DNSsec (domain name system security extension)

Beim Domain Name System (DNS) findet die Kommunikation zwischen dem Nameserver und dem DNS-Client über das verbindungslos arbeitende User Datagram Protocol (UDP) statt. Dieses Transportprotokoll sieht keine Authentifizierung der Nachrichtenquelle vor. Dadurch kann die Identität des Absenders vom Empfänger nicht überprüft werden. Es kann also nicht sichergestellt werden, ob die Nachricht tatsächlich von dem entsprechenden DNS-Server stammt.

Wird das Datenfeld für den Eintrag der Absenderadresse manipuliert und eine andere IP-Adresse eingetragen, gefährdet dies alle Internet-Anwendungen. Um entsprechende Manipulationen auszuschließen, hat die Internet Engineering Task Force (IETF) das Domain Name System Security Extension (DNSsec) entwickelt. Es handelt sich dabei um eine Protokollerweiterung des Domain Name System, die mit dem Public-Key-Verfahren arbeitet und die Nachrichtenquelle authentifiziert. Damit ist sichergestellt, dass die Antwort des Nameservers den Angaben entspricht, die ihr zugeordnet sind. Die Entwicklung von DNSsec reicht zurück in das Jahr 1994 und ist verankert in der RFC 2535. Darüber hinaus gibt es diverse RFCs, die sich mit DNSsec befassen. Die 2005 vorgestellte Version fasst die diversen RFCs unter der Bezeichnung DNSsec-bis zusammen.

DNSsec arbeitet mit kryptografischen Domainnamen und zielt auf die Bereiche Schlüsselverteilung, Authentifizierung der Ursprungsdaten und Transaktion der Authentifizierung ab. Bei Anfragen an den DNSsec-Server sendet dieser einen umfangreicheren DNS-Record, der mit einem Private Key unterzeichnet ist. Der Anfragende kann damit den Response auf Echtheit und Unverfälschtheit überprüfen. Die Antwort erhält außerdem ein Zertifikat mit dem der Empfänger auch den Absender und damit den Informationsinhalt verifizieren kann. Die digitale Signatur der Datenpakete basiert auf einer Hashfunktion, die vom Empfänger erzeugt wird und mit der Signatur verglichen werden kann.

Informationen zum Artikel
Deutsch:
Englisch: domain name system security extension - DNSsec
Veröffentlicht: 02.08.2008
Wörter: 270
Tags: IP-Protokolle
Links: Authentifizierung, Datenfeld, Datenpaket, Digitale Signatur, DNS (domain name system)