https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=KEY_Resource_RecordKEY Resource Record - Versionsgeschichte2026-05-25T11:22:34ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=KEY_Resource_Record&diff=67083&oldid=previmported>Crazy1880: Vorlagen-fix (RFC)2023-05-28T09:40:24Z<p>Vorlagen-fix (RFC)</p>
<p><b>Neue Seite</b></p><div>'''KEY [[Resource Record]]s''' dienen der Propagierung [[öffentlicher Schlüssel]] durch [[Domain Name System|DNS]]. KEY Records wurden im Rahmen von [[DNSSEC]] (DNS Security) verwendet, ab 2004 aber durch die nahezu identischen [[DNSKEY Resource Record]]s ersetzt.<br />
<br />
== Hintergrund ==<br />
<br />
Public-Key-Systeme gelten heute als leistungsfähige und vielfältig einsetzbare [[Verschlüsselungsverfahren]]. Der Besitzer eines Schlüssels unterzeichnet beispielsweise eine Nachricht mit dem nur ihm selbst bekannten ''[[Privater Schlüssel|Privaten Schlüssel]]''. Ein Empfänger kann diese Unterschrift unter Zuhilfenahme des korrespondierenden ''Öffentlichen Schlüssel'' verifizieren und damit sicherstellen, dass die Nachricht tatsächlich vom Absender stammt und dass sie unverfälscht ist.<br />
<br />
Ein Grundproblem von Public-Key-Systemen ist die Verteilung der Öffentlichen Schlüssel: Wie macht ein User seinen Public Key der Welt bekannt? Das hier beschriebene Verfahren verwendet DNS. Der Besitzer des Schlüssels legt diesen als KEY-RR auf einem öffentlich zugängigen DNS-Server ab. Jeder, der den Public Key dieses Users benötigt, sendet eine entsprechende DNS-Anfrage. Als Antwort erhält er dann den Öffentlichen Schlüssel. Das Verfahren entspricht damit der Propagierung von IP-Adressen.<br />
<br />
== Aufbau ==<br />
<br />
Ein KEY-RR besteht den folgenden Feldern:<br />
<br />
;Label : Name des Besitzers des Schlüssels<br />
;Class : nur IN zulässig<br />
;Typ : KEY<br />
;Flags : zusätzliche Angaben wie z.&nbsp;B. Host-, [[Zone (DNS)|Zonen]]- oder User-Schlüssel<br />
;Protokoll : 1=[[Transport Layer Security|TLS]], 2=[[E-Mail|email]], 3=[[DNSSEC]], 4=[[IPsec]], 255=alle<br />
;Verschlüsselungsverfahren : 1=[[MD5]], 2=[[Diffie-Hellman-Algorithmus|Diffie Hellman]], 3=[[Digital Signature Algorithm|DSA]]<br />
;Schlüssel<br />
<br />
== Beispiel ==<br />
child.example IN KEY (<br />
256 ; Zonenschlüssel<br />
3 ; dnssec<br />
3 ; DSA-Verschlüsselung<br />
BOPdJjdc/ZQWCVA/ONz6LjvugMnB2KKL3F1D2i9Gdrpi<br />
rcWRKS2DfRn5KiMM2HQXBHv0ZdkFs/tmjg7rYxrN+bzB<br />
NrlwfU5RMjioi67PthD07EHbZjwoZ5sKC2BZ/M596hyg<br />
fx5JAvbIWBQVF+ztiuCnWCkbGvVXwsmE+odINCur+o+E<br />
jA9hF06LqTviUJKqTxisQO5OHM/0ufNenzIbijJPTXbU<br />
cF3vW+CMlX+AUPLSag7YnhWaEu7BLCKfg3vJVw9mtaN2<br />
W3oWPRdebGUf/QfyVKXoWD6zDLByCZh4wKvpcwgAsel4<br />
bO5LVe7s8qstSxqrwzmvaZ5XYOMZFbN7CXtutiswAkb0<br />
pkehIYime6IRkDwWDG+14H5yriRuCDK3m7GvwxMo+ggV<br />
0k3Po9LD5wWSIi1N ) ; key id = 22004<br />
== Sicherheit des Verfahrens ==<br />
<br />
Die Propagierung eines Öffentlichen Schlüssels per DNS ist nur dann ausreichend sicher, wenn der entsprechende KEY-RR durch einen [[SIG Resource Record]] digital unterschrieben und der DNS-Request durch [[DNSSEC]] abgesichert ist. Die Propagierung durch ein [[X.509]]-Zertifikat ist noch sicherer, aber sehr viel aufwändiger und teurer.<br />
<br />
== Weblinks ==<br />
* {{RFC-Internet |Autor=D. Eastlake |RFC=2535 |Titel=Domain Name System Security Extensions |Datum=1999-03}}<br />
<br />
[[Kategorie:Resource Record]]</div>imported>Crazy1880