cF3vW+CMlX+AUPLSag7YnhWaEu7BLCKfg3vJVw9mtaN2<br />
W3oWPRdebGUf/QfyVKXoWD6zDLByCZh4wKvpcwgAsel4<br />
bO5LVe7s8qstSxqrwzmvaZ5XYOMZFbN7CXtutiswAkb0<br />
pkehIYime6IRkDwWDG+14H5yriRuCDK3m7GvwxMo+ggV<br />
0k3Po9LD5wWSIi1N )<br />
<br />
example.net. IN DNSKEY (<br />
257 ; Schlüsselunterzeichnungs-Schlüssel<br />
3 ; DNSSEC<br />
1 ; RSA-Signatur<br />
AQOW4333ZLdOHLRk+3Xe6RAaCQAOMhAVJu2T<br />
xqmk1Kyc13h69/wh1zhDk2jjqxsN6dVAFi16<br />
CUoynd7/EfaXdcjL )<br />
<br />
== Sicherheit des Verfahrens ==<br />
<br />
Die Propagierung eines Öffentlichen Schlüssels per DNS ist nur dann ausreichend sicher, wenn sie über die überliegende Zone mit dem DS RR bestätigt wird. Die Propagierung durch ein [[X.509]]-Zertifikat ist noch sicherer, aber sehr viel aufwändiger und teurer.<br />
<br />
== Weblinks ==<br />
* {{RFC-Internet |RFC=4034 |Titel=Resource Records for the DNS Security Extension |Datum=}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Resource Record]]</div>212.172.1.140