Neues Tool soll digitale DNS-Signaturen zum Kinderspiel machen
Dan Kaminsky hat ein Tool in Arbeit, mit dem Domainverwalter DNSSEC einfach einschalten und alle ihre Zonen im Nu signieren können. DNSSEC sichert DNS-Antworten kryptografisch ab, sodass Empfänger die Vertrauenswürdigkeit der DNS-Nachrichten sicherstellen können.
Sicherheitsexperte Dan Kaminsky hat mit Phreebird ein Tool-Set angekündigt, mit dem sich digitale Signaturen auf Basis von DNS Security Extensions (DNSSEC) leicht erzeugen lassen sollen. Kaminsky versicherte gegenüber heise online, "für Domainverwalter vereinfacht Phreebird den Einsatz von DNSSEC drastisch". Sie müssten sich nicht um die Konfiguration kümmern, sondern könnten DNSSEC einfach "einschalten und alle ihre Zonen sind im Nu signiert". Auch könnten ISPs alle verwalteten Kundendomains in einem Aufwasch signieren.
Die DNSSEC-Technik sichert DNS-Antworten mittels kryptografischer Schlüssel ab, sodass Empfänger der DNS-Antworten die Unverfälschtheit der Nachrichten verifizieren und die Zugehörigkeit des Absenders zur DNSSEC-Vertrauenskette sicherstellen können. Einmal komplett auf allen Ebenen des hierarchischen DNS etabliert, können zum Beispiel PCs per Abgleich mit dem Root-Schlüssel sicherstellen, dass die Antworten bis hinunter zur signierten Endnutzerdomain vertrauenswürdig sind. Das soll unter anderem Cache-Poisening-Manipulationen verhindern.
Noch sind nur wenige technische Details von Phreebird 1.0 bekannt. Kaminsky ließ wissen, dass das Tool noch nicht für den Einsatz bereit ist. "Die Gemeinde der Sicherheitsexperten hat noch nicht ausreichend drauf herum gehackt", erklärte Kaminsky. Laut einem Bericht von Dark Reading müssen für Probeläufe zunächst auf test.org-Domains bei GoDaddy registriert werden.
Zu den aufwändigen, regelmäßigen Erneuerungen des Schlüsselmaterials meint Kaminsky gegenüber heise online: "Die Bedeutung der Schlüsselwechsel wurde maßlos übertrieben, sie ist buchstäblich die Quelle für 95 Prozent der Kosten bei der Umsetzung des Verfahrens. Trotzdem werden in einer der nächsten Versionen auch automatische Schlüsselwechsel in einer ähnlichen "null-Drama"-Weise unterstützt."
In einem anderen Punkt ist Phreebird, beziehungsweise das Zusatztool Phreeload schon eher vorausschauend. Phreeload soll demnach X.509-Zertifikate in OpenSSL durch DNSSEC-Signaturen ersetzen. Die Idee, das hierarchisch durchsignierte DNS als Zertifizierungsinstanz zu wählen und so mittels DNSSEC-Signaturen automatische einheitliche Zertifikate zu bekommen, wird auch in der Internet Engineering Task Force (IETF) breit diskutiert. (dz)
