DNSSEC-Schlüsseltausch 2017 – die Vorbereitungen laufen
Wer am 11. Oktober 2017 meint, dass sein Internet kaputt ist, der sollte bei seinem Provider nachfragen, ob das mit dem DNSSEC-Schlüsseltausch zu tun hat. Bis dahin ist es zwar noch ein wenig hin, doch die Vorbereitungen laufen auf Hochtouren.
Der Zeitplan für die Neusignierung der Rootzone des Domain Name Systems steht. Vertreter der Internet Corporation for Assigned Names and Numbers (ICANN) stellten in Berlin am Rande der 96. Tagung der Internet Engineering Task Force die Details des Schlüsseltauschs auf höchster Ebene vor (Key Rollover).
Ab dem 11. Oktober 2017 müssen DNS Resolver, die die Authentizität von DNS-Antworten anhand kryptografischer Signaturen prüfen, den neuen Masterschlüssel verwenden. Sonst erhalten sie und ihre Kunden für signierte Zonen wie .com oder .de nur noch Fehlermeldungen.
Vor genau fünf Jahren wurde die Rootzone mittels DNSSEC signiert. Diese kryptografische Absicherung von Domains gilt als probates Mittel gegen Phishing-Angriffe oder andere mehr oder minder gut gemeinte Umleitungen auf nicht authoritative Domains.
Eine ganze neue Sicherheitsarchitektur, etwa im Bereich der Absicherung von E-Mails mittels DANE, baut auf DNSSEC auf. Bei der Einführung des Rootschlüssels, des Key Signing Key (KSK), mit dem der Zone Signing Key (ZSK) unterschrieben wird, wurde versprochen, das nach spätestens fünf Jahren neu signiert wird.
Einhaltung guter Crypto-Standards
Beim Treffen in Berlin versicherte Matt Larson, DNS-Experte der ICANN, dass der 2048-Bit-RSA-Schlüssel nach wie vor sicher sei. Die Neusignierung entspreche aber guten Krypto-Standards. Außerdem will man den Tausch lieber einmal unter optimalen Bedingungen machen, um für den möglichen Notfall gerüstet zu sein, falls mal ein kompromittierter Schlüssel ausgetauscht werden muss.
Der langfristig vorbereitete Zeitplan sieht die Erzeugung des neuen Masterschlüssels bei der regulären Key-Signing-Zeremonie am 27. Oktober 2016 vor. Bis zur nächsten Key-Signing-Zeremonie Anfang 2017 wird der KSK-2017 dann „händisch“ an die Ostküste gebracht, wo die ICANN eine zweite Hochsicherheits-Facility fürs Schlüsselmanagement hat. Am 11. Juli 2017 wird der neue Schlüssel dann publiziert und am 11. Oktober löst der KSK-2017 den alten KSK-2010 ab. Noch bis Anfang 2018 behält man den alten Schlüssel, um einen etwaigen Roll-Back zu ermöglichen.
Tausch "ohne Landevorrichtung"
Was so wohlgeplant und geordnet klingt, hat aber eine Reihe von Unbekannten. Larson sagte trocken, man habe beim Start von DNSSEC gewusst, "dass wir keine Landevorrichtung haben oder dass wir die noch herstellen müssen“. Abgesehen von den exakten Zahlen von validierenden Systemen in einem Jahr weiß niemand, in welche Systeme – etwa Shopsysteme – DNSSEC-Validierung integriert wurde.
Vor allem aber kann niemand sagen, ob mit der Validierung auch der in einem eigenen RFC standardisierte Schlüsseltausch (RFC 5011) in einem Produkt vorgesehen wurde. Wer den KSK von Hand eingepflegt hat, muss im kommenden Jahr vor dem 11. Oktober den neuen Schlüssel in die Hand nehmen, sonst bekommt er nur sehr eingeschränkte Antworten zu DNS-Anfragen. Wer seine Systeme testen will, kann das aktuell über http://toot-servers.net oder http://keyroll.systems erledigen. ICANN entwickelt außerdem derzeit einen „real time-Test“ dafür. In den kommenden Tagen will die Netzverwaltung umfangreiche Informationen zur Planung veröffentlichen.
Auf die Frage, was den Schlüsseltausch noch verhindern oder verzögern könne, versicherten ICANN-Vertreter, nur echte Probleme für die im Oktober geplanten Upgrade des ZSK von 1024 auf 2048 Bit könnten die Zeitplanung nochmals verändern. Für den ZSK, der jedes Vierteljahr neu signiert wird, werden für 20 Tage beide Schlüssel parallel publiziert. Für dieses Upgrade machen sich die Experten in erster Linie Gedanken über möglicherweise große Antworten durch die längeren Schlüssel. Kleiner würden die erst, wenn auf Elliptic Curve Standards umgeschwenkt würde. (mls)
