Über DNS
Um DNSSEC (Domain Name System Security Extension) zu verstehen, muss man wissen, wie das DNS-System (Domain Name System) funktioniert.
DNS übersetzt die Domainnamen von Websites in numerische Codes, die von Computern effizient gelesen und verarbeitet werden können. (Beispiel: 104.16.99.56) Dies ist praktisch die IP-Adresse der Website. Jede IP-Adresse hat einen Domainnamen, weshalb das DNS-System oft auch als Telefonbuch des Internets bezeichnet wird. Diese Daten werden auf Domain-Name-Servern gespeichert, wo auch die Übersetzung von Domainnamen in IP-Adressen (und umgekehrt) erfolgt.
Als das DNS zum ersten Mal aufkam, funktionierte nicht alles reibungslos und es zeigten sich schnell Schwachstellen. Hier kommt DNSSEC ins Spiel: Um die Fehler zu beheben, begann man mit der Entwicklung eines Sicherheitssystems, das als Ergänzung zu den DNS-Systemen hinzugefügt werden kann.
Wie funktioniert DNSSEC?
Das Hauptziel von DNSSEC ist es, die Integrität und Authentizität der Daten im DNS sicherzustellen. Das bedeutet, dass es Internetnutzer:innen vor gefälschten DNS-Daten schützt, indem es eine sogenannte digitale, in den DNS eingebettete „Signatur“ überprüft und bestätigt.
Auf diese Weise stellt DNSSEC sicher, dass die Benutzer:innen tatsächlich mit der Website verbunden sind, die sie aufrufen möchten.
DNSSEC verwendet ein sogenanntes Public-Key-System, um Daten zu überprüfen, indem es zusätzliche Einträge an die bereits vorhandenen DNS-Einträge anhängt. Diese neuen Einträge dienen als digitale Signatur der Domain.
Der so signierte Nameserver verfügt nun über einen öffentlichen und einen privaten Schlüssel. Wenn jemand darauf zugreifen möchte, sendet er Informationen über private Schlüssel, die der Empfänger dann mit dem öffentlichen Schlüssel entschlüsselt. Wenn Daten von einem Dritten eingehen, die nicht mit dem öffentlichen Schlüssel übereinstimmen, werden sie vom Empfänger nicht entschlüsselt.
Die von DNSSEC verwendeten Schlüssel
Die in DNSKEY enthaltenen Schlüssel werden für zwei verschiedene Zwecke verwendet:
- Key Signing Key (KSK) dient zum Signieren des Zone Signing Keys
- Zone Signing Key (ZSK) dient zum Signieren der einzelnen Einträge
Übersicht über den DS-Eintrag (Delegation Signer)
Der DS-Eintrag enthält einen eindeutigen Thread des öffentlichen Schlüssels sowie Metadaten zum Schlüssel, z. B. welche Algorithmen verwendet werden.
Sehen wir uns ein Beispiel an:
etwas.com 4200 IN 2472 13 2 16e637262zt822dafs828737sjjd2671jsym6172…
Lassen wir uns nun den DS-Eintrag in seine einzelnen Komponenten zerlegen und untersuchen, was die einzelnen Teile enthalten!
- etwas.com – dies ist der Domainname selbst
- 4200 – (TTl: Time To Live), d. h. die Lebensdauer des Eintrags
- IN – verweist auf das Internet selbst
- 2472 – Key Tag (d. h. Schlüssel-Tag), die Kennung des Schlüssels
- 13 – Der Algorithmus-Typ
- 2 – Der Auszug-Typ
- Die lange Zeile am Ende der Adresse ist der Auszug des öffentlichen Schlüssels.