\section{Signaturen}
+% \begin{frame}
+% \frametitle{ZSK, KSK}
+% \begin{itemize}
+% \item \texttt[KSK] ``KeySigningKey'' -- wird in der übergeordneten
+% Zone referenziert und signiert alle Schlüssel \emph{in} der Zone
+% \pause
+% \item \texttt[ZSK] ``ZoneSigningKey'' -- wird durch den \texttt{KSK}
+% authorisiert und signiert weitere Einträge
+% \pause\bigskip
+% \item Normalerweise gibt es \emph{einen} KSK und \emph{zwei} ZSKs in
+% einer Zone
+% \end{itemize}
+% \end{frame}
+
\begin{frame}
- \frametitle{ZSK, KSK}
- \begin{itemize}
- \item \texttt[KSK] ``KeySigningKey'' -- wird in der übergeordneten
+ \begin{description}
+ \item[KSK] ``KeySigningKey'' -- wird in der übergeordneten
Zone referenziert und signiert alle Schlüssel \emph{in} der Zone
- \pause
- \item \texttt[ZSK] ``ZoneSigningKey'' -- wird durch den \texttt{KSK}
+ \item[ZSK] ``ZoneSigningKey'' -- wird durch den \texttt{KSK}
authorisiert und signiert weitere Einträge
- \pause\bigskip
- \item Normalerweise gibt es \emph{einen} KSK und \emph{zwei} ZSKs in
- einer Zone
- \end{itemize}
-\end{frame}
-
-\begin{frame}
+ \end{description}
\begin{figure}
\centering
\begin{tikzpicture}[scale=1.2]
\frametitle{Schlüsseltausch}
\begin{block}{Idee}
Wechsle die Schlüssel regelmäßig. Damit lassen sich auch kleine,
- effizienter verwendbare Schlüssel verwenden (DNS verwendet
- UDP!). Auch in Sachen ``Revocation'' nützlich
+ effizientere Schlüssel verwenden (DNS verwendet UDP!). Auch in
+ Sachen ``Revocation'' nützlich
\end{block}
\bigskip\pause
Schlüssel wechseln in DNS ist nicht so einfach: \pause Stichpunkt
%TODO Why
\begin{frame}<1>[label=nsec]
- \frametitle{NSEC}
+ \frametitle{NSEC (Next SECure)}
\begin{itemize}
\item<1-> Bilde einen Kreis, der alle vorhandenen Einträge umfasst
\item<2-> Speichere signierte Feststellung, dass zwischen zwei Namen
\end{itemize}
\end{frame}
-\begin{frame}<-2>[label=ring]
+\begin{frame}<-3>[label=ring]
\begin{figure}
\centering
\begin{tikzpicture}[scale=0.9]
- \onslide<2>{
+ \onslide<3>{
\fill[debianred!10] (165:17mm) arc (165:215:17mm) -- (215:27mm)
arc (215:165:27mm) -- cycle;
(201:29mm) arc (201:155:29mm);
}
- \onslide<5>{
- \fill[debianred!10] (123:17mm) arc (123:172:17mm) -- (172:27mm)
- arc (172:123:27mm) -- cycle;
+ \onslide<6>{
+ \fill[debianred!10] (110:17mm) arc (110:165:17mm) -- (165:27mm)
+ arc (165:110:27mm) -- cycle;
\path[decoration = {text along path, text = {NSEC3},
text align = {align = center}, raise = -0.5ex}, decorate]
}
\foreach \sector/\sectorlabel/\hash/\hashlabel in {%
- 0/annex/5kau\dots/keyserver,
- 1/backup/evj1\dots/www,
- 2/git/imua\dots/git,
- 3/keyserver/mk9e\dots/wot,
- 4/static/nq8c\dots/backup,
- 5/webdav/qp1c\dots/static,
- 6/wot/thm6\dots/webdav,
- 7/www/uv8c\dots/annex}%
+ 0/backup/evj1\dots/www,
+ 1/git/imua\dots/git,
+ 2/keyserver/mk9e\dots/wot,
+ 3/wot/nq8c\dots/backup,
+ 4/www/uv8c\dots/annex,
+ 5/annex/5kau\dots/keyserver}%
{
- \node[font=\bfseries](node\sector) at ({45 * (-\sector - .5)}: 22mm) {\alt<-3>{\sectorlabel}{\hash}};
+ \node[font=\bfseries](node\sector) at ({60 * (-\sector - .5)}: 22mm) {\alt<-4>{\sectorlabel}{\hash}};
