Registrar-Seminar Registrarprotokoll PGP – digitale Signaturen Nameserver EPP Mark Hofstetter Januar 2007
Registrar-Seminar Pretty Good Privacy bezeichnet eine Gruppe von asymmetrischen Verschlüsselungsmechanismen, die in verschiedenen (untereinander kompatiblen) Programmen zum Einsatz kommen "asymmetrisch" bedeutet, es existiert ein zusammengehöriges Schlüsselpaar, ein öffentlicher (public) und ein geheimer (private) Key
Registrar-Seminar Programme: GnuPG (gpg v1.4.1), Kommandozeile eine freie Implementierung des Standards PGPfreeware (pgp v8.0.2), graphische Oberfläche die Entwicklung wird nun wieder fortgesetzt GnuPP/WinPA (v0.5.13), incl. plug-in für Outlook baut auf GnuPG auf und bietet graphische Oberfläche (Achtung: Bug - Versionsnummer) Schlüssel und signierte Dokumente sind zwischen den Programmen austauschbar
Registrar-Seminar Einsatzzwecke : Verschlüsselung Schutz vertraulicher Inhalte vor dem unbefugten Zugriff für System aber nicht zu bearbeiten Authentifizierung Sicherstellen der Unversehrtheit und Herkunft eines Dokuments Text selbst bleibt weiterhin lesbar
Registrar-Seminar Schlüsselerstellung: enthält Name, -Adresse (optional) verwendet definierten Algorithmus (z.B. RSA) hat eine bestimmte Länge (z.B bits) hat einen Gültigkeitszeitraum (z.B. ewig) wird aus echten Zufallszahlen generiert hat einen eindeutigen key fingerprint gültig in Kombination mit der passphrase
Registrar-Seminar Funktionen: privatepublicpassphrase signieren XX verifizieren X verschlüsseln X entschlüsseln XX
Registrar-Seminar Signieren: Erstellen einer Datei od. Aufruf des PGP-Programms bzw. des plug-ins für den Mail-Clienten Eingabe des Paßwortes jede nachträgliche Veränderung der Daten macht die Signatur ungültig!
Registrar-Seminar Praktische Aspekte größter Unsicherheitsfaktor: Wahl des und Umgang mit dem Passwort! nachträgliche „Bearbeitung“ des signierten Textes HTML-Formatierungen, Zeilenlänge und Zeichensätze durch die Mailprogramme (speziell bei Outlook default-Einstellungen) Unterschiede von pgp und gpg beim Umgang mit dem Tabulator (insbesondere am Zeilenende) GnuPA funktioniert nicht korrekt (Version 0.5) Einsatz eines dem Empfänger unbekannten Keys
Registrar-Seminar Notifies keine Notifies bei falsche/ungültige PGP Signatur falsches Subject korruptes XML
Registrar-Seminar Befehle pgp +force -z PASSPHRASE -sta FILE gpg --no-tty --no-secmem-warning -- force-v3-sigs -u 3DC2AE5C --passphrase-fd 0 <.PASSPHRASEFILE --clearsign FILE
Registrar-Seminar Nameservercheck - Template alle konfigurierten Nameserver müssen im Template und im DNS sein mindestens 2 verschiedene IP Adressen bei Glue-Records müssen alle im DNS eingetragenen IP Adressen auch im Template sein
Registrar-Seminar Nameservercheck bei Glue-Records müssen alle IP Adressen antworten alle Nameserver Hostnamen (+ SOA für die Zone) müssen bei der NS Abfrage nach dem Domainnamen auf den authoritativen Hosts zurückgeliefert werden (mit aa-flag)
Registrar-Seminar Nameservercheck der MNAME im SOA-RR muß gültig sein die Mailadresse(n) im SOA-RR müssen gültig sein, d.h. RFC 2822 zusätzliche zu 2 IPv4 Adressen können IPv6 Adressen angeben werden
Registrar-Seminar EPP – Hintergrund „Extensible Provisioning Protocol“ Automatisierte und standardisierte Kommunikation zwischen Registries und Registraren Vorerst für Domains, anderes denk- und machbar (-> „extensible“). XML-basiert
Registrar-Seminar EPP – Hintergrund II epp ist ein Protokoll mit aufrechter Verbindung epp ist „Echtzeit“ ?xml version="1.0" encoding="UTF-8" standalone="no"?> <epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi=" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> <contact:create xmlns:contact="urn:ietf:params:xml:ns:contact-1.0" xsi:schemaLocation="urn:ietf:params:xml:ns:contact-1.0 contact-1.0.xsd"> AUTO John Doe Example Inc. 123 Example Dr.
Registrar-Seminar Registrar-Prozesse heute
Registrar-Seminar Registrar-Prozess mit EPP
Registrar-Seminar epp im Detail I jede Kommunikation beginnt mit einem login <epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi=" instance" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd"> regid passwort 1.0 en foo bar baz flurble ABC-12345
Registrar-Seminar epp im Detail II jedes client Kommando wird vom Server „beantwortet“ Command completed successfully ABC #-nicat
Registrar-Seminar epp im Detail III In jeder Session können beliebig viele Kommandos abgesetzt werden eine Session kann beliebig lange dauern jeder Registrar kann mehrere Sessions gleichzeitig offen halten
Registrar-Seminar Danke für Ihre Aufmerksamkeit Haben Sie noch Fragen?