Registrar-Seminar

RegistrarprotokollPGP – digitale Signaturen

NameserverEPP

Mark Hofstetter

Januar 2007

Registrar-Seminar

Pretty Good Privacy

bezeichnet eine Gruppe von asymmetrischen Verschlüsselungsmechanismen, die in verschiedenen (untereinander kompatiblen) Programmen zum Einsatz kommen

"asymmetrisch" bedeutet, es existiert ein zusammengehöriges Schlüsselpaar,

ein öffentlicher (public) und ein geheimer (private) Key

Registrar-Seminar

Programme: GnuPG (gpg v1.4.1), Kommandozeile

eine freie Implementierung des Standards http://www.gnupg.org

PGPfreeware (pgp v8.0.2), graphische Oberflächedie Entwicklung wird nun wieder fortgesetzt http://www.pgpi.org

GnuPP/WinPA (v0.5.13), incl. plug-in für Outlookbaut auf GnuPG auf und bietet graphische Oberfläche (Achtung: Bug - Versionsnummer)http://www.gnupp.de

Schlüssel und signierte Dokumente sindzwischen den Programmen austauschbar

Registrar-Seminar

Einsatzzwecke :

Verschlüsselung

Schutz vertraulicher Inhalte vor dem unbefugten Zugriff

für System aber nicht zu bearbeiten

Authentifizierung

Sicherstellen der Unversehrtheit und Herkunft eines Dokuments

Text selbst bleibt weiterhin lesbar

Registrar-Seminar

Schlüsselerstellung: enthält Name, email-Adresse (optional) verwendet definierten Algorithmus (z.B. RSA) hat eine bestimmte Länge (z.B. 2048 bits) hat einen Gültigkeitszeitraum (z.B. ewig) wird aus echten Zufallszahlen generiert hat einen eindeutigen key fingerprint gültig in Kombination mit der passphrase

Registrar-Seminar

Funktionen:

private public passphrase

signieren X X

verifizieren X

verschlüsseln X

entschlüsseln X X

Registrar-Seminar

Signieren: Erstellen einer Datei od. email Aufruf des PGP-Programms bzw.

des plug-ins für den Mail-Clienten Eingabe des Paßwortes

jede nachträgliche Veränderung der Daten macht die Signatur ungültig!

Registrar-Seminar

Praktische Aspekte größter Unsicherheitsfaktor:

Wahl des und Umgang mit dem Passwort! nachträgliche „Bearbeitung“ des signierten Textes HTML-Formatierungen, Zeilenlänge und

Zeichensätze durch die Mailprogramme(speziell bei Outlook default-Einstellungen)

Unterschiede von pgp und gpg beim Umgang mit dem Tabulator (insbesondere am Zeilenende)

GnuPA funktioniert nicht korrekt (Version 0.5) Einsatz eines dem Empfänger unbekannten Keys

Registrar-Seminar

Notifies keine Notifies bei

falsche/ungültige PGP Signaturfalsches Subjectkorruptes XML

Registrar-Seminar

Befehle pgp +force -z PASSPHRASE -sta FILE

gpg --no-tty --no-secmem-warning --force-v3-sigs-u 3DC2AE5C --passphrase-fd 0< .PASSPHRASEFILE --clearsign FILE

Registrar-Seminar

Nameservercheck - Template alle konfigurierten Nameserver

müssen im Template und im DNS sein

mindestens 2 verschiedene IP Adressen

bei Glue-Records müssen alle im DNS eingetragenen IP Adressen auch im Template sein

Registrar-Seminar

Nameservercheck bei Glue-Records müssen alle IP

Adressen antworten alle Nameserver Hostnamen (+ SOA

für die Zone) müssen bei der NS Abfrage nach dem Domainnamen auf den authoritativen Hosts zurückgeliefert werden (mit aa-flag)

Registrar-Seminar

Nameservercheck der MNAME im SOA-RR muß gültig

sein die Mailadresse(n) im SOA-RR

müssen gültig sein, d.h. RFC 2822 zusätzliche zu 2 IPv4 Adressen

können IPv6 Adressen angeben werden

Registrar-Seminar

EPP – Hintergrund „Extensible Provisioning Protocol“ Automatisierte und standardisierte

Kommunikation zwischen Registries und Registraren

Vorerst für Domains, anderes denk- und machbar (-> „extensible“).

XML-basierthttp://www.ietf.org/html.charters/provreg-charter.html

Registrar-Seminar

EPP – Hintergrund II epp ist ein

Protokoll mit aufrechter Verbindung

epp ist „Echtzeit“

?xml version="1.0" encoding="UTF-8" standalone="no"?><epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> <command> <create> <contact:create xmlns:contact="urn:ietf:params:xml:ns:contact-1.0" xsi:schemaLocation="urn:ietf:params:xml:ns:contact-1.0 contact-1.0.xsd"> <contact:id>AUTO</contact:id> <contact:postalInfo type="int"> <contact:name>John Doe</contact:name> <contact:org>Example Inc.</contact:org> <contact:addr> <contact:street>123 Example Dr.</contact:street>

Registrar-Seminar

Registrar-Prozesse heute

.bla

.blu

.blo

.ble

.blu

.bla

"Kochrezepte"

firma.blafirma.blefirma.blu

Registries

RegistrarRegistrant

Antrag

Antrag

Antrag

Registrar-Seminar

Registrar-Prozess mit EPP

.bla

.blu

.blo

"Kochrezept"

firma.blafirma.blefirma.blu

EPP-Registries

RegistrarRegistrant

EPP

EPP

EPP

EPP

Registrar-Seminar

epp im Detail I

jede Kommunikation beginnt mit einem login

<?xml version="1.0" encoding="UTF-8" standalone="no"?> <epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> <command> <login> <clID>regid</clID> <pw>passwort</pw> <options> <version>1.0</version> <lang>en</lang> </options> <svcs> <objURI>foo</objURI> <objURI>bar</objURI> <objURI>baz</objURI> <svcExtension> <extURI>flurble</extURI> </svcExtension> </svcs> </login> <clTRID>ABC-12345</clTRID> </command> </epp>

Registrar-Seminar

epp im Detail II

jedes client Kommando wird vom Server „beantwortet“

<?xml version="1.0" encoding="UTF-8" standalone="no" ?><epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> <response> <result code="1000"> <msg>Command completed successfully</msg> </result> <trID> <clTRID>ABC-12345</clTRID> <svTRID>20060908115043467323-#-nicat</svTRID> </trID> </response></epp>

Registrar-Seminar

epp im Detail III

In jeder Session können beliebig viele Kommandos abgesetzt werden

eine Session kann beliebig lange dauern

jeder Registrar kann mehrere Sessions gleichzeitig offen halten

Registrar-Seminar

Danke für Ihre Aufmerksamkeit

Haben Sie noch Fragen?