27C3: Vorschlag zur Rundum-Verschlüsselung des Datenverkehrs

Der US-Kryptologe Daniel Bernstein hat auf dem 27. Chaos Communication Congress
(27C3) in Berlin für die kryptographische Absicherung aller übers Internet versandten Datenpakete geworben. Es sei "beschämend", wie unsicher die bisherigen Bemühungen zur Schaffung eines "sicheren" Netzes seien, erklärte der Mathematiker der Hackergemeinde. Als einfach zu implementierende und kostengünstige Alternative mit deutlich höherem Sicherheitsfaktor präsentierte Bernstein die Protokollvariante CurveCP und ergänzte damit seine vor zwei Jahren vorgeschlagene Technik DNSCurve zur sicheren Auflösung von Domain-Namen in IP-Adressen. Damit liege ein handhabbarer Ansatz auf dem Tisch, alle über das Internetprotokoll ausgetauschten Pakete mit Public-Key-Kryptographie zu verschlüsseln.

DNSCurve und CurveCP setzen auf ein asymmetrisches elliptisches Kurven-Kryptosystem, um Vertraulichkeit, Integrität und der Verfügbarkeit der Namensauflösung im Domain Name System (DNS) sowie des gesamten Datenversands im Internet abzusichern. Die Schlüsselstärke liegt laut Bernstein bei 256 Bit. Zum Knacken des Systems müsse ein Angreifer 2 hoch 128 Operationen durchführen, was ohne den Einsatz von Quantencomputern derzeit in einem überschaubaren Zeitrahmen nicht möglich sei. Die asymmetrisch verschlüsselten Pakete sollen auf der Transportschicht mit dem verbindungslosen UDP (User Datagram Protokol) übertragen werden. Innerhalb dieser Datensendungen imitiert CurveCP laut Bernstein das verbindungsorientierte klassische Internetprotokoll TCP (Transmission Control Protocol) .

Konkret sollen die erforderlichen öffentlichen Schlüssel auf der Seite der Sender etwa in Webadressen eingebaut werden. Vor den eigentlichen Domain-Namen könne man den 32 Bytes langen Public Key in die URL einlagern, führte der Chicagoer Informatikprofessor aus. Um die Adressen trotzdem möglichst kurz zu halten, werde ein im DNS übliches Aliasverfahren über den CNAME-Befehl verwendet.
Der Empfänger erhalte diese DNS-Daten kostenfrei im Rahmen der Abfrage der Serveradresse und nutze dann CurveCP, um den Webserver des Senders zu kontaktieren. Das Verfahren sei genauso schnell wie das Webprotokoll HTTP, aber deutlich sicherer.

Der Sender installiere einen Weiterleitungsmechanismus per Forward-Anweisung auf dem UDP-Port 53, um eine Verbindung zu seinem HTTP-Server auf dem TCP-Port 80 herzustellen, erläuterte Bernstein weiter. Der hinzugezogene DNS-Server halte zusätzlich einen öffentlichen Schlüssel über das DNSCurve-Protokoll bereit. Der Empfänger nutze das elliptische Kurvenverfahren seinerseits zur Kontaktierung des DNS-Servers. Er müsse dann noch einen Schlüssel vom Rootserver seines Vertrauens beziehen. Die Integrität des Systems sei dabei vergleichsweise einfach zu schützen, Angriffe auf die Verfügbarkeit seien schwieriger auszuschließen. Eventuell könne ein DNS auf Peer-to-Peer-Basis hier Abhilfe schaffen.

Die Kosten für die Installation des Verfahrens sind Bernstein zufolge vernachlässigbar. Der Empfänger müsse einen DNS-Cache einrichten, der DNSCurve versteht, und einen ebensolchen HTTP-Proxy. Eine derartige Lösung sei auch auf Mobiltelefonen rasch zu realisieren. Der Sender müsse die kleinen Forward-Instruktionen installieren und seine DNS-Einträge auf den aktuellen Stand bringen. Änderungen an DNS-Servern, Datenbanken, HTTP-Servern, Browsern oder Firewalls seien nicht erforderlich.
Die Belastung für DNS-Server nehme laut eigenen Tests allenfalls um den Faktor 1,15 zu, auch die beanspruchte Prozessorzeit sei dank einfacher und vielfach verfügbarer Krypto-Schnittstellen in engen Grenzen zu halten.

Die Kombination aus DNSCurve und CurveCP geht gemäß Bernstein deutlich über das als Teilalternative gehandelte DNSSEC (DNS Security Extension) hinaus und hat gegenüber diesem einige Vorteile. Mit seinem Sicherheitszusatz sollen sich Systemantworten über den Abgleich eines Schlüsselpaares auf ihre Authentizität hin überprüfen lassen. Dagegen sieht der Kryptologe DNSSEC, das derzeit erst auf 2536 Servern weltweit laufe, vor allem als ein Angriffswerkzeug. Es sei offen für "DNS Amplification"-Attacken, bei denen Nameserver in bestimmten Fällen auf kurze Anfragen mit sehr langen Datenpaketen antworten. In einem Experiment mit Universitätsrechnern dies- und jenseits des Atlantiks habe er einen Verstärkungsfaktor von 51 gemessen. Sende ein Angreifer Pakete mit 10 MBit/s aus, könne er so über den "DNSSEC-Drohnen-Pool" eine Datenflut mit 500 MBit/s auslösen. Insgesamt handle es sich bei DNSSEC um "Sicherheitstheater". Es sei unklar, welche Attacken damit wirklich gestoppt werden könnten.

Auch das verschlüsselte Webprotokoll HTTPS kann laut Bernstein nicht mithalten, da dieses bei der großen Mehrheit der Webseiten realistischerweise nicht zum Zuge kommen könne. Selbst der über viel Rechenkraft verfügende Internetriese Google erlaube keine entsprechende Verschlüsselung für Suchanfragen nach volumenstarken Datentypen wie Bildern oder Karten. Kryptographie müsse generell unmittelbar in den Internetverkehr eingebaut werden und zugleich sollten die Anwender nicht über Geschwindigkeitsverluste nachdenken müssen. Viele bisher unternommene Versuche zu einem großflächigeren Einsatz von Kryptographie hätten hier versagt. (hps)