Cryptography Reference
In-Depth Information
5.
Alices DNS stellt eine Anfrage an den kryptoboerse.kl-DNS.
6.
Der kryptoboerse.kl-DNS kennt die zu www.kryptoboerse.kl gehörende IP-
Adresse und sendet sie an Alices DNS.
Durch dieses Prozedere erfährt Alices DNS bei Bedarf jede beliebige IP-Adresse
im Internet. In der Praxis wird das Verfahren meist dadurch erheblich beschleu-
nigt, dass jeder DNS auch eine große Anzahl von IP-Adressen kennt, die nicht in
seinem Einflussbereich liegen.
Funktionsweise von DNSSEC
DNSSEC sieht vor, dass alle DNS-Antworten, die Alices DNS erhält, digital sig-
niert sind (die Anfragen sind dagegen nicht signiert). Um dies zu ermöglichen,
werden in unserer Umgebung sowohl der Root-DNS als auch der kl-DNS als
auch der kryptoboerse.kl-DNS mit einem RSA-Schlüsselpaar ausgestattet. Alices
DNS kennt lediglich den öffentlichen Schlüssel des Root-DNS. Eine mit DNSSEC
abgesicherte Ermittlung einer IP-Adresse läuft wie folgt ab:
1.
Alices DNS fragt den Root-DNS nach der IP-Adresse von www.krypto-
boerse.de.
2.
Falls der Root-DNS die angefragte IP-Adresse nicht kennt, verweist er Alices
DNS auf den kl-DNS, indem er ihr dessen IP-Adresse liefert. Zusätzlich lie-
fert er Alices DNS den Hashwert des öffentlichen Schlüssels des kl-DNS (in
signierter Form).
3.
Alices DNS verifiziert die Signatur des Hashwerts mithilfe des öffentlichen
Schlüssels des Root-DNS (dieser ist ihm ja bekannt) und fragt anschließend
den kl-DNS nach der IP-Adresse von www.kryptoboerse.de.
4.
Falls der kl-DNS die angefragte IP-Adresse nicht kennt, verweist er Alice auf
den kryptoboerse.kl-DNS, indem er ihr dessen IP-Adresse liefert. Zusätzlich
liefert er Alices DNS seinen eigenen öffentlichen Schlüssel sowie den Hash-
wert des öffentlichen Schlüssels des kryptoboerse.kl-DNS (Letzteren in signier-
ter Form).
5.
Alices DNS verifiziert die Signatur mithilfe des öffentlichen Schlüssels des kl-
DNS (dessen Echtheit kann er mithilfe des Hashwerts überprüfen, den er im
zweiten Schritt erhalten hat) und fragt anschließend den kryptoboerse.kl-
DNS nach der IP-Adresse von www.kryptoboerse.de.
6.
Der kryptoboerse.kl-DNS kennt die angefragte IP-Adresse und sendet sie an
Alices DNS (in signierter Form). Zusätzlich liefert er seinen eigenen öffent-
lichen Schlüssel.
7.
Alices DNS überprüft die Signatur mithilfe des öffentlichen Schlüssels des
kryptoboerse.kl-DNS (dessen Echtheit kann er mithilfe des Hashwerts über-
prüfen, den er im vierten Schritt erhalten hat). Im positiven Fall hat er nun
die gewünschte IP-Adresse erfahren und kann zudem sicher sein, dass ihm
Mallory keine falsche Adresse untergeschoben hat.
