ENUM-Telefondomains zur Authentifzierung von Nutzern vorgeschlagen

ENUM-Domains könnten auch zur Authentifizierung eines Gegenübers im Netz genutzt werden. Schon jetzt, sagte Alexander Mayrhofer von der österreichischen ENUM-Registry ENUM.at, stelle die Validierung eines Antrags den größten Aufwand bei der Registrierung der ENUM-Domains. Jahrelang haben sich die Experten Gedanken zu entsprechenden Validierungsverfahren gemacht, um den Auflagen der nationalen Telefonregulierer nachzukommen. Die auch als Telefonnummerndomains bezeichneten ENUM-Domains gehen in Deutschland ab April in den Wirkbetrieb. Nutzer können dann ihre normalen Festnetz- und Mobilfunknummern sowie eine Reihe weiterer Rufnummern wie 0700 oder 032 als Internet-Domains eintragen lassen. Die Domain im Stil von 0.0.3.2.5.3.5.1.1.5 (angehängt wird dabei immer die deutsche ENUM-Domain .9.4.e164.arpa, .9.4 entspricht dabei der umgekehrten internationalen Telefonvorwahl) und erlaubt auch ein Routing von Gesprächen übers Internet, so weit ein SIP-Dienst eingerichtet ist.

Mayrhofers Vorschlag wurde beim Treffen der Internet Engineering Task Force (IETF), wie er sagt, "mit Interesse" aufgenommen. Wie bei einer Reihe weiterer neuer Ideen zu den an Bedeutung gewinnenden Telefondomains hat die IETF-Arbeitsgruppe aber noch nicht endgültig entschieden, ob man Mayrhofers Vorschlag aufgreifen will.

"Die Idee des Vorschlags ist," teilte Mayrhofer vom laufenden IETF-Treffen in Dallas auf Anfrage von heise online mit, "ein Schlüsselpaar mit der ENUM-Domain, das heißt mit einer Telefonnummer, zu verbinden. Dabei befindet sich der geheime Teil des Schlüssels zum Beispiel in der Applikation des Benutzers, der öffentliche Teil ist in der ENUM-Domain hinterlegt." Der Besitzer der Nummer könne mit dem privaten Schlüssel, der nur ihm zugänglich sei, signieren. Der Empfänger öffne mit dem öffentlichen Schlüssel und habe dadurch die Gewissheit, dass er es tatsächlich mit dem Inhaber der besagten Nummer zu tun habe. Der Vorteil des Verfahrens liegt für Mayrhofer darin, dass kein vorheriger Schlüsselaustausch notwendig ist – der Empfänger könne den öffentlichen Schlüssel "über die Telefonnummer einfach aus dem ENUM-DNS holen".

Es handele sich um eine erste Version der Idee, räumt Mayrhofer ein. Vor allem die von ihm zunächst vorgeschlagene Schlüsseltechnologie – die in einer eigenen Arbeitsgruppe von Sendmail-Chef Eric Allman und Cisco-Vertreter Jim Fenton als Anti-Spam-Methode vorgestellte Domain-Keys-Technologie –, müsse wohl eher durch eine andere ersetzt werden, da Domain-Keys sehr speziell auf einen Einsatzzweck hin gebaut worden sei. Das Thema "Identifizierung" steht allerdings bei dem bis Freitag dauernden Entwicklertreffen ganz offenbar hoch im Kurs. Ein Kick-off-Treffen – bei der IETF als "Birds of Feather"-Treffen tituliert – befasst sich heute mit Identifizierungslösungen im Netz. Die Entwickler diskutierten bereits im Vorfeld heftig, ob man eine solche Digital-Identity-Exchange-Group (DIX) braucht.

Angesichts der aus dem Boden sprießenden ENUM-Anwendungsideen winden sich manche Experten und warnen davor, dass ENUM ebenso ausufern könnte wie die verschiedenen Arbeitsgruppen zum Thema SIP (Session Intitiation Protocol), dem Basisprotokoll für Voice-over-IP. Peter Koch, ENUM-Experte bei der DENIC, warnte in Dallas etwa davor, dass ein Nebeneinander immer neuer, so genannter NAPTR-Einträge, die Adressen und Wege zu verschiedenen Applikationen im DNS verzeichnen, irgendwann Probleme mit sich bringen könne: "Sobald die Services tatsächlich parallel genutzt werden, reicht irgendwann die UDP-Paketgröße trotz EDNSO (Extended DNS) nicht mehr aus, zumal manche dieser Services recht viele Textdaten im NAPTR unterbringen", fürchtet Koch. Eine neue ENUM-Kalenderfunktion und ein Instant Messaging Vorschlag wurden daher ein wenig zögerlich aufgenommen.

Streit gab es in der Arbeitsgruppe schließlich auch um einen zentralen Vorschlag zur raschen Einführung einer Domain für das so genannte Carrier-ENUM. Carrier-ENUM soll rasch das Routing-Problem zwischen VoIP-Anbietern lösen, die ohne zentrale Routing-Datenbank auf privates Peering oder die von einigen Anbietern gestarteten VoIP-Peering-Plattformen angewiesen sind, um teure "Umwege" ihres Traffics über klassische Telco-Netze zu vermeiden. Österreichs ENUM-Pioniere drängen darauf, nicht auf die Einführung einer neuen Domain unter .arpa zu warten. Das würde viel zu lange dauern, sagte Richard Stastny von der Telekom-Austria-Tochter OEFEG.

Zwar könne man eine neue Carrier-ENUM-Domain angehen (etwa. E164i.arpa), sollte aber sehr rasch eine Domain unterhalb der bestehenden nationalen ENUM-Zonen einrichten – im Stil von .carrier.e164.arpa. Letzteres wäre im Wesentlichen eine nationale Entscheidung, die bei ENUM-Aufsichtsfragen beteiligte International Telecommunication Union (ITU) müsse allenfalls informiert werden. Auch wenn die Verschachtelung vielen nicht behage, könnten Länder, die etwas unternehmen wollen, damit etwas anfangen, meint ENUM-Experte Lawrence Conroy. Einer der beiden Chefs der ENUM-Arbeitsgruppe, Neustar-Vertreter Richard Shockey, versuchte hingegen, diesen "quick and dirty"-Vorschlag vom Tisch zu fegen. Richard Stastny zufolge versucht man sich nun so zu einigen, dass doch beide Wege parallel beschritten werden können. (Monika Ermert) / (ssu)