KEY Resource Record

aus Wikipedia, der freien Enzyklopädie

KEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. KEY Records wurden im Rahmen von DNSSEC (DNS Security) verwendet, ab 2004 aber durch die nahezu identischen DNSKEY Resource Records ersetzt.

Hintergrund

Public-Key-Systeme gelten heute als leistungsfähige und vielfältig einsetzbare Verschlüsselungsverfahren. Der Besitzer eines Schlüssels unterzeichnet beispielsweise eine Nachricht mit dem nur ihm selbst bekannten Privaten Schlüssel. Ein Empfänger kann diese Unterschrift unter Zuhilfenahme des korrespondierenden Öffentlichen Schlüssel verifizieren und damit sicherstellen, dass die Nachricht tatsächlich vom Absender stammt und dass sie unverfälscht ist.

Ein Grundproblem von Public-Key-Systemen ist die Verteilung der Öffentlichen Schlüssel: Wie macht ein User seinen Public Key der Welt bekannt? Das hier beschriebene Verfahren verwendet DNS. Der Besitzer des Schlüssels legt diesen als KEY-RR auf einem öffentlich zugängigen DNS-Server ab. Jeder, der den Public Key dieses Users benötigt, sendet eine entsprechende DNS-Anfrage. Als Antwort erhält er dann den Öffentlichen Schlüssel. Das Verfahren entspricht damit der Propagierung von IP-Adressen.

Aufbau

Ein KEY-RR besteht den folgenden Feldern:

Label
Name des Besitzers des Schlüssels
Class
nur IN zulässig
Typ
KEY
Flags
zusätzliche Angaben wie z. B. Host-, Zonen- oder User-Schlüssel
Protokoll
1=TLS, 2=email, 3=DNSSEC, 4=IPsec, 255=alle
Verschlüsselungsverfahren
1=MD5, 2=Diffie Hellman, 3=DSA
Schlüssel

Beispiel

child.example IN KEY (
                       256                ; Zonenschlüssel 
                       3                  ; dnssec
                       3                  ; DSA-Verschlüsselung
                       BOPdJjdc/ZQWCVA/ONz6LjvugMnB2KKL3F1D2i9Gdrpi
                       rcWRKS2DfRn5KiMM2HQXBHv0ZdkFs/tmjg7rYxrN+bzB
                       NrlwfU5RMjioi67PthD07EHbZjwoZ5sKC2BZ/M596hyg
                       fx5JAvbIWBQVF+ztiuCnWCkbGvVXwsmE+odINCur+o+E
                       jA9hF06LqTviUJKqTxisQO5OHM/0ufNenzIbijJPTXbU
                       cF3vW+CMlX+AUPLSag7YnhWaEu7BLCKfg3vJVw9mtaN2
                       W3oWPRdebGUf/QfyVKXoWD6zDLByCZh4wKvpcwgAsel4
                       bO5LVe7s8qstSxqrwzmvaZ5XYOMZFbN7CXtutiswAkb0
                       pkehIYime6IRkDwWDG+14H5yriRuCDK3m7GvwxMo+ggV
                       0k3Po9LD5wWSIi1N ) ; key id = 22004

Sicherheit des Verfahrens

Die Propagierung eines Öffentlichen Schlüssels per DNS ist nur dann ausreichend sicher, wenn der entsprechende KEY-RR durch einen SIG Resource Record digital unterschrieben und der DNS-Request durch DNSSEC abgesichert ist. Die Propagierung durch ein X.509-Zertifikat ist noch sicherer, aber sehr viel aufwändiger und teurer.

Weblinks

  • RFC 2535 – DNS Security Extension