themortiestrick
Goto Top

Manuelle Verifizierung von DNSSEC Signaturen

Hallo liebes Administrator-Forum,

dies ist mein erster Post in diesem Forum, bitte seid nachsichtig,
falls etwas in meiner Frage fehlen sollte.

Ich möchte gerne die Funktionsweise von DNSSEC manuell in Einzelschritten auf Kommandozeile nachvollziehen.
Davon erhoffe ich mir detailierte Einsichten in die Funktionsweise von DNSSEC,
so wie die Möglichkeit eine manuelle Überprüfung in ein Skript mit einzubauen.

Ich nutze eine OpenSuse 13.1 64bit ausschließlich auf Kommandozeile.

Per dig Befehl habe ich die RRSIG Signatur so wie den DNSKEY einer DNS-Zone abgefragt und beides in einer Datei abgespeichert.
Mein Ansatz wäre nun per openssl die Signatur gegen den Hashwert des A-Records zu verifizieren.
Dazu würde ich folgenden Befehl nutzen:
openssl dgst -sha256 -verify public.key -signature zone.sig zone.sha

Leider erhalte ich folgenden Fehler:
unable to load key file

An dieser Stelle weiß ich nun nicht mehr weiter.
Wo liegt mein Fehler, oder geht mein Ansatz sogar komplett in die falsche Richtung?

Content-Key: 288790

Url: https://administrator.de/contentid/288790

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: 114757
114757 19.11.2015 aktualisiert um 12:01:15 Uhr
Goto Top
Moin,
schau mal hier rein:
DNSSEC verification with dig

Gruß jodel32
Mitglied: TheMortiestRick
TheMortiestRick 19.11.2015 um 12:39:20 Uhr
Goto Top
Hi,

zunächst einmal Danke für deine schnelle Antwort.

Ich fürchte, dass ich das in meiner Frage nicht genau ausformuliert habe,
aber mir geht es nicht in erster Linie darum DNSSEC zu nutzen bzw. die Signaturen verifizieren zu können.
Ich möchte gern in der Lage sein die Einzelschritte selbst durchführen zu können.
Mit dig kann ich die Signaturen zwar in nur einem Befehl inkl. Chain of Trust verifizieren,
allerdings wird mir dann der komplette Vorgang von dig abgenommen und ich bin dann immernoch nicht schlauer.

Etwas konkreter:
Ich habe einen DNSKEY und die dazugehörige Signatur lokal abgespeichert.
In den Einträgen sehe ich, dass es mit RSA/SHA verschlüsselt ist.
Dann müsste es doch möglich sein, losgelöst vom DNS bzw. dig, mit herkömmlichen RSA Tools diese Signatur zu verifizieren.
Das ist mir allerdings bisher nie gelungen.
Bestimmt übersehe ich da irgendetwas.

Ich hoffe das ist nun einigermaßen verständlich.


Gruß TheMortiestRick
Mitglied: 114757
114757 19.11.2015 aktualisiert um 12:44:23 Uhr
Goto Top
Nun die obige Seite besteht ja nicht nur aus dem einen "Befehl" sondern die Vorgänge dahinter werden ja auch detailliert Schritt für Schritt erläutert.

Wenn du auf die kleinsten Details bestehst zieh dir dir komplette Doku rein, da steht alles was du wissen musst:
Mitglied: aqui
aqui 20.11.2015 um 16:08:53 Uhr
Goto Top
Guckst du hier:
http://www.heise.de/ct/ausgabe/2015-23-Pruefmethoden-fuer-die-Sicherhei ...

Da ist alles erklärt wie man es macht...