DNSSEC

Da wiki Portuguese ICANNWiki
Ir para: navegação, pesquisa

As Extensões de Segurança do Sistema de Nomes de Domínio DNS são um conjunto de extensões do Sistema de Nome de Domínio DNS que permitem a autenticação de comunicação entre hosts e dados do DNS, garantindo a integridade dos dados. DNSSEC é usado para proteger informações específicas fornecidas pelo DNS. DNSSEC (Domain Name System Security Extensions) adiciona registros de recursos e bits no cabeçalho de mensagem que podem ser usados para verificar se os dados solicitados correspondem ao que o administrador da zona colocou na zona e não foi alterado em trânsito. DNSSEC não fornece um tunelamento seguro; Não criptografa ou esconde dados DNS. Ele foi projetado em compatibilidade com versões anteriores. O protocolo DNS padrão original continua a funcionar da mesma forma.

Os novos tipos de registro de recursos são: RRSIG (para assinatura digital), DNSKEY (a chave pública), DS (Delegate Signer) e NSEC (ponteiro para o próximo registro seguro). Os novos bits no cabeçalho da mensagem são: AD (para dados autenticados) e CD (verificação desativada). Um resolver de validação DNSSEC usa esses registros e esta criptografia de chave pública (assimétrica) para comprovar a integridade dos dados no DNS. Uma chave privada (específica para uma zona) é usada para criptografar um hash de um conjunto de registros de recursos - esta é a assinatura digital armazenada em um registro RRSIG.

A chave pública correspondente é armazenada no registro de recurso DNSKEY. O resolver de validação usa esse DNSKEY para descriptografar o RRSIG e, em seguida, compara o resultado com o hash do conjunto de registros de recursos correspondente para verificar se ele não foi alterado. Um hash do DNSKEY público é armazenado em um registro DS. Isso é armazenado na zona parent. O resolver de validação recupera do parent o registro DS e sua assinatura correspondente (RRSIG) e chave pública (DNSKEY); Uma hash dessa chave pública está disponível em seu parent. Isso se torna uma cadeia de confiança - também chamada de cadeia de autenticação. O resolver de validação é configurado com uma âncora de confiança - este é o ponto de partida que se refere a uma zona assinada. A âncora de confiança é uma gravação DNSKEY ou DS e deve ser recuperada com segurança de uma fonte confiável (não usando o DNS).

Também todos os nomes na zona possuem registros NSEC correspondentes listados para criar uma cadeia de todos os conjuntos de registros assinados. (Os registros RRSIG correspondentes também são criados para verificar os dados NSEC.) Como não há lacuna, os registros NSEC são usados para fornecer a prova da inexistência de um registro de recursos ou para autenticar respostas negativas.