VeriSign will DNSSEC-Schlüssel (ein bisschen) teilen

Im Streit um die Verwaltung der DNSSEC-Schlüssel für die Rootzone gibt sich VeriSign nun großzügig und schlägt vor, man könne sich die Schlüssel mit anderen Zonenverwaltern teilen - sofern sie im eigenen US-Rechenzentrum bleiben.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Monika Ermert
  • Benjamin Benz

Der Betreiber zweier DNS-Rootserver, VeriSign, schlägt vor, dass die Betreiber der 13 zentralen Rootserver des Domain Name System (DNS) gemeinsam über den Masterschlüssel einer mittels DNSSEC signierten Rootzone wachen sollen.

Das DNS Security Extensions Protocol (DNSSEC) soll mittels eines Public-Key-Verfahrens gefälschte Antworten auf DNS-Anfragen aufdecken. Seit Jahrzehnten wird DNSSEC als Gegenmittel gegen das Spoofing von Adressen entwickelt. Seit zwei Jahren tobt der politische Streit, wer den Master-Schlüssel, den Key Signing Key (KSK), für die signierte Rootzone halten soll.

Der Vorschlag von VeriSign greift die von vielen technischen Experten positiv beurteilte – aber nicht neue – Idee auf, den Master-Schlüssel auf mehrere Parteien aufzuteilen. Die 12 Betreiber der 13 zentralen Rootserver könnten demnach jeweils einen "Teilschlüssel" erhalten. Mindestens 5 der 12 müssten jeweils neue Signaturen für die Rootzone (Zone Signing Key, ZSK) autorisieren. Sind es nur drei oder vier, scheitert die Neusignierung. Der ZSK soll ein Jahr, der zentrale KSK aber mehrere Jahre gelten.

Ein großer Vorteil liegt laut VeriSign in der verteilten Autorität. Damit würden auch die Ängste der internationalen Gemeinschaft adressiert, die erhebliche Bedenken hatte, die US-Regierung wolle den Schlüssel der Schlüssel in der Hand halten. Zweifel am Vorschlag hat bereits Brenden Kuerbis vom Internet Governance Project geäußert. So international sei die Truppe der Rootserver-Betreiber nun auch wieder nicht, mahnte er an, denn neun der zwölf Betreiber sitzen in den USA. Darunter sind auch das US Army Research Lab, das Rechenzentrum des US-Verteidigungsministerums und das Ames Research Center der NASA. Nach dem aktuellen VeriSign-Vorschlag hätten die US-Behörden direkt oder indirekt Zugriff auf die nötigen fünf Schlüssel für einen Neusignierung. Kuerbis regt daher eine Quotenregelung zur Absicherung der Internationalität an.

Auch soll das Schlüsselmanagement – laut VeriSign – sehr wohl zentral erfolgen. VeriSigns Data Center in Mountain View solle nicht nur Schlüssel und Teilschlüssel, sondern auch KSK und ZSK erzeugen. Für den ZSK sieht sich VeriSign als natürliche Instanz, da es ja auch die Rootzone verwaltet. Daran soll sich laut VeriSign auch nichts ändern, das US-Handelsministerium (DoC) behalte auch weiterhin die Aufsicht über die oberste Zone. Laut VeriSign sorge die Übernahme des KSK-Management für mehr Sicherheit, da eine Schlüsselübergabe zwischen verschiedenen Lokationen entfalle. Zudem begründet VeriSign die Zentralisierung in seinem Data Center in Mountain View damit, dass "kein anderer Betreiber über eine vergleichbare Erfahrung und die notwendigen sicheren Datenzentren verfügt".

Zur ersten "KSK Signing Ceremony" müssten alle Rootserver-Betreiber anreisen, ihre durch Pin geschützten Teilschlüssel nehmen sie auf "grünen Plastikkarten" mit. Damit sie für die monatlichen ZSK-Erneuerungen nicht jeweils wieder anreisen müssen, wird gleich ein Vorrat von ZSK-Schlüssel angelegt. Inwiefern die Liste ein möglicher Angriffpunkt für Hacker ist, gehört zu den offenen Fragen.

Das US-Handelsministeriums hatte erst kürzlich die Internet Corporation for Assigned Names and Numbers (ICANN) regelrecht zurückgepfiffen, als diese eine Übernahme der Distribution der kontinuierlichen Updates der Rootzone von VeriSign übernehmen wollte. Als ICANN einen eigenen Vorschlag (PDF-Datei) fürs DNSSEC-Schlüsselmanagement vorlegte, untersagte die Behörde dessen Veröffentlichung.

Zum Thema DNSSEC siehe auch:

(Monika Ermert) / (bbe)