Интернет магазин китайских планшетных компьютеров

Компьютеры - Обсуждение участника:Таня Члек - Принцип роботи

перший варіант використання DNSSEC другий варіант використання DNSSEC

В основі дії протоколу DNSSEC лежить метод цифрового підпису відповідей на запит DNS lookup, який забезпечує недоторканність даних в системі DNS. Для цього було створено кілька типів DNS записів, в їх числі RRSIG, DNSKEY, DS і NSEC. Вся інформація про захищеному домені в системі DNSSEC певним чином зашифрована, тому може бути змінена тільки за допомогою закритого ключа шифрування. У процесі захищеного делегування домену відбувається генерація пари ключів. Інформація про ключі зберігається на первинному DNS-сервер. Закритий ключ використовується для підпису зони після кожної зміни. Цифровий підпис закритого ключа DS-запису передається адміністратору батьківського зони і підписується його закритим ключем. Таким чином організовується ланцюжок довіри. Знаючи відкритий ключ адміністратора батьківського зони можна перевірити валідність відкритого ключа будь-який з дочірніх зон.

Отримавши доступ до файлів з описом домену на первинному або вторинному серверах DNS або під час передачі даних між серверами, зловмисник не зможе внести зміни, тому що не є власником закритого ключа - будь-які несанкціоновані зміни файлів будуть відкинуті як недостовірні. Так само ні до чого не призведе спроба зловмисника послати динамічний запит на оновлення даних про домен від імені іншої системи. Кешуючий сервери провайдера і призначені для користувача системи також перевіряють достовірність змін, використовуючи відкритий ключ.