- \draw[->, >=latex] ({45 * (-\sector - .5)-10}:22mm)
- arc ({45 * (-\sector - .5) - 10}:{45 * (-\sector-1)- 10}:22mm);
+ \draw[->, >=latex] ({60 * (-\sector - .5)-10}:22mm)
+ arc ({60 * (-\sector - .5) - 10}:{60 * (-\sector-1)- 10}:22mm);
- \onslide<4->{
- \node[font=\bfseries, circle, fill=debianblue!50, text=darkgray](hash\sector) at ({45 * (-\sector -
- .5) + 15}:32mm) {H};
+ \onslide<5->{
+ \node[font=\bfseries, circle, fill=debianblue!50, text=darkgray](hash\sector) at ({60 * (-\sector -
+ .5) + 15}:38mm) {H};
- \node[font=\bfseries](orig\sector) at ({45 * (-\sector -
- .5) + 25}: 45mm) {\hashlabel};
+ \node[font=\bfseries](orig\sector) at ({60 * (-\sector -
+ .5) + 30}: 50mm) {\hashlabel};
\draw[arrow, draw=darkgray] (hash\sector) -- (node\sector);)
\draw[arrow, draw=darkgray] (orig\sector) -- (hash\sector);)
}
}
- \node[font=\bfseries, left=8em of node3](null) {null};
- \onslide<-2>{
- \draw[arrow] (null.east) -- ([yshift=1.5em]node3.west);
+ \onslide<2->{
+ \node[font=\bfseries, left=8em of node3](null) {null};
}
- \onslide<4->{
+ \onslide<2-3>{
+ \draw[arrow] (null.east) -- ([yshift=3em]node2.west);
+ }
+ \onslide<5->{
\node[font=\bfseries, circle, fill=debianblue!50, above=3em
of null.north, xshift=2em, text=darkgray] (H) {H};
\draw[arrow, draw=darkgray] (null) -- (H);
- \draw[arrow] (H) to node[above,font=\bfseries]{qfna\dots} ([yshift=1.5em]node4.north);
+ \draw[arrow] (H) to node[above,font=\bfseries]{qfna\dots} ([yshift=1.5em]node3.north);
}
\end{tikzpicture}
\end{figure}
\end{block}
\end{frame}
-\againframe<3->{ring}
+\againframe<4->{ring}
\againframe<2->{nsec3}
\begin{itemize}
\item Für die kürzeste, nicht mehr existente Oberdomäne zur
Anfrage, den \texttt{NSEC3}-Eintrag, der das Intervall überspannt.
- \item den um eine Komponente gekürzten \texttt{NSEC3}-Eintrag, der
- entweder auch das Flag für \texttt{SOA} oder \emph{keinen}
- \texttt{NS}-Eintrag enthält.\pause
- \item den \texttt{NSEC3}-Eintrag, der das Fehlen eines
+ \item Den um eine Komponente gekürzten \texttt{NSEC3}-Eintrag, der
+ entweder \emph{keinen} \texttt{NS}-Eintrag oder auch das Flag
+ für \texttt{SOA} enthält.\pause
+ \item Den \texttt{NSEC3}-Eintrag, der das Fehlen eines
Wildcard-Eintrags an dieser Stelle nachweist.
\end{itemize}
\end{block}
erstellen und gelegentlich erneuern
\item Müssen die \texttt{NSEC3}- und \texttt{NSEC3PARAM}-Einträge
erstellen und signieren
- \item Müssen möglichkeit zum Schlüsseltausch beiten
+ \item Sollten Möglichkeit zum Schlüsseltausch beiten
\end{itemize}
\end{block}\pause
\begin{block}{Registrar}
Rechenbedarf für \texttt{NSEC3}, die signifikant Resourcen
verbrauchen.
- $\Rightarrow$ Selber hosten (mit Freunden) oder beim Registrar schauen.
+ $\Rightarrow$ Selber hosten (mit Freunden), beim Registrar schauen
+ oder bezahlen.
\end{block}
\end{frame}
\end{frame}
\begin{frame}{Fragen?}
- Download: https://git.siccegge.de/?p=talk/dnssec.git
+ Download: https://static.siccegge.de/talks/dnssec-augsburg-2015-03-28.pdf\\
+ https://git.siccegge.de/?p=talk/dnssec.git
+
\vspace*{\fill}
\begin{center}
\includegraphics[width=7cm]{images/42.pdf}
projects / talk / dnssec.git / blobdiff