Registrar-Seminar
RegistrarprotokollPGP – digitale Signaturen
NameserverEPP
Mark Hofstetter
Januar 2007
Registrar-Seminar
Pretty Good Privacy
bezeichnet eine Gruppe von asymmetrischen Verschlüsselungsmechanismen, die in verschiedenen (untereinander kompatiblen) Programmen zum Einsatz kommen
"asymmetrisch" bedeutet, es existiert ein zusammengehöriges Schlüsselpaar,
ein öffentlicher (public) und ein geheimer (private) Key
Registrar-Seminar
Programme: GnuPG (gpg v1.4.1), Kommandozeile
eine freie Implementierung des Standards http://www.gnupg.org
PGPfreeware (pgp v8.0.2), graphische Oberflächedie Entwicklung wird nun wieder fortgesetzt http://www.pgpi.org
GnuPP/WinPA (v0.5.13), incl. plug-in für Outlookbaut auf GnuPG auf und bietet graphische Oberfläche (Achtung: Bug - Versionsnummer)http://www.gnupp.de
Schlüssel und signierte Dokumente sindzwischen den Programmen austauschbar
Registrar-Seminar
Einsatzzwecke :
Verschlüsselung
Schutz vertraulicher Inhalte vor dem unbefugten Zugriff
für System aber nicht zu bearbeiten
Authentifizierung
Sicherstellen der Unversehrtheit und Herkunft eines Dokuments
Text selbst bleibt weiterhin lesbar
Registrar-Seminar
Schlüsselerstellung: enthält Name, email-Adresse (optional) verwendet definierten Algorithmus (z.B. RSA) hat eine bestimmte Länge (z.B. 2048 bits) hat einen Gültigkeitszeitraum (z.B. ewig) wird aus echten Zufallszahlen generiert hat einen eindeutigen key fingerprint gültig in Kombination mit der passphrase
Registrar-Seminar
Funktionen:
private public passphrase
signieren X X
verifizieren X
verschlüsseln X
entschlüsseln X X
Registrar-Seminar
Signieren: Erstellen einer Datei od. email Aufruf des PGP-Programms bzw.
des plug-ins für den Mail-Clienten Eingabe des Paßwortes
jede nachträgliche Veränderung der Daten macht die Signatur ungültig!
Registrar-Seminar
Praktische Aspekte größter Unsicherheitsfaktor:
Wahl des und Umgang mit dem Passwort! nachträgliche „Bearbeitung“ des signierten Textes HTML-Formatierungen, Zeilenlänge und
Zeichensätze durch die Mailprogramme(speziell bei Outlook default-Einstellungen)
Unterschiede von pgp und gpg beim Umgang mit dem Tabulator (insbesondere am Zeilenende)
GnuPA funktioniert nicht korrekt (Version 0.5) Einsatz eines dem Empfänger unbekannten Keys
Registrar-Seminar
Notifies keine Notifies bei
falsche/ungültige PGP Signaturfalsches Subjectkorruptes XML
Registrar-Seminar
Befehle pgp +force -z PASSPHRASE -sta FILE
gpg --no-tty --no-secmem-warning --force-v3-sigs-u 3DC2AE5C --passphrase-fd 0< .PASSPHRASEFILE --clearsign FILE
Registrar-Seminar
Nameservercheck - Template alle konfigurierten Nameserver
müssen im Template und im DNS sein
mindestens 2 verschiedene IP Adressen
bei Glue-Records müssen alle im DNS eingetragenen IP Adressen auch im Template sein
Registrar-Seminar
Nameservercheck bei Glue-Records müssen alle IP
Adressen antworten alle Nameserver Hostnamen (+ SOA
für die Zone) müssen bei der NS Abfrage nach dem Domainnamen auf den authoritativen Hosts zurückgeliefert werden (mit aa-flag)
Registrar-Seminar
Nameservercheck der MNAME im SOA-RR muß gültig
sein die Mailadresse(n) im SOA-RR
müssen gültig sein, d.h. RFC 2822 zusätzliche zu 2 IPv4 Adressen
können IPv6 Adressen angeben werden
Registrar-Seminar
EPP – Hintergrund „Extensible Provisioning Protocol“ Automatisierte und standardisierte
Kommunikation zwischen Registries und Registraren
Vorerst für Domains, anderes denk- und machbar (-> „extensible“).
XML-basierthttp://www.ietf.org/html.charters/provreg-charter.html
Registrar-Seminar
EPP – Hintergrund II epp ist ein
Protokoll mit aufrechter Verbindung
epp ist „Echtzeit“
?xml version="1.0" encoding="UTF-8" standalone="no"?><epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> <command> <create> <contact:create xmlns:contact="urn:ietf:params:xml:ns:contact-1.0" xsi:schemaLocation="urn:ietf:params:xml:ns:contact-1.0 contact-1.0.xsd"> <contact:id>AUTO</contact:id> <contact:postalInfo type="int"> <contact:name>John Doe</contact:name> <contact:org>Example Inc.</contact:org> <contact:addr> <contact:street>123 Example Dr.</contact:street>
Registrar-Seminar
Registrar-Prozesse heute
.bla
.blu
.blo
.ble
.blu
.bla
"Kochrezepte"
firma.blafirma.blefirma.blu
Registries
RegistrarRegistrant
Antrag
Antrag
Antrag
Registrar-Seminar
Registrar-Prozess mit EPP
.bla
.blu
.blo
"Kochrezept"
firma.blafirma.blefirma.blu
EPP-Registries
RegistrarRegistrant
EPP
EPP
EPP
EPP
Registrar-Seminar
epp im Detail I
jede Kommunikation beginnt mit einem login
<?xml version="1.0" encoding="UTF-8" standalone="no"?> <epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> <command> <login> <clID>regid</clID> <pw>passwort</pw> <options> <version>1.0</version> <lang>en</lang> </options> <svcs> <objURI>foo</objURI> <objURI>bar</objURI> <objURI>baz</objURI> <svcExtension> <extURI>flurble</extURI> </svcExtension> </svcs> </login> <clTRID>ABC-12345</clTRID> </command> </epp>
Registrar-Seminar
epp im Detail II
jedes client Kommando wird vom Server „beantwortet“
<?xml version="1.0" encoding="UTF-8" standalone="no" ?><epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> <response> <result code="1000"> <msg>Command completed successfully</msg> </result> <trID> <clTRID>ABC-12345</clTRID> <svTRID>20060908115043467323-#-nicat</svTRID> </trID> </response></epp>
Registrar-Seminar
epp im Detail III
In jeder Session können beliebig viele Kommandos abgesetzt werden
eine Session kann beliebig lange dauern
jeder Registrar kann mehrere Sessions gleichzeitig offen halten
Registrar-Seminar
Danke für Ihre Aufmerksamkeit
Haben Sie noch Fragen?
Top Related