Интернет магазин китайских планшетных компьютеров

Компьютеры - DNSSEC - Принцип работы

Проверка подлинности данных в DNSSEC

В основе действия протокола DNSSEC лежит метод цифровой подписи ответов на запрос DNS lookup, который обеспечивает неприкосновенность данных в системе DNS. Для этого было создано несколько типов DNS записей, в их числе RRSIG, DNSKEY, DS и NSEC. Вся информация о защищенном домене в системе DNSSEC определенным образом зашифрована, поэтому может быть изменена только при помощи закрытого ключа шифрования. В процессе защищенного делегирования домена происходит генерация пары ключей. Информация о ключах хранится на первичном DNS-сервере. Закрытый ключ используется для подписи зоны после каждого изменения. С помощью DS-записи цифровая подпись открытого ключа хранится в родительской зоне. Таким образом организуется цепочка доверия. Зная открытый ключ администратора родительской зоны, можно проверить валидность открытого ключа любой из дочерних зон.

Получив доступ к файлам с описанием домена на первичном или вторичном серверах DNS или во время передачи данных между серверами, злоумышленник не сможет внести изменения, так как не является владельцем закрытого ключа — все несанкционированные изменения файлов будут отброшены как недостоверные. Так же ни к чему не приведет попытка злоумышленника послать динамический запрос на обновление данных о домене от имени другой системы. Кэширующие серверы провайдера и пользовательские системы также проверяют достоверность изменений, используя открытый ключ.