TSIG - LinkFang.de





TSIG


Ziel von TSIG (Transaction SIGnature) ist es, Authentizität von DNS-Partnern sicherzustellen und die Datenintegrität bei Transaktionen zu gewährleisten. Ein DNS-Teilnehmer soll damit verifizieren können, dass der Partner, mit dem er kommuniziert auch tatsächlich der ist, der er vorgibt zu sein und dass empfangene DNS-Nachrichten auf dem Transportweg nicht verfälscht wurden. TSIG wird hauptsächlich bei der Server-Server-Kommunikation eingesetzt und weniger bei der Client-Server-Kommunikation (Ausnahme: Dynamic Updates).

Eine Verschlüsselung von DNS-Daten ist im Rahmen von TSIG nicht vorgesehen. Da DNS-Informationen grundsätzlich der Öffentlichkeit zur Verfügung gestellt werden, würde eine Verschlüsselung keinen nennenswerten Sicherheitsgewinn bedeuten.

Überblick

Bei TSIG besitzen zwei oder mehr DNS-Server, die miteinander kommunizieren, den gleichen Schlüssel (symmetrischer Schlüssel, geteiltes Geheimnis), der manuell konfiguriert wird. Werden zwischen TSIG-Servern Daten ausgetauscht (z. B. beim Zonentransfer oder bei rekursiven Abfragen), so wird von jedem übertragenen DNS-Paket der MD5-Hash gebildet und in einem speziellen TSIG Resource Record angehängt. Der Empfänger führt mit seinem Schlüssel die gleiche MD5-Operation durch und vergleicht die beiden Unterschriften. Sind sie identisch, so stammen die Daten vom gewünschten Partner und wurden nicht verfälscht.

TSIG Resource Record

Beim TSIG-RR handelt es sich um einen so genannten Meta-RR, der dynamisch vor Absenden einer DNS-Message erzeugt und nach Empfang und Auswertung verworfen wird. Er taucht weder in Zonenfiles noch in DNS-Caches auf.

Ein TSIG Resource Record besteht aus den folgenden Feldern:

  • Name (Name des Schlüssels)
  • Typ (immer TSIG)
  • Class (immer ANY)
  • TTL (immer 0)
  • Länge
  • Daten (digitale Unterschrift und weitere Angaben)

Anhand des Namens kann zwischen verschiedenen Schlüsseln unterschieden werden. Es ist dadurch möglich, zwischen zwei Partnern mehrere Schlüssel zu vereinbaren. Das hat vor allem bei Änderungen Sinn, da man dadurch eine Zeit lang den alten und den neuen Schlüssel parallel verwenden kann.

Bewertung

TSIG ist deutlich einfacher zu handhaben als DNSSEC und bietet sich in Umgebungen mit nur wenigen Servern an. Sind zu viele Server beteiligt, steigt der Administrationsaufwand stark an. Hier haben Public-Key-Verfahren wie etwa DNSSEC Vorteile, da die Schlüsselverteilung sehr viel einfacher ist.

Referenz

  • RFC 2845 (Secret Key Transaction Authentication for DNS)

Kategorien: Domain Name System

Quelle: Wikipedia - http://de.wikipedia.org/wiki/TSIG (Vollständige Liste der Autoren des Textes [Versionsgeschichte])    Lizenz: CC-by-sa-3.0

Änderungen: Alle Bilder mit den meisten Bildunterschriften wurden entfernt. Ebenso alle zu nicht-existierenden Artikeln/Kategorien gehenden internen Wikipedia-Links (Bsp. Portal-Links, Redlinks, Bearbeiten-Links). Entfernung von Navigationsframes, Geo & Normdaten, Mediadateien, gesprochene Versionen, z.T. ID&Class-Namen, Style von Div-Containern, Metadaten, Vorlagen, wie lesenwerte Artikel. Ansonsten sind keine Inhaltsänderungen vorgenommen worden. Weiterhin kann es durch die maschinelle Bearbeitung des Inhalts zu Fehlern gerade in der Darstellung kommen. Darum würden wir jeden Besucher unserer Seite darum bitten uns diese Fehler über den Support mittels einer Nachricht mit Link zu melden. Vielen Dank!

Stand der Informationen: August 201& - Wichtiger Hinweis: Da die Inhalte maschinell von Wikipedia übernommen wurden, ist eine manuelle Überprüfung nicht möglich. Somit garantiert LinkFang.de nicht die Richtigkeit und Aktualität der übernommenen Inhalte. Sollten die Informationen mittlerweile fehlerhaft sein, bitten wir Sie darum uns per Support oder E-Mail zu kontaktieren. Wir werden uns dann innerhalb von spätestens 10 Tagen um Ihr Anliegen kümmern. Auch ohne Anliegen erfolgt mindestens alle drei Monate ein Update der gesamten Inhalte.