Vlákno názorů k článku Bezpečné DNS od Pavel Satrapa - Jak DNSSEC řeší ověření autentičnosti klíče bude popsáno...

Jak DNSSEC řeší ověření autentičnosti klíče bude popsáno v pokračování. Jak už naznačil Michal Kara, jedná se o zřetězení klíčů, kdy vyšší doména umožňuje ověřit pravost klíče své podřízené. Klient pak musí mít k dispozici důvěryhodný klíč ke kořeni doménové hierarchie, kterým ověří cokoli (samozřejmě za předpokladu, že celá cesta mezi kořenem a ověřovanou doménou podporuje DNSSEC).

Ja myslel, ze to resi certifikaty a system certifikacnich autorit. Za uspokojive reseni se povazuje to, ze se nakonec musi duverovat jen jedne nejvyssi certifikacni autorite. Nebo v cem ten problem vidite?

Neni problem udelat hiearchii klicu zacinajici na ROOT DNS a jdoucich pres TLD k jednotlivym nameserverum.

Byla by s tim spousta papirovani (zvlast na urovni spravce TLD => jednotlive nameservery pro domeny), ale dalo by se to zaridit.

Jojo. To je zakladni princip kryptografie zalozene na verejnem/soukromem klici :-)

no me zas neco nedochazi,.. k tomu verejnemu klici nemohu vygenerovat jiny soukromi klic, ktery mu bude odpovidat?

Slabinou vsech [prehanim jen malinko] velkych systemu s soukromymi/verejnymi klici je management tech verejnych klicu.

Z toho, co se ve clanku pise, jsem porozumel, ze jeden obtizny problem "jak zjistit, ze DNS informace jsou autenticke" jsem prevedl na druhy obtizny problem "jak zjistit, ze verejny klic je autenticky". Nejsem si vedom toho, ze druhy problem ma uspokojive obecne reseni.