Extensions de sécurité du système de noms de domaine
Le dnssec est un ensemble de normes dans le Internetqui offrent une garantie de mécanismes de sécurité. Ils sont également soumis à l'authenticité et à l'intégrité Données. Un participant au dnssec peut vérifier certaines données de zone. Il peut également vérifier si les données de la zone DNS sont identiques à celles qu'un créateur est autorisé à utiliser dans la zone.
Pas de cryptage des données
Le dnssec a été développé pour lutter contre le poinsonisme des caches. Les signatures numériques sont sécurisées pendant le transfert des enregistrements de ressources. L'authentification n'a jamais lieu sur les serveurs ou sur les clients. Avec le dnssec, aucune donnée n'est cryptée. Le cryptosystème asymétrique. Le propriétaire d'une information particulière est appelé le serveur maître. C'est également là que se trouve la zone à sécuriser. Chaque enregistrement est signé avec une clé privée ou une clé secrète. L'authenticité et l'intégrité peuvent être validées à l'aide d'une clé publique. L'extension EDNS est préférée par le dnssec. Des paramètres supplémentaires peuvent être utilisés avec cette extension. La limitation de taille de 512 octets est également supprimée avec cette extension. Des messages DNS plus longs sont nécessaires si une clé ou une signature doit être transmise.
Comment fonctionne l'ADN ?
Dans le RR, c'est-à-dire le registre des ressources, les informations sont fournies par le dnssec. Celles-ci garantissent l'authenticité des informations grâce à une signature numérique. Le serveur maître de la zone est le propriétaire de ces informations. C'est aussi celui qui fait autorité. Pour chaque zone à sécuriser, il y a une clé de chant de zone. La paire se compose de clés publiques et privées. La partie publique de la clé de zone est incluse dans le fichier de zone sous le nom de DNSKEY Resource Record. La clé privée garantit que chaque RR individuel est signé numériquement dans la zone. À cette fin, une fiche de ressources est remplie, qui est ensuite la fiche de ressources RRSIG. Elle contient la signature de l'enregistrement DNS.
Pour chacune de ces transactions, un RRSIG-RR est envoyé avec la fiche ressource normale. Pour un transfert dans la zone, les esclaves le reçoivent en premier. Celui-ci est ensuite stocké dans un cache à bonne résolution. La dernière chose que le RR se retrouve au revolver qui l'a demandé. Avec la clé de la zone publique, le RR peut valider la signature.
L'évaluation
Avec le dnssec, les résolveurs DNS sont les dispositifs finaux, tels qu'un ordinateur ou un smartphone, sur lesquels les enregistrements ne peuvent pas être validés. Les Stubresolvers sont simplement des programmes construits qui peuvent résoudre complètement un nom. Même dans un serveur de nom récursif. Pour résoudre un nom, le stubresolver envoie une demande à un serveur de noms dans le réseau local, ou dans le réseau de ISPprononcé "Fournisseurs d'accès à Internet".
Un bit DO est activé, ce qui peut indiquer au résolveur du serveur de noms que l'enregistrement doit être validé. Le stubresolver doit supporter l'extension EDNS du dnssec. Le serveur peut donc aussi être confondu. Cela signifie que la validation peut toujours être effectuée.
Ceci est indépendant du contenu et de la présence du bit DO. Si le serveur renvoie une erreur générale, c'est qu'il y a eu un problème. En cas de succès, le serveur donne une réponse bit AD. AD signifie Données Authentifiées. Pour un stubresolver, il n'est pas possible de détecter si l'erreur est causée par l'échec de la validation ou si elle a une autre cause. Les causes peuvent être une panne d'électricité ou une défaillance du serveur de noms dans le nom de domaine demandé.
