VeriSign soll DNS-Schlüsselwächter werden

Das US-Unternehmen VeriSign soll für die Signatur der zentralen Rootzone des Domain Name System (DNS) auf der Basis des DNSSEC-Protokolls werden. Laut Informationen von Insidern am Rande der Konferenz der europäischen IP-Adressverwaltung RIPE hat die National Telecommunications and Information Administration (NTIA) ihre Entscheidung für das von VeriSign im Rahmen einer Konsultation im vergangenen Jahr vorgeschlagenen Modell getroffen. VeriSign will sowohl die Signierung der Rootzone selbst als auch des dafür verwendeten Schlüssels im eigenen Haus behalten. Damit wird das Unternehmen also Wächter des "key signing key". Gegen dieses Modell hatten sich neben der Internet-Verwaltung Internet Corporation for Assigned Names and Numbers (ICANN), die selbst die Aufgabe übernehmen will, auch zahlreiche Experten gestellt.

DNSSEC sichert durch die Verwendung eines Public-Private-Key-Paares bei DNS-Abfragen ab, dass der Anfragende autorisierte und auf dem Weg nicht weiter veränderte Antworten erhält. Vielen Experten gilt das Protokoll als vorrangige Lösung gegen Cache-Poisoning- und Phishing-Attacken. Seit Jahren verfügbar, wurde der Einsatz insbesondere nach dem Bekanntwerden der Kaminsky-Attacken auf das DNS forciert und wird nun auch von der US-Regierung betrieben.

Obwohl die Entscheidung für das VeriSign-Modell gefallen ist, will die US-Administration offenbar die Bekanntgabe noch verzögern. Anfragen von Teilnehmern des RIPE-Treffens an Richard Lamb, einen der DNSSEC-Exerten der ICANN, zum Stand der Entscheidung innerhalb der US-Regierung wies dieser mit dem Hinweis auf die ICANN vertraglich auferlegte Schweigepflicht zurück. Er persönlich rechne damit, dass die Rootzone noch 2009 signiert werde. Diesen Zeitplan hatten Vertreterinnen der NTIA gegenüber heise online bereits bestätigt. Verschiedene Betreiber der Rootserver konnten oder wollten sich ebenfalls nicht äußern, teilweise verwiesen sie auf die für sie gebotene Neutralitätspflicht.

Desireé Miloshevic, International Affairs and Policy Advisor für Afilias, sprach gegenüber heise online von einer "Überraschung, denn die Mehrzahl der Stellungnahmen bei der Anhörung haben sich positiv für das IANA-Modell ausgesprochen". Das sei andererseits auch ein starkes Indiz für die Ablehnung des von VeriSign vorgeschlagenen Modells, meinte Miloshevic. ICANN hatte vorgeschlagen, dass die IANA als zentrale DNS- und IP-Verwaltungsinstanz auch die Editierung des Rootzone-Files, dessen Validierung und dann auch die Signierung übernehmen soll.

Dadurch würde sich allerdings auch das Verhältnis der drei durch Verträge verbundenen Partner NTIA, ICANN und VeriSign ändern. VeriSign würde letztlich nur noch die Verteilung der signierten Rootzone an die Betreiber der 13 DNS-Rootserver bleiben. Die US-Administration hatte im vergangenen Jahr massiven Widerstand gegen eine solche Verschiebung der Kompetenzen angemeldet. Angesichts der laufenden Diskussion um eine stärkere Internationalisierung oder Privatisierung der ICANN sieht man in Washington den Griff der ICANN nach dem Schlüssel offenbar mit Sorge. Am Montag hatte EU-Kommissarin Viviane Reding ein Ende der speziellen US-Aufsicht über ICANN gefordert. Am gestrigen Mittwoch diskutierte die Kommission bei einer Konsultation in Brüssel über die Zukunft der ICANN und auch über DNSSEC. Von der US-Entscheidung war dort aber noch nichts bekannt.

Siehe dazu auch:

• Holpriger Start für DNS Security bei .gov
• IP-Adressverwaltung empfiehlt rasche Einführung von DNS Security
• VeriSign will DNSSEC-Schlüssel (ein bisschen) teilen

• Kaminsky veröffentlicht letzte Details zur DNS-Schwachstelle
• Details zum DNS-Sicherheitsproblem veröffentlicht
• Cache-Poisoning-Gefahr heizt DNSSEC-Debatte an
• Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten

• DNSSEC oder ...? Die Suche nach Absicherung gegen Angriffe auf DNS-Server
• Massives DNS-Sicherheitsproblem gefährdet das Internet

(Monika Ermert) / (jk)