\section{Signaturen}
+% \begin{frame}
+% \frametitle{ZSK, KSK}
+% \begin{itemize}
+% \item \texttt[KSK] ``KeySigningKey'' -- wird in der übergeordneten
+% Zone referenziert und signiert alle Schlüssel \emph{in} der Zone
+% \pause
+% \item \texttt[ZSK] ``ZoneSigningKey'' -- wird durch den \texttt{KSK}
+% authorisiert und signiert weitere Einträge
+% \pause\bigskip
+% \item Normalerweise gibt es \emph{einen} KSK und \emph{zwei} ZSKs in
+% einer Zone
+% \end{itemize}
+% \end{frame}
+
\begin{frame}
- \frametitle{ZSK, KSK}
- \begin{itemize}
- \item \texttt[KSK] ``KeySigningKey'' -- wird in der übergeordneten
+ \begin{description}
+ \item[KSK] ``KeySigningKey'' -- wird in der übergeordneten
Zone referenziert und signiert alle Schlüssel \emph{in} der Zone
- \pause
- \item \texttt[ZSK] ``ZoneSigningKey'' -- wird durch den \texttt{KSK}
+ \item[ZSK] ``ZoneSigningKey'' -- wird durch den \texttt{KSK}
authorisiert und signiert weitere Einträge
- \pause\bigskip
- \item Normalerweise gibt es \emph{einen} KSK und \emph{zwei} ZSKs in
- einer Zone
- \end{itemize}
-\end{frame}
-
-\begin{frame}
+ \end{description}
\begin{figure}
\centering
\begin{tikzpicture}[scale=1.2]
\frametitle{Schlüsseltausch}
\begin{block}{Idee}
Wechsle die Schlüssel regelmäßig. Damit lassen sich auch kleine,
- effizienter verwendbare Schlüssel verwenden (DNS verwendet
- UDP!). Auch in Sachen ``Revocation'' nützlich
+ effizientere Schlüssel verwenden (DNS verwendet UDP!). Auch in
+ Sachen ``Revocation'' nützlich
\end{block}
\bigskip\pause
Schlüssel wechseln in DNS ist nicht so einfach: \pause Stichpunkt
%TODO Why
\begin{frame}<1>[label=nsec]
- \frametitle{NSEC}
+ \frametitle{NSEC (Next SECure}
\begin{itemize}
\item<1-> Bilde einen Kreis, der alle vorhandenen Einträge umfasst
\item<2-> Speichere signierte Feststellung, dass zwischen zwei Namen
\end{itemize}
\end{frame}
-\begin{frame}<-2>[label=ring]
+\begin{frame}<-3>[label=ring]
\begin{figure}
\centering
\begin{tikzpicture}[scale=0.9]
- \onslide<2>{
+ \onslide<3>{
\fill[debianred!10] (165:17mm) arc (165:215:17mm) -- (215:27mm)
arc (215:165:27mm) -- cycle;
(201:29mm) arc (201:155:29mm);
}
- \onslide<5>{
+ \onslide<6>{
\fill[debianred!10] (123:17mm) arc (123:172:17mm) -- (172:27mm)
arc (172:123:27mm) -- cycle;
6/wot/thm6\dots/webdav,
7/www/uv8c\dots/annex}%
{
- \node[font=\bfseries](node\sector) at ({45 * (-\sector - .5)}: 22mm) {\alt<-3>{\sectorlabel}{\hash}};
+ \node[font=\bfseries](node\sector) at ({45 * (-\sector - .5)}: 22mm) {\alt<-4>{\sectorlabel}{\hash}};
\draw[->, >=latex] ({45 * (-\sector - .5)-10}:22mm)
arc ({45 * (-\sector - .5) - 10}:{45 * (-\sector-1)- 10}:22mm);
- \onslide<4->{
+ \onslide<5->{
\node[font=\bfseries, circle, fill=debianblue!50, text=darkgray](hash\sector) at ({45 * (-\sector -
.5) + 15}:32mm) {H};
\draw[arrow, draw=darkgray] (orig\sector) -- (hash\sector);)
}
}
- \node[font=\bfseries, left=8em of node3](null) {null};
- \onslide<-2>{
+ \onslide<2->{
+ \node[font=\bfseries, left=8em of node3](null) {null};
+ }
+ \onslide<2-3>{
\draw[arrow] (null.east) -- ([yshift=1.5em]node3.west);
}
- \onslide<4->{
+ \onslide<5->{
\node[font=\bfseries, circle, fill=debianblue!50, above=3em
of null.north, xshift=2em, text=darkgray] (H) {H};
\draw[arrow, draw=darkgray] (null) -- (H);
\end{block}
\end{frame}
-\againframe<3->{ring}
+\againframe<4->{ring}
\againframe<2->{nsec3}
\item Für die kürzeste, nicht mehr existente Oberdomäne zur
Anfrage, den \texttt{NSEC3}-Eintrag, der das Intervall überspannt.
\item den um eine Komponente gekürzten \texttt{NSEC3}-Eintrag, der
- entweder auch das Flag für \texttt{SOA} oder \emph{keinen}
- \texttt{NS}-Eintrag enthält.\pause
+ entweder \emph{keinen} \texttt{NS}-Eintrag oder auch das Flag
+ für \texttt{SOA} enthält.\pause
\item den \texttt{NSEC3}-Eintrag, der das Fehlen eines
Wildcard-Eintrags an dieser Stelle nachweist.
\end{itemize}
erstellen und gelegentlich erneuern
\item Müssen die \texttt{NSEC3}- und \texttt{NSEC3PARAM}-Einträge
erstellen und signieren
- \item Müssen möglichkeit zum Schlüsseltausch beiten
+ \item Sollten möglichkeit zum Schlüsseltausch beiten
\end{itemize}
\end{block}\pause
\begin{block}{Registrar}
Rechenbedarf für \texttt{NSEC3}, die signifikant Resourcen
verbrauchen.
- $\Rightarrow$ Selber hosten (mit Freunden) oder beim Registrar schauen.
+ $\Rightarrow$ Selber hosten (mit Freunden), beim Registrar schauen
+ oder bezahlen.
\end{block}
\end{frame}
\end{frame}
\begin{frame}{Fragen?}
- Download: https://git.siccegge.de/?p=talk/dnssec.git
+ Download: https://static.siccegge.de/talks/dnssec-erlug-2015-02-28.pdf\\
+ https://git.siccegge.de/?p=talk/dnssec.git
+
\vspace*{\fill}
\begin{center}
\includegraphics[width=7cm]{images/42.pdf}
projects / talk / dnssec.git / commitdiff