Workshop: Securing Security – wie man TLS-Zertifikate zuverlässig absichert

Verschlüsselte Kommunikation verhindert unerwünschtes Mitlesen durch Dritte und schützt die Privatsphäre zwischen zwei Kommunikationspartnern. Dafür setzt man häufig kryptografische Schlüssel ein. Einem Schlüssel sieht man aber nicht an, wem er gehört. Beim verbreiteten Verschlüsselungsstandard TLS (Transport Layer Security) sollen daher x509-Zertifikate die Authentizität der Schlüssel und Schlüsseleigner beglaubigen.

Genau da steckt eine konzeptbedingte Schwäche: Denn jede Zertifizierungsstelle der Welt darf Zertifikate für jede beliebige Domain ausstellen – auch wenn das der Eigner der Domain gar nicht abgenickt hat. Außerdem sind die Herausgeber der Zertifikate wegen Sicherheitslücken in deren IT-Systemen und auch wegen Misswirtschaft in Verruf geraten.

Schlüssel nur aus einer Quelle

Die DANE-Technik räumt mit alten Konzeptfehlern auf und bringt mehrere Vorteile: Die dafür ausgelegten Tools und Clients beziehen einen Schlüssel automatisch nur aus der angefragten Domain – es gibt also nur noch eine Quelle für den Schlüssel einer Domain. Und weil bei DANE der digitale Fingerabdruck eines TLS-Zertifikats im Domain Name System hinterlegt wird, weiß die Seite, die eine Verbindung aufbauen will, vorher schon, woran sie das richtige Zertifikat erkennt. So werden Man-in-the-Middle-Attacken vereitelt.

Zudem wird der Fingerabdruck mittels den DNS Security Extensions auf dem Übertragungsweg zum Empfänger gegen Manipulation abgesichert (DNSSEC). Last but not least, behalten die Eigner die Kontrolle darüber, können Schlüssel also ersetzen oder entfernen. Denn, um bei DANE einen Schlüssel zu manipulieren, müsste gleich das gesamte DNSSEC manipuliert werden.

DANE für Server-Betreiber und Mail-User

Der Workhop zu DANE (DNS-Based Authentication of Named Entities) führt schnell in die Technik ein und zeigt, wie man sie auf dem DNS-Server BIND 9 einrichtet und mit dem freien Mailserver Postfix verwendet. Sie lernen, wie Sie einen SMTP-Server so einrichten, dass er E-Mails verschlüsselt weiterreicht und wie Sie Ihren Nutzern mittels DANE einen Mehrwert bei der PGP- oder S/MIME-verschüsselten Kommunikation bieten.

Der Workshop richtet sich an DNS- und Mail-Administratoren, Sicherheitsbeauftragte in Unternehmen sowie Auditoren für Netzwerksicherheit. Der Workshop findet in Hannover am 27.02.2018 statt. Themenschwerpunkte sind:

• Grundlagen DNSSEC

• Grundlagen TLS/SSL-Transportverschlüsselung

• DANE-Techiken, TLSA/OPENPGPKEY/SMIMEA-Records

• BSI Technische Richtlinie TR3108 "Sicherer E-Mail-Transport"

• Beispiel-Implementierung DNSSEC und DANE mit BIND 9 und Postfix

Vorausgesetzt werden grundlegende Linux- und Unix-Kommandozeilen-Kenntnisse sowie Grundkenntnisse des Domain-Name-System. Weitere Informationen sowie die Möglichkeit zur Anmeldung finden Sie auf der Workshop-Website. Für Anmeldungen bis zum 16.01.2018 ist ein Frühbucherrabatt erhältlich. (dz)