https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=RRSIG_Resource_RecordRRSIG Resource Record - Versionsgeschichte2026-05-31T12:39:24ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=RRSIG_Resource_Record&diff=627862&oldid=previmported>PerfektesChaos: tk k2023-06-09T10:51:35Z<p>tk k</p>
<p><b>Neue Seite</b></p><div>Mit '''RRSIG Resource Record''' bzw. '''Signature Resource Record''' können im Rahmen von [[Domain Name System Security Extensions|DNSSEC]] (DNS Security) beliebige [[Resource Record]]s digital unterschrieben werden. Der RRSIG-Typ löste 2004 den nahezu identischen [[SIG Resource Record]] ab.<br />
<br />
== Hintergrund ==<br />
<br />
Ein Benutzer, der auf einen DNS-Anfrage eine Antwort erhält (z.&nbsp;B. eine [[IP-Adresse]]), kann nicht sicher sein, dass die Antwort auch wirklich von einem regulären Nameserver stammt und dass sie nicht auf dem Transportweg verfälscht wurde. Die Lösung von [[Domain Name System Security Extensions|DNSSEC]] ist es, Resource Records digital zu unterschreiben.<br />
<br />
Eine [[digitale Signatur]] setzt ein [[Asymmetrisches Kryptosystem|Public-Key-Verfahren]] voraus. Der Nameserver, der für eine Zone autoritativ ist, unterschreibt die Resource Records mit seinem [[Privater Schlüssel|privaten Schlüssel]]. Resolver können die digitale Unterschrift mit dem [[Öffentlicher Schlüssel|öffentlichen Schlüssel]] der Zone validieren. Die digitale Signaturen werden mittels RRSIG Resource Record übertragen.<br />
<br />
Die Signatur eines RRSIG Resource Record beglaubigt eine Menge von Resource Records ({{enS|RR set}}), die denselben Namen, dieselbe Klasse und denselben Typ haben. Im einfachsten Fall besteht die Menge aus einem einzelnen Resource Record, dessen Echtheit durch den RRSIG Resource Record beglaubigt wird.<br />
<br />
== Aufbau ==<br />
<br />
Ein RRSIG Resource Record besteht aus den folgenden Feldern:<br />
<br />
; Name<br />
: des digital unterschriebenen RRs<br />
; Aktuelle TTL<br />
: gibt an, wie lange dieser Eintrag im [[Cache]] gehalten werden darf<br />
; Klasse<br />
: zu der der signierte RR gehört<br />
; RRSIG<br />
: RR Typ um den es sich handelt (Typ 46)<br />
; Typ<br />
: des unterschriebenen RR – z.&nbsp;B. [[A Resource Record|A]], [[NS Resource Record|NS]], [[SOA Resource Record|SOA]]<br />
; Signaturalgorithmus<br />
: 3 = [[Digital Signature Algorithm|DSA]]/[[SHA-1]]<br /> 5 = [[RSA-Kryptosystem|RSA]]/SHA-1<br /> 6 = DSA/SHA-1/[[NSEC3]]<br /> 7 = RSA/SHA-1/NSEC3<br /> 8 = RSA/[[SHA-256]]<br /> 10 = RSA/[[SHA-512]]<br /> 12 = GOST R 34.10-2001<br /> 13 = ECDSA/Curve P-256/SHA-256<br /> 14 = ECDSA/Curve P-384/SHA-384<br /> 15 = [[Ed25519]] (EdDSA/Curve25519/SHA-512)<ref name="RFC8080">{{RFC-Internet |RFC=8080 |Titel=Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC |Datum=2017}}</ref><ref name="RFC8032">{{RFC-Internet |RFC=8032 |Titel=Edwards-Curve Digital Signature Algorithm (EdDSA) |Datum=2017}}</ref><br /> 16 = [[Ed448]] (EdDSA/Curve448/SHAKE256)<ref name="RFC8080" /><ref name="RFC8032" /><br /> <ref>[https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml#dns-sec-alg-numbers-1 iana.org]</ref><br />
; Anzahl der Namenskomponenten<br />
: erforderlich zur Validierung von [[Wildcard-Record]]s<br />
; TTL<br />
: zum Zeitpunkt der Unterschrift<br />
; Endzeitpunkt<br />
: Datum bis zu dem die Unterschrift gültig ist<br />
; Anfangszeitpunkt<br />
: Datum ab dem die Unterschrift gültig ist<br />
; ID-Nummer<br />
: identifiziert den unterzeichnenden [[DNSKEY Resource Record|DNSKEY]], um zwischen mehreren Signaturen zu unterscheiden (engl. ''key tag'')<br />
; Name des Unterzeichners<br />
: entspricht dem Zonennamen, unter dem der DNSKEY abgerufen werden kann<br />
; digitale Signatur<br />
: die Signatur wird in einem Binärformat übertragen und in Zonendateien bzw. zu Präsentationszwecken mit Base64 kodiert dargestellt<br />
<br />
== Beispiel ==<br />
In diesem Beispiel wird ein [[A Resource Record]] digital unterschrieben:<br />
www.child.example. 1285 A 1.2.3.15<br />
www.child.example. 1285 IN ; Klasse zu der der RR gehört<br />
RRSIG ; RR ist vom Typ RRSIG<br />
A ; Signierter Typ ist A<br />
8 ; Verwendeter Signieralgorithmus<br />
3 ; Name hat 3 Komponenten<br />
1285 ; Original-TTL<br />
(<br />
20040327122207 ; Endzeitpunkt<br />
20040226122207 ; Anfangszeitpunkt<br />
22004 ; ID des verwendeten Schlüssels<br />
child.example. ; Name des Unterzeichners<br />
BMTLR80WnKndatr77...BtprR9SLKoZUiPWX ; Hashwert<br />
)<br />
<br />
== Weblinks ==<br />
* {{RFC-Internet |RFC=4033 |Titel=DNS-Security Extension |Datum=}}<br />
* {{RFC-Internet |RFC=4034 |Titel=Resource Records for the DNS Security Extensions |Datum=}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Resource Record]]</div>imported>PerfektesChaos