...

Estensioni di sicurezza del sistema dei nomi a dominio

Il dnssec è un insieme di standard nel Internetche forniscono una garanzia di meccanismi di sicurezza. Questi sono anche soggetti all'autenticità e all'integrità di Dati. Un partecipante dnssec può verificare alcuni dati della zona. Può anche controllare se i dati della zona DNS sono identici ai dati che un creatore è autorizzato dalla zona.

Nessuna codifica dei dati

Il dnssec è stato sviluppato per combattere il poinsoning della cache. Le firme digitali sono protette durante il trasferimento dei record delle risorse. L'autenticazione non avviene mai sui server o sui client. Con dnssec nessun dato è criptato. Il criptosistema asimmetrico. Il proprietario di una particolare informazione è chiamato il server principale. Qui si trova anche la zona da proteggere. Ogni singolo record è firmato con una chiave privata o una chiave segreta. L'autenticità e l'integrità possono essere convalidate con una chiave pubblica. L'estensione EDNS è preferita da dnssec. Con questa estensione è possibile utilizzare ulteriori parametri. Con questa estensione viene eliminata anche la limitazione delle dimensioni di 512 byte. Per la trasmissione di una chiave o di una firma sono necessari messaggi DNS più lunghi.

Come funziona il DNA?

Nel RR, cioè nel Resource Record, le informazioni sono fornite da dnssec. Questi garantiscono l'autenticità delle informazioni con una firma digitale. Il server principale della zona è il proprietario di queste informazioni. E' anche quello autorevole. Per ogni zona che deve essere messa in sicurezza, c'è una chiave di canto di zona. La coppia è composta da chiavi pubbliche e private. La parte pubblica della chiave di zona è inclusa nel file di zona come DNSKEY Resource Record. La chiave privata assicura che ogni singolo RR sia firmato digitalmente nella zona. A questo scopo viene completato un Resource Record, che è poi il Resource Record RRSIG. Questo contiene la firma per il record DNS.
Per ciascuna di queste transazioni viene inviato un RRSIG-RRR insieme al normale record di risorse. Per un trasferimento nella zona, gli schiavi lo ricevono per primi. Questo viene poi memorizzato in una cache con una buona risoluzione. L'ultima cosa che l'RR finisce al revolver che l'ha richiesta. Con la chiave di zona pubblica, l'RR può convalidare la firma.

La valutazione

Con dnssec, i resolver DNS sono i dispositivi finali, come un computer o uno smartphone, sui quali non è possibile convalidare i record. Gli Stubresolver sono programmi costruiti in modo semplice che possono risolvere completamente un nome. Anche in un server di nomi ricorsivo. Per risolvere un nome, lo stubresolver invia una richiesta ad un server di nomi nella rete locale, o nella rete di ISP, pronunciato Internet Service Providers.

Viene impostato un bit DO, questo può dire al resolver del server dei nomi che il record deve essere convalidato. Lo stubresolver deve supportare l'estensione EDNS del dnssec. In questo modo anche il server può essere confogurato. Ciò significa che la validazione può essere sempre eseguita.

Ciò è indipendente dal contenuto e dalla presenza del bit DO. Se il server restituisce un errore generale, qualcosa è andato storto. Se ha avuto successo, il server fornisce una risposta in bit AD. AD significa Dati Autenticati. Per uno stubresolver non è possibile rilevare se l'errore è causato dalla mancata convalida o se ha un'altra causa. Le cause possono essere un'interruzione di corrente o un guasto del server dei nomi nel nome a dominio richiesto.

Articoli attuali