FAQ - Was ist ein OPENPGPKEY (TYPE61) DNS-Record und wie wird er erstellt?
Achtung! Benutzen Sie immer den öffentlichen Schlüssel. Dieser beginnt mit "-----BEGIN PGP PUBLIC KEY BLOCK-----". Auf keinen Fall dürfen Sie Ihren privaten Schlüssel veröffentlichen oder in irgendwelche Formulare eingeben.
Hinweis: Beide Varianten bilden den PGP Schlüssel so im DNS ab wie Sie ihn liefern. Da in einem öffentlichen PGP Schlüssel noch viele weitere Informationen gespeichert werden wie z.B. ein Bild und diverse Unterschriften für den PGP Schlüssel, kann er zu groß für das DNS-System werden. Wenn Sie die GnuPG Software verwenden, können Sie nur eine Minimale Version des Schlüssels mit der Option "--export-options export-minimal" exportieren.
Erstellung mittels Assistent
Um einen DNS-Record des Types OPENPGPKEY zu erstellen, nutzen Sie am besten den Assistenten aus der Zonenansicht im Webinterface.
Nach der Eingabe der E-Mail-Adresse sowie des Öffentlichen PGP-Schlüssels, wird automatisch der passende DNS-Record erstellt.
Zusätzlich kann automatisch ein CERT-Record erstellt werden. Im Gegensatz von OPENPGPKEY werden CERT-Records bereits von einigen Softwareimplementierungen unterstützt. Da der lokale Teil einer E-Mail-Adresse hier allerdings als Klartext im DNS hinterlegt wird, kann es sein, dass dieser aufgrund ungültiger Zeichen nicht erstellt werden kann.
Erstellung von Hand
Erstellung des RR-Namen
- Erstellen Sie einen SHA256 Hash des lokalen Teils der E-Mails-Adresse.
- Der lokale Teil ist der Teil vor dem @ Zeichen.
- Er muss zudem in UTF-8 kodiert sein.
- Schneiden Sie den daraus resultierten Hash nach 28 Oktetts ab.
- Dies entspricht 56 Hexadezimalzeichen.
- Wandeln Sie den Hash in eine Hexadezimalzeichenkette um sofern er nicht bereits als solche vorliegt.
- Fügen Sie dem Hash die folgende Zeichenkette an: "._openpgpkey." gefolgt von dem Domainnamen in IDN Schreibweise und einem abschließenden Punkt.
00d8d3f11739d2f3537099982b4674c29fc59a8fda350fca1379613a._openpgpkey.example.com.
Erstellung des Datenfeldes
- Exportieren Sie den zu verwendenden Öffentlichen Key im Radix64 Format (ASCII Armor).
- Fügen Sie diesen in einem möglichst simplen Text-Editor nach Ihrer Wahl ein.
- Entfernen Sie nun die folgenden Teile:
- Die Abgrenzungen am oberen und unteren Rand ("-----BEGIN...", "-----END...")
- Im Oberen Teil werden zunächst einige Header definiert, der Header Bereich endet mit einer leeren Zeile, auch dieser, inklusive der Leerzeile muss entfernt werden.
- Am Ende finden Sie nun noch die Prüfsumme diese beginnt mit einem Gleich (=) Zeichen gefolgt von vier BASE64 Zeichen. Auch diese muss entfernt werden.
- Es dürfte nun nur noch der komplette BASE64 Block vorhanden sein, wobei die letzte Zeile etwas kürzer sein kann als der Rest.
- Wenn Sie nun alle Zeilenumbrüche entfernen haben, sodass nur eine einzeilige lange Zeichenkette übrig bliebt, ist das Datenfeld fertig.