https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=TSIGTSIG - Versionsgeschichte2026-05-28T10:20:07ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=TSIG&diff=68617&oldid=previmported>Nina: keine sinnvolle Zwischenüberschrift, siehe WP:WSIGA#Überschriften_und_Absätze2025-05-07T16:22:57Z<p>keine sinnvolle Zwischenüberschrift, siehe <a href="/index.php?title=WP:WSIGA&action=edit&redlink=1" class="new" title="WP:WSIGA (Seite nicht vorhanden)">WP:WSIGA#Überschriften_und_Absätze</a></p>
<p><b>Neue Seite</b></p><div>Ziel von '''TSIG (Transaction SIGnature)''' ist es, Authentizität von [[Domain Name System|DNS]]-Partnern sicherzustellen und die Datenintegrität bei Transaktionen zu gewährleisten. Ein DNS-Teilnehmer soll damit verifizieren können, dass der Partner, mit dem er kommuniziert auch tatsächlich der ist, der er vorgibt zu sein und dass empfangene DNS-Nachrichten auf dem Transportweg nicht verfälscht wurden. TSIG wird hauptsächlich bei der Server-Server-Kommunikation eingesetzt und weniger bei der Client-Server-Kommunikation (Ausnahme: Dynamic Updates).<br />
<br />
Eine Verschlüsselung von DNS-Daten ist im Rahmen von TSIG nicht vorgesehen. Da DNS-Informationen grundsätzlich der Öffentlichkeit zur Verfügung gestellt werden, würde eine [[Verschlüsselung]] keinen Sicherheitsgewinn bedeuten.<br />
<br />
Bei TSIG besitzen zwei oder mehr DNS-Server, die miteinander kommunizieren, den gleichen Schlüssel (symmetrischer Schlüssel, [[geteiltes Geheimnis]]), der manuell konfiguriert wird. Werden zwischen TSIG-Servern Daten ausgetauscht (z.&nbsp;B. beim Zonentransfer oder bei rekursiven Abfragen), so wird von jedem übertragenen DNS-Paket der [[MD5]]-Hash gebildet und in einem speziellen ''TSIG Resource Record'' angehängt. Der Empfänger führt mit seinem Schlüssel die gleiche MD5-Operation durch und vergleicht die beiden Unterschriften. Sind sie identisch, so stammen die Daten vom gewünschten Partner und wurden nicht verfälscht.<br />
<br />
== TSIG Resource Record ==<br />
Beim TSIG-RR handelt es sich um einen so genannten ''Meta-RR'', der dynamisch vor Absenden einer DNS-Message erzeugt und nach Empfang und Auswertung verworfen wird. Er taucht weder in Zonenfiles noch in DNS-Caches auf.<br />
<br />
Ein TSIG Resource Record besteht aus den folgenden Feldern:<br />
<br />
* '''Name''' (Name des Schlüssels)<br />
* '''Typ''' (immer ''TSIG'')<br />
* '''Class''' (immer ''ANY'')<br />
* '''TTL''' (immer 0)<br />
* '''Länge'''<br />
* '''Daten''' (digitale Unterschrift und weitere Angaben)<br />
<br />
Anhand des Namens kann zwischen verschiedenen Schlüsseln unterschieden werden. Es ist dadurch möglich, zwischen zwei Partnern mehrere Schlüssel zu vereinbaren. Das hat vor allem bei Änderungen Sinn, da man dadurch eine Zeit lang den alten und den neuen Schlüssel parallel verwenden kann.<br />
<br />
== Bewertung ==<br />
TSIG ist deutlich einfacher zu handhaben als [[DNSSEC]] und bietet sich in Umgebungen mit nur wenigen Servern an. Sind zu viele Server beteiligt, steigt der Administrationsaufwand stark an. Hier haben Public-Key-Verfahren wie etwa DNSSEC Vorteile, da die Schlüsselverteilung sehr viel einfacher ist.<br />
<br />
== Weblinks ==<br />
* {{RFC-Internet |Autor=P. Vixie, O. Gudmundsson, B. Wellington |RFC=2845 |Titel=Secret Key Transaction Authentication for DNS (TSIG) |Datum=2000-05}}<br />
<br />
[[Kategorie:Domain Name System]]<br />
[[Kategorie:Abkürzung]]</div>imported>Nina