Список операций DNSSEC
Ответ, пришедший из подписанной зоны, называется подписанным ответом. Resolver, который имеет возможность проверять подписи в подписанном ответе, называется поддерживающий DNSSEC validating resolver. Прежде чем resolver сможет проверить подпись, созданную для множества ресурсных записей и полученную им в ответе, используя открытый ключ зоны, посланный в ответе, он должен установить доверие к этому открытому ключу. В DNSSEC данное требование означает, что resolver должен выполнить так называемое построение доверенной цепочки. Для этого resolver рассматривает список известных доверенных ключей (называемых trust anchors) и создает цепочку открытых ключей, с помощью которой он устанавливает доверие к открытому ключу зоны, полученному им в ответе. Для построения цепочки используется иерархия пространства имен DNS. В идеале trust anchors в resolver’е содержат открытые ключи root’а (если root-сервер поддерживает DNSSEC или открытые ключи зон, расположенных ниже в иерархии. Список trust anchors в resolver’е не строится с помощью транзакций DNS; для этого используется некоторый внешний механизм.
Процессы DNSSECописанные выше, включают несколько операций name-сервера и несколько операций resolver’а. Операциями name-сервера являются следующие:
- DNSSEC-ОР1: создание пары открытый – закрытый ключ.
- DNSSEC-ОР2: безопасное хранение закрытых ключей.
- DNSSEC-ОР3: распространение открытого ключа.
- DNSSEC-ОР4: подписывание зоны.
- DNSSEC-ОР5: обновление ключа (изменение ключа).
- DNSSEC-ОР6: переподписывание зоны.
Операциями resolver’а являются:
- DNSSEC-ОР7: конфигурирование доверенных anchors.
- DNSSEC-ОР8: создание цепочки доверия и проверка подписи.
Операции name-сервера с DNSSEC-ОР1 по DNSSEC-ОР4 и операции resolver’а DNSSEC-ОР7 и DNSSEC-ОР8 выполняются либо перед развертыванием DNSSEC, либо перед операциями обеспечения безопасности запросов и ответов (таких как обработка подписанных ответов и проверка подписей). Рассмотрим эти операции в первую очередь. Оставшиеся операции name-сервера (обновление ключа и переподписывание зоны – DNSSEC-ОР5 и DNSSEC-ОР6 соответственно) выполняются периодически после полного развертывания DNSSEC и будут приведены в конце лекции.