ICANN soll Signatur der DNS-Rootzone übernehmen

Adress-Spoofing und Phishing soll durch signierte Adressen erschwert werden. Doch sollten dafür nicht nur einzelne Domains oder Adresszonen mit einer Signatur versehen werden, sondern am besten gleich die Rootzone des Domain-Name-Systems (DNS). Daraus folgt die Frage, wer den Schlüssel halten soll. Beim turnusmäßigen Treffen des Réseaux IP Européen (RIPE) vergangene Woche in Tallinn schlugen die Mitglieder vor, dass die Internet Corporation for Assigned Names and Numbers (ICANN) die Rootzone signieren solle. Nach viel Diskussionen über den richtigen Schlüsselwächter beschlossen die RIPE-Mitglieder, der ICANN eine entsprechende Aufforderung zukommen zu lassen.

Die RIPE-Spitze soll nun formulieren, wie man auf ICANN zugeht. Da sich die Signierung der Rootzone auf jeden Fall noch hinziehen wird, empfehlen einige Mitglieder zusätzlich, die öffentlichen Schlüssel zu den bereits signierten Länderadresszonen zunächst beim RIPE NCC vorzuhalten. "Wir erwarten, dass es noch eine Weile dauert, bis die Rootzone signiert wird. Solange will die RIPE Community nicht warten", sagte Paul Rendek, beim RIPE NCC für Kommunikation und Training zuständig. "Der Mangel an Fortschritt beim Einsatz von DNSSEC unterminiert die Stabilität und Sicherheit des Internet", hieß es in dem der RIPE Generalversammlung vorgelegen Resolution. Betreiber und Anwender seien dazu gezwungen, auf kurzfristige Ad-Hoc-Lösungen auszuweichen, die sich langfristig negativ auswirken würden. Der Vorschlag, ICANN zu "drängen, die Anstrengungen zur Signierung der Rootzone zu beschleunigen und zu verbessern", wurde laut Rendek einstimmig vom Plenum angenommen.

Die Frage des zentralen Schlüsselmanagements für die Rootzone ist politisch ein heißes Eisen. Ein vom US-Heimatschutzministerium in Auftrag gegebenes Papier empfiehlt die Benennung eines zentralen Root Key Operators (RKO) dafür (siehe auch c't Nr. 11/2007). Die Ansiedelung des RKO mit je nach Modell unterschiedlichen Kompetenzen bei der US-Administration ist aus Sicht mancher Länderregistries und einiger Rootserver-Betreiber nicht neutral genug. Beim RIPE-Treffen sorgten sich viele Experten mehr um den Zeitverzug, der durch die politischen Fragen droht.

"Wer die Zone unterschreibt, ist letztlich auch zweitrangig, wenn die technischen Prozeduren klar sind", meint Peter Koch, einer der Vorsitzenden der DNS-Arbeitsgruppe beim RIPE und Vorsitzender der deutschen Internet Society. Faktisch habe schon jetzt das Handelsministerium "die Aufsicht". Der DNSSEC-Schlüssel ändere daran nichts. "Mit DNSSEC wird authentisiert, nicht autorisiert. Es ist also weniger die Unterschrift eines Königs als die des Notars."

Es gibt allerdings durchaus Gegenvorschläge zu einer zentralen Schlüsselaufbewahrung. In der Schweizer Botschaft in Washington etwa treffen sich in dieser Woche eine Reihe von Root-Server-Betreibern, darunter F-Server-Betreiber Paul Vixie, ein Vertreter von VeriSign und der für den von ICANN betreuten Rootserver zuständige IANA-Manager David Conrad mit einer Reihe von Wissenschaftlern, um über Alternativen zu sprechen. Bei der Internet Engineering Task Force (IETF) liegt bereits seit einiger Zeit ein Vorschlag für das Splitten des Schlüssels vor. Rootserver-Betreiber wie Vixie haben sich bereits vorsichtig skeptisch gegen die Zementierung der privilegierten Aufsichtsrolle der US-Administration ausgesprochen, diese würde kaum international akzeptiert werden. Conrad geht davon aus, dass es verschiedene so genannte "Vertrauensanker" für signierte Zonen geben wird.

Eine solche Lösung schlagen, wenigstens als Übergangsmodell, nun auch schon eine Reihe von ISPs vor. Beim RIPE-Treffen in Tallinn stellte Mats Dufberg von Telia Sonera eine der Möglichkeiten vor, bei der das RIPE NCC als zentrale Registry für signierte Zonen fungieren würde. "Die Rolle von RIPE wäre die Auflistung aller Key Signing Keys (KSKs) der bereits signierten Zonen und die Zertifizierung der Echtheit dieser Schlüssel", so Dufberg. Bis zum nächsten RIPE-Treffen soll dieser Vorschlag weiter ausgearbeitet werden. Würden übers RIPE zahlreiche ccTLD-Schlüssel hinterlegt, könnte das einer geteilten Lösung für die Rootzonen-Signierung wohl auch Auftrieb leisten. (Monika Ermert) / (vbr)