IGF: Politische und technische Probleme bei DNSSEC

Große technische und politische Schwierigkeiten von DNSSEC beherrschten die intensive Debatte über Chancen und Risiken des abgesicherten DNS auf dem zweiten Internet Governance Forum (IGF) in Rio de Janeiro. Abgesehen von der Frage, wer den zentralen Schlüssel für die Rootzone ("Key Signing Key") verwalten soll, warnte Denic-Chefin Sabine Dolderer vor hohen Anforderungen an die Infrastruktur und mangelnder Unterstützung durch die Nutzer. "Wir bräuchten etwa viermal so leistungsfähige Server", sagte die neue und alte Denic-Chefin. Sie schrecke davor zurück, eine komplizierte Infrastruktur aufzubauen, die dann niemand nutzen wolle.

Hohe Anforderungen stellen die notwendigen Schlüsselabgleiche, mit denen DNSSEC die Manipulation von DNS-Abfragen absichern soll. Um die Vertrauenskette lückenlos zu schließen, müssen die DNS-Server auf allen Ebenen signiert werden, von den Third- und Second-Level-Domains der Nutzer über die jeweilige Länderdomain bis hinauf zum Masterserver des DNS, in dem alle Top-Level-Domains verzeichnet sind. Dolderer mahnte, auch Anwendungen und Endgeräte müssten DNSSEC unterstützen. Bei 50 Prozent der Applikationen sei dies nicht der Fall. Die Denic lehne DNSSEC nicht prinzipiell ab, allerdings gebe es eine Menge Argumente dafür, "dass eine Registry sehr vorsichtig an die Sache herangehe", sagte Dolderer. Sie forderte mehr Zeit.

Damit unterscheidet sich die Denic auch von den britischen Kollegen bei Nominet. Deren Geschäftsführerin Lesley Cowley sagte, DNSSEC leiste einen wichtigen Beitrag zur Verbesserung der Sicherheit und Vertrauenswürdigkeit im DNS, auch wenn es nur gegen bestimmte Attacken schütze. So werde Phishing nicht unmöglich, und gegen DOS-Attacken schütze die Authentifizierung. Nominet befürwortet DNSSEC aber trotz der Einschränkungen und hielt kürzlich in einem Papier (PDF-Datei) an der Forderung fest, dass die Rootzone schnell signiert werden müsse. Unterstützung dafür kommt auch von der schwedischen Registry (IIS), die seit 2005 signiert. Solange die Rootzone nicht signiert sei, sei .se eine sichere Insel in einem Meer von Haien, sagte eine Vertreterin des schwedischen NIC. Für die RIPE-Nutzerschaft bekräftigte Malcolm Hutty das Ja zur Einführung von DNSSEC.

RIPE, Nominet und IIS sind einhellig dafür, dass die Internet Corporation for Assigned Names and Numbers (ICANN) beziehungsweise die bei ICANN für das Rootzone-Management zuständige Internet Assigned Numbers Authority (IANA) die Zone signiert und auch den Key Signing Key hält. Verisign, Betreiber des Masterservers, soll lediglich über den öffentlichen Schlüssel des Key Signing Key sowie das Schlüsselpaar zur Signierung der Zone verfügen. Für IANA berichtete in Rio David Conrad, Vice President Research, über die laufenden DNSSEC-Test bei ICANN, etwa eine Testumgebung für eine signierte Root- und den Start der Signierung der Arpa-Zone.

Gegen die Übernahme der Aufgabe durch ICANN gibt es allerdings heftigen politischen Widerstand, da ICANN nach wie vor von der US-Regierung beaufsichtigt wird. Die US-Regierung würde bei einer Signierung durch ICANN auch die Aufsicht über den Masterkey halten. Cowley riet, die politischen Fragen, die daran geknüpft seien, zurückzustellen. Sie dürften die rasche Einführung von DNSSEC nicht behindern. Die Aufsichtsfrage könne später im Rahmen einer generellen Debatte um die DNS-Aufsicht geklärt werden. Der Anreiz, etwas an einem einmal eingeführten System zu ändern, könnte allerdings gering sein, warnte Milton Mueller, einer der Gründer des Internet Governance Project, das ein Papier zu DNSSEC veröffentlicht hat.

Dolderer machte noch auf eine andere Konsequenz einer signierten Root aufmerksam. Sobald die Rootzone signiert ist, so die Denic-Chefin, sei die Rolle von IANA viel stärker. Anders als bislang seinen die unabhängigen Provider der 13 Rootserver dann festgelegt und verpflichtet, ihre Zonen vom zentralen Masterserver zu ziehen. Sollte die USA entgegen bisheriger Erfahrungen doch einmal einen Zone aus politischen Gründen vom Netz nehmen, könnten sie nicht ohne Weiteres davon abweichen. Denn folgen sie IANAs Zonen-Update nicht, verlieren sie auch den richtigen Schlüssel und fallen daher aus der Vertrauenskette heraus.

Lars Johan-Liman vom schwedischen Rootserverbetreiber bestätigte gegenüber heise online diesen Effekt. Der Vorteil sei, dass der Nutzer bemerke, wenn der Rootserverbetreiber etwas geändert habe. Aber für die Rootserver, bislang als mögliche letzte Verteidigungslinie gegen staatliche Eingriffe betrachtet, bedeute es klar: Eine Revolution gegen den König ist nur noch mit Vorankündigung möglich. Diese würde den Nutzern erlauben, die offiziellen Schlüssel entsprechend zu verändern. Mehr als bislang, so Dolderer, würde durch ein solches zentrales Schlüsselsystem also ein single "point of failure" eingeführt. (Monika Ermert) / (vbr)