Preguntas sobre DNSSEC

1

Hasta ahora entendí lo siguiente sobre DNSSEC:

  1. Un cliente solicita un determinado dominio, digamos google.se
  2. El servidor raíz envía al cliente su KSK público y la ZSK pública firmada por su KSK privado para que el cliente pueda verificar el servidor raíz DNS al verificar la firma utilizando la KSK pública que conoce
  3. Luego, el servidor raíz DNS envía al cliente el nombre y la dirección del servidor DNS se . Además, envía al cliente un hash del nombre y la KSK pública del servidor DNS se firmado por la ZSK privada del servidor DNS raíz

¿Por qué existe una ZSK? ¿No podrían usar solo el KSK?

¿Cómo recibe el cliente el KSK público del servidor DNS se si lo recupera solo con hash?

    
pregunta Chris 01.07.2016 - 13:00
fuente

1 respuesta

1

Solo puede usar una tecla para firmar los datos ...

... Sin embargo, es mucho más conveniente usar 2 pares de teclas (ZSK y amp; KSK). Hay 2 puntos importantes a tener en cuenta:

  • Necesita actualizar regularmente la clave (ZSK) utilizada para firmar los registros. (Por razones de seguridad.)
  • Debe asegurarse de que el registro de DS en la zona principal se corresponda con la clave utilizada en la zona mencionada anteriormente.

Esto es muy importante, cualquier error en el proceso de reinversión de claves resultará en un error total. Y cada vez que renueve su ZSK, deberá actualizar la zona principal. Es por esto que se usa un KSK. Esta clave solo se utilizará para firmar la ZSK (y ella misma). El registro de DS en la zona principal debe corresponder a ese KSK. No es necesario renovar el KSK tan a menudo como el ZSK.

Lo bueno es que, con estas 2 teclas, puedes renovar la ZSK sin actualizar la zona principal. Para resumir brevemente, necesita:

  • Firme los registros con la nueva ZSK.
  • Firme la nueva ZSK con la KSK actual.

Mientras no cambie el KSK, no tiene que cambiar el registro DS en la zona principal.

El KSK de la zona .se es enviado por los servidores de nombres .se . El hash es enviado por la zona principal, el servidor de nombres de la raíz en ese caso.

Aquí se explica brevemente cómo funciona DNSSEC:

  1. El resolvedor obtiene un registro, junto con su firma (RRSIG) firmada con la ZSK de la zona.
    Para permitir que el resolvedor verifique esa firma, también obtiene la ZSK y su firma (RRSIG) firmada con la KSK.
    Para permitir que el resolvedor verifique esa firma, también obtiene el KSK y su firma (RRSIG) firmada con el KSK. (autofirmado)

Puede ver que, si confía en los algoritmos utilizados, todo es tan seguro como lo es el KSK. ¡Pero el KSK es enviado por el mismo servidor de nombres que le envió el registro! Puede parecer bastante inútil, pero no realmente ...

  1. El resolutor obtiene de la zona principal el registro DS para la zona mencionada. Este registro de DS es un resumen de la zona KSK mencionada.

Como puede ver, siempre que confíe en la zona principal, puede confiar en el KSK utilizado y, por lo tanto, en el registro.

Así es como funciona DNSSEC: ese registro DS también está firmado por la zona principal ZSK, como el registro estaba en la zona secundaria. Lo verifica con la ZSK, la KSK y el registro de DS de la zona principal. Y así sucesivamente hasta llegar a la zona de raíz. El KSK de la raíz está codificado en la resolución.

Nota: el proceso de transferencia de claves es un poco más complicado. Debido a que los resolvedores almacenan datos en caché, es posible que deba mantener registros antiguos (firmas) por un tiempo.

    
respondido por el Yuriko 01.07.2016 - 15:20
fuente

Lea otras preguntas en las etiquetas