IGF: Diskussion über den Masterschlüssel für die DNS-Aufsicht

Sobald die Rootzone mit DNSSec signiert wird, um Manipulationen im Rootzonefile zu verhindern, stellt sich die auf dem Internet Governance Forum diskutierte Frage: Wer verwahrt den "Key Signing Key"?

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen
Lesezeit: 6 Min.
Von
  • Monika Ermert

Die Debatte über die unilaterale Aufsicht über das Domain Name Systen (DNS) und die Internet Corporation for Assigned Names and Numbers, ICANN, könnte bald neue Nahrung erhalten. Das sagten Experten bei einem Workshop im Rahmen des ersten Internet Governance Forum (IGF), das gestern in Athen zu Ende ging. Sobald die Rootzone mit DNS Security Extensions (DNSSec) signiert wird, um Manipulationen im Rootzonefile zu verhindern, stellt sich die Frage: Wer verwahrt den "Key Signing Key", den Schlüssel, mit dem der eigentliche Zonenschlüssel signiert wird? Von diesem Masterschlüssel bezieht die DNS-Hierarchie schließlich das Vertrauen in die Sicherheit für unkompromittierte Antworten auf die DNS-Anfragen.

"Wir werden den Zonenschlüssel halten," sagte VeriSigns Direktor für Public Policy, Brian Cute. "Allerdings besteht dann eben noch die Frage mit dem Key Signing Key." Lars-Johan Liman, Rootzone-Betreiber des i-Root-Server, eines der zwei in Europa angesiedelten Rootzoneservers, sieht in der Verwahrung des Schlüssels eine fundamentale Frage. Liman und Frederico Neves von der brasilianischen Länderregistry, Registro.br, sagten, es gebe verschiedene Kandidaten, neben der ICANN auch die US-Regierung. Neben den möglichen politischen Debatten wird innerhalb der Branche auch über einen Alternativvorschlag des Internet Systems Consortium (ISC) diskutiert.

Liman hofft, dass DNSSec eingeführt und erst anschließend die Schlüsselfrage geklärt werde, da die Entscheidung den ohnehin langsamen DNSSec-Fortschritt weiter verzögere. Vom technischen Standpunkt gesehen sei DNSSec bereits anwendbar. Als erste hat sie die schwedische Länderregistry .se bereits implementiert. Cute nannte den Umstand, dass bislang keine echte Katastrophe das DNS erschüttert hat, als einen Grund für den mangelnden Druck bei der Einführung von DNSSec, Marylin Cade, IT-Beraterin und in ihrer Zeit bei AT&T ICANN-Beobachterin und Lobbyistin der ersten Stunde, die mangelnde Vermarktbarkeit von DNSSec.

Cade präsentierte in Athen auch den überarbeiteten Vorschlag, mit dem der Streit um die Rootzone-Aufsicht beigelegt werden soll. Gemeinsam mit der unter der Clinton-Regierung für ICANN zuständigen US-Beamtin und heutigen Anwältin Becky Burr schlägt Cade in einem Papier mit dem Titel "Der Weg zu einem verantwortungsvollen globalen Betrieb des DNS durch die Privatwirtschaft" die Einbeziehung einer kleinen Gruppe von Regierungen für Änderungen im Rootzonefile vor. Allerdings soll diese neue Arbeitsgruppe nur dann zusammentreten, wenn es um größere Änderungen im Rootzonefile geht und entscheiden, ob sie die Stabilität oder Sicherheit des DNS gefährden. Routineänderungen dagegen sollen soweit wie möglich automatisiert werden. Die Änderungen, die eine Prüfung erfordern, aber unkritisch sind, soll das US-Handelsministerium wie bisher durchwinken.

Was den Kritikern der US-Aufsicht daran nicht gefallen dürfte, ist die fortbestehende Sonderrolle des Ministeriums in Bezug auf die Rootaufsicht. Zwar soll sich die US-Regierung noch einmal klar dazu verpflichten, dass sie von ihrer Interventionsmöglichkeit nur bei echten Sicherheitsbedenken Gebrauch machen wird, aber sie bleibt eben trotz allem Herrin über die Root. Zudem ist nicht sicher, dass internationale Regierungen mit der von Burr und Cade vorgeschlagenen Zusammensetzung des neuen DNS-Wächterrats einverstanden wären. Vertreten sein sollen Großbritannien, die EU-Kommission und ein weiteres europäisches Land, Japan, Neuseeland, Australien, drei afrikanische Länder, Kanada, die USA und der Vorsitzende des ICANN-Regierungsbeirats.

Wer nicht zu den US-Verbündeten gehört, dem geht dieser Vorschlag nicht weit genug. "Das Internet wurde gemacht, um einen "single point of failure' zu vermeiden, aber jetzt haben wir einen 'single point of abuse'", sagte in der Diskussion mit Cade Riaz Tayob vom Third World Network. Wenn die IGF 2007 nach Rio kommt, soll die DNS-Aufsicht auf die Agenda, sagte in der Schlusssitzung Vladimir Vasilyev für die russische Delegation. "Wir haben mit vielen Delegationen gesprochen und alle sind daran interessiert." Zu diesem Zeitpunkt hatte allerdings die Mehrheit der US-Delegation das IGF schon verlassen.

Siehe zum Internet Governance Forum, dem Weltgipfel der Informationsgesellschaft und zu den nach seinem Abschluss entfalteten Aktivitäten:

Zu den Ergebnissen des 1. WSIS siehe auch:

(Monika Ermert) / (anw)