DNSSEC
DNSSEC (Domain Name System Security Extensions) - набор расширений IETF протокола DNS, позволяющих минимизировать атаки, связанные с подменой DNS-адреса при разрешении доменных имён. Направлен на предоставление DNS-клиентам (термин resolver) аутентичных ответов на DNS-запросы (или аутентичную информацию о факте отсутствия данных) и обеспечение их целостности.
Принцип работы DNSSec основан на цифровой подписи. То есть закрытым ключом подписываем, открытым - сверяем. Особенность состоит в том, что DNSSec использует два типа ключей - одним подписывается зона (ZSK, zone signing key), другим подписывается набор ключей (KSK, key signing key).
У администратора имеются записи о соответствии имени домена и IP-адреса. DNSSEC ставит каждой из них в строгое соответствие специальную, строго определённую последовательность символов, которая представляет собой цифровую подпись. Главная особенность цифровой подписи в том, что есть открытые, публично доступные методы проверки достоверности подписи, а вот генерирование подписи для произвольных данных требует наличия в распоряжении подписывающего секретного ключа. Поэтому проверить подпись может каждый участник системы, но подписать новые или изменённые данные на практике может только тот, у кого есть секретный ключ.
Добавить комментарий