Difference between revisions of "DNSSEC"

From Portuguese ICANNWiki
Jump to: navigation, search
Line 2: Line 2:
  
 
Os novos tipos de registro de recursos são: RRSIG (para assinatura digital), DNSKEY (a chave pública), DS (Delegate Signer) e NSEC (ponteiro para o próximo registro seguro). Os novos bits no cabeçalho da mensagem são: AD (para dados autenticados) e CD (verificação desativada). Um resolver de validação DNSSEC usa esses registros e esta criptografia de chave pública (assimétrica) para comprovar a integridade dos dados no DNS. Uma chave privada (específica para uma zona) é usada para criptografar um hash de um conjunto de registros de recursos - esta é a assinatura digital armazenada em um registro RRSIG.
 
Os novos tipos de registro de recursos são: RRSIG (para assinatura digital), DNSKEY (a chave pública), DS (Delegate Signer) e NSEC (ponteiro para o próximo registro seguro). Os novos bits no cabeçalho da mensagem são: AD (para dados autenticados) e CD (verificação desativada). Um resolver de validação DNSSEC usa esses registros e esta criptografia de chave pública (assimétrica) para comprovar a integridade dos dados no DNS. Uma chave privada (específica para uma zona) é usada para criptografar um hash de um conjunto de registros de recursos - esta é a assinatura digital armazenada em um registro RRSIG.
 +
 +
A chave pública correspondente é armazenada no registro de recurso DNSKEY. O resolver de validação usa esse DNSKEY para descriptografar o RRSIG e, em seguida, compara o resultado com o hash do conjunto de registros de recursos correspondente para verificar se ele não foi alterado. Um hash do DNSKEY público é armazenado em um registro DS. Isso é armazenado na zona parent. O resolver de validação recupera do parent o registro DS e sua assinatura correspondente (RRSIG) e chave pública (DNSKEY); Uma hash dessa chave pública está disponível em seu parent. Isso se torna uma cadeia de confiança - também chamada de cadeia de autenticação. O resolver de validação é configurado com uma âncora de confiança - este é o ponto de partida que se refere a uma zona assinada. A âncora de confiança é uma gravação DNSKEY ou DS e deve ser recuperada com segurança de uma fonte confiável (não usando o DNS).

Revision as of 18:53, 2 June 2017

As Extensões de Segurança do Sistema de Nomes de Domínio DNS são um conjunto de extensões do Sistema de Nome de Domínio DNS que permitem a autenticação de comunicação entre hosts e dados do DNS, garantindo a integridade dos dados. DNSSEC é usado para proteger informações específicas fornecidas pelo DNS. DNSSEC (Domain Name System Security Extensions) adiciona registros de recursos e bits no cabeçalho de mensagem que podem ser usados para verificar se os dados solicitados correspondem ao que o administrador da zona colocou na zona e não foi alterado em trânsito. DNSSEC não fornece um tunelamento seguro; Não criptografa ou esconde dados DNS. Ele foi projetado em compatibilidade com versões anteriores. O protocolo DNS padrão original continua a funcionar da mesma forma.

Os novos tipos de registro de recursos são: RRSIG (para assinatura digital), DNSKEY (a chave pública), DS (Delegate Signer) e NSEC (ponteiro para o próximo registro seguro). Os novos bits no cabeçalho da mensagem são: AD (para dados autenticados) e CD (verificação desativada). Um resolver de validação DNSSEC usa esses registros e esta criptografia de chave pública (assimétrica) para comprovar a integridade dos dados no DNS. Uma chave privada (específica para uma zona) é usada para criptografar um hash de um conjunto de registros de recursos - esta é a assinatura digital armazenada em um registro RRSIG.

A chave pública correspondente é armazenada no registro de recurso DNSKEY. O resolver de validação usa esse DNSKEY para descriptografar o RRSIG e, em seguida, compara o resultado com o hash do conjunto de registros de recursos correspondente para verificar se ele não foi alterado. Um hash do DNSKEY público é armazenado em um registro DS. Isso é armazenado na zona parent. O resolver de validação recupera do parent o registro DS e sua assinatura correspondente (RRSIG) e chave pública (DNSKEY); Uma hash dessa chave pública está disponível em seu parent. Isso se torna uma cadeia de confiança - também chamada de cadeia de autenticação. O resolver de validação é configurado com uma âncora de confiança - este é o ponto de partida que se refere a uma zona assinada. A âncora de confiança é uma gravação DNSKEY ou DS e deve ser recuperada com segurança de uma fonte confiável (não usando o DNS).