Anhörung zu DNSSEC-Schlüssel - ICANN greift nach DNS-Kontrolle

Die US National Telecommunication and Information Administration hat eine öffentliche Anhörung zu der Frage gestartet, wie das Sicherheitsprotokoll DNSSEC zur Signierung der Rootzone des DNS einzusetzen ist. Vorschläge der ICANN liegen bereits vor.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Monika Ermert

Die US National Telecommunication and Information Administration (NTIA) startete heute eine öffentliche Anhörung zur Möglichkeit, das Sicherheitsprotokoll DNSSEC (DNS Security Extensions) zur Signierung der Rootzone des Domain Name System (DNS) einzusetzen. DNSSEC soll mittels eines Systems von PKI-Signaturen das Spoofing von Adressen im DNS aufdecken. Zwar werden die Signaturen bereits innerhalb einzelner Adresszonen, etwa der schwedischen .se-Zone eingesetzt oder sind wie bei der Adresszone der US-Behörden (.gov) in Planung, doch ohne Signierung des zentralen Rootzone-Files bleibt die Absicherung Stückwerk.

Nach den vom US-Sicherheitsexperten Dan Kaminsky kürzlich beschriebenen weiteren Angriffsmöglichkeiten auf das DNS ist der Ruf nach DNSSEC, das bereits seit 1990 innerhalb der Internet Engineering Task Force (IETF) entwickelt wurde, lauter geworden. NTIA-Chefin Meredith Attwell Baker sagte am Rande der EU Konferenz zur Zukunft des Internet in Nizza Anfang der Woche: "Im Licht dieser Gefahren ist die Zeit reif für langfristige Lösungen wie DNSSEC." Baker sagte, sie wolle insbesondere auch Regierungen dazu ermuntern, sich an der Anhörung zu beteiligen. Schriftliche Kommentare nimmt die US-Behörde bis 24. November entgegen.

Die umfassende Einführung von DNSSEC bedeute die größte Veränderung der DNS Architektur im letzten Jahrzehnt, verdeutlicht die US-Beamtin. Zwar gebe es bereits Tests zur Signierung der Rootzone selbst, heißt es im Konsultationstext der NTIA unter Verweis auf Pilotprojekte bei der Internet Corporation for Assigned Names and Numbers (ICANN), bei der US-Firma VeriSign und bei EP.net. Es seien aber vorab weitere Fragen zu den Verfahren und Verantwortlichkeiten zu klären, schreibt die NTIA.

Als politisch heikel gilt insbesondere die Frage, wer den Masterschlüssel (Key Signing Key, KSK) für die Rootzone halten soll, der an der Spitze einer Vertrauenskette steht, die bis zur einzelnen DNSSEC-signierten Domain hinunterreicht. Zur Diskussion stellt die NTIA sechs verschiedene Konzepte und zwei konkrete Vorschläge, nämlich einen neueren von VeriSign und einen Anfang September von ICANN bei der NTIA eingereichten.

Die sechs grundsätzlichen Konzepte unterschieden sich in der Verteilung der Verantwortlichkeit für Zone Signing Key (ZSK) und KSK entweder einzeln oder insgesamt auf die von ICANN betriebene IANA, VeriSign oder eine dritte, neue Institution. Mit aufgenommen wurde auch die Möglichkeit, den Masterschlüssel in die Hand mehrerer Parteien zu geben. Letzteres würde dem Vorschlag von VeriSign entsprechen, das die Betreiber der 13 Rootserver (VeriSign betreibt zwei davon) als Schlüsselwächter vorschlägt.

Die kleine Sensation ist aber vielmehr der bislang von der NTIA unter Verschluss gehaltene Vorschlag der ICANN. Die Organisation schlägt nämlich nicht nur vor, dass sie nicht nur die KSK und ZSK selbst verwaltet, sie will im gleichen Zug doch noch die Editierung des Rootzone-Files, die bisher von VeriSign übernommen wurde, an sich ziehen. VeriSign soll künftig lediglich die Rootzone veröffentlichen. Einer solchen Verschiebung der Verantwortung für das Herzstück des DNS hatte die US-Verwaltung noch im Sommer entschieden widersprochen.

Dabei geht ICANN nun sogar noch einen Schritt weiter und möchte auch die Aufsichtsrolle des Handelsministeriums (DoC), beziehungsweise der darin verankerten NTIA, etwas "vereinfachen". Statt nämlich jede einzelne Änderung in der zentralen Rootzone von der US-Behörde absegnen zu lassen, stellt man sich einen generellen Audit vor, der kein Hin- und Herschieben unsignierter Informationen mehr notwendig machen würde, wie es im ICANN-Dokument zuversichtlich heißt.

ICANN betrachtet diesen Schritt als logische Schlussfolgerung aus der Entwicklung automatisierter Update-Prozesse für die Länderdomains (eIANA), denn auch diese sollten für einfache Änderungen in der Rootzone auf den Umweg über den NTIA-Schreibtisch verzichten. Im eigenen Verfahrensmodell hat man übrigens sogar darauf verzichtet, die neue Rolle bei der IANA zu verankern. Auf diese hat die NTIA mittels eines eigenen Vertrags direkten Zugriff.

Die von der NTIA schön aufgelisteten NIST-Vorschläge sehen selbstverständlich ganz anders aus: Jedes einzelne der sechs Konzepte sieht eine Autorisierung der Signierungen durch die NTIA vor. Angesichts der scharfen Worte der NTIA zu ICANNs Vorschlägen im Sommer ist der neuerliche Vorstoß schon als verwegen zu bezeichnen. (Monika Ermert) / (pmz)