DNS: Sieben Schlüsselbewahrer für die Rootzone
Die Vorbereitungen für die Absicherung der Rootzone des Domain Name System mit dem Protokoll DNS Security Extensions (DNSSEC) gehen in die heiße Phase. Mittels der DNSSEC-Signaturen soll verhindert werden, dass DNS-Informationen auf dem Weg vom Absender zum Empfänger verändert werden.
Die Vorbereitungen für die Absicherung der Rootzone des Domain Name Systems (DNS) mit dem Protokoll DNS Security Extensions (DNSSEC) gehen in die heiße Phase. Beim 76. Treffen der Internet Engineering Task Force (IETF) in Hiroshima präsentierte das Design-Team von VeriSign, der Internet-Verwaltung ICANN und der US-Behörde NTIA die scharfen Sicherheitsbestimmungen, unter denen die verschiedenen notwendigen Schlüssel erzeugt, aufbewahrt und erneuert werden. Sorge bereitete den Entwicklern bei der IETF, dass noch Kanäle dafür fehlen, mögliche Effekte des DNSSEC-Roll-Out ab Januar den Internet Service Providern zu erklären, beziehungsweise deren Beobachtungen zu Problemen abzufragen.
Im Oktober überraschten ICANN und VeriSign mit dem Zeitplan für die DNSSEC-Signierung der Rootzone. Bereits am ersten Dezember wird intern signiert, ab Januar publiziert der erste Rootserver die Zone nach außen. Mittels der kryptographisch abgesicherten DNSSEC-Signaturen soll verhindert werden, dass DNS-Informationen auf dem Weg vom Absender zum Empfänger verändert werden. Der DNS-Server sendet mit seinem DNS-Response auch den Hash-Wert der Nachricht zum Empfänger, den er mit seinem privaten, also geheimen Schlüssel erzeugt hat. Der Empfänger verwendet den zugehörigen öffentlichen Schlüssel, um den Hash-Wert zu überprüfen. Kommt er zum gleichen Ergebnis, gilt die Nachricht als unvervälscht.
Die Signierung der Rootzone ist notwendig, um die Vertrauenskette innerhalb des Domain Name System zur Umsetzung von Domain- und Host-Namen auf IP-Adressen durchgängig zu machen; erste Top Level Domains wie .se und .org haben ihrer Zonen bereits signiert. Da der Eingriff ins DNS erheblich ist und bei Fehlern ganze Zonen vom Netz verschwinden können, soll der Roll-Out in kleinen Schritten erfolgen. Nacheinander werden ab Januar die Rootserver L, J, M, I, D, K und so weiter signierte Antworten ausgeben. Voraussichtlich im Mai wird A als letzter Server hinzukommen. A erst ganz zum Schluss einzubeziehen, sei eine schlechte Idee, warnten die IETF-Entwickler, es befördere den längst überholten Mythos, dass A etwas besonders sei.
Jakob Schlyter vom Beratungsunternehmen Kirei sagte gegenüber heise online, es sei heute nicht mehr so, dass DNS-Resolver bei Priming-Anfragen, also bei einem ersten Abruf der Rootzone, immer zuerst auf A zurückgriffen. Die Wahl, A ans Ende zu setzen, sei reine Vorsicht. Einen möglichen Stopp des gesamten Roll-Outs für den schlimmsten Fall hält man sich ebenfalls offen: Bis Juli wird ein nicht validierbarer Schlüssel präsentiert. Damit lasse sich jederzeit die signierte Zone zurückziehen, ohne dass diejenigen, die bereits validierten, keine DNS-Zonen und -Auflösung mehr sähen.
Die enormen Vorsichtsmaßnahmen spiegeln sich schließlich auch beim Schlüsselmanagement, das in hoch gesicherten Rechenzentren und mit Gruppen von "Schlüsselbewahrern" stattfinden wird. Die Internet-Verwaltung ICANN hält dabei den Masterschlüssel (Key Signing Key) über das ganze System einschließlich des Schlüssels für die Rootzone; die ICANN sucht dafür derzeit sieben Personen, von denen jeweils mindestens fünf anwesend sein müssen, um einen neuen Masterschlüssel zu erzeugen, und mindestens drei für neue Signaturen.
Der Aufwand, der betrieben wird, ist beachtlich. Die eigentlichen Tokens, die die zur Signatur- und Schlüsselgenerierung vorgesehene Hardware freischalten, liegen in verschlossenen Boxen bei der ICANN. Die Schlüssel zu diesen Boxen bringen die Schlüsselbewahrer, die aus der ganzen Welt kommen sollen, zu den Schlüsselzeremonien mit. Alle zwei bis fünf Jahre soll ein neuer Masterschlüssel erzeugt werden; bei Notfällen kann dies auch in kürzeren Zeiträumen passieren. Weil man für die sieben Schlüsselbewahrer aus dem Umfeld der ICANN und der IP-Adressverwaltungsstellen jeweils zwei Stellvertreter sucht, benötigt man 21 vertrauenswürdige Personen.
Ähnliche Verfahren gibt es bei VeriSign für das Management des Rootzonen-Schlüssels (Zone Signing Key, ZSK). Anders als der Key Signing Key wird dieser viermal im Jahr ausgetauscht. Während der Übergangsphase liegen alter und neuer Schlüssel bereit. Damit nicht jeder neue ZSK vom Masterschlüssel signiert werden muss, bekommt VeriSign von der ICANN zudem einen Satz von KSK-Signaturen. Ob deren Verlust nicht zu einer Unsicherheit führe, wollte Joao Damas, Entwickler der BIND-Schmiede ISC wissen. Das Signaturen-Bündel und der Rootzonenschlüssel seien "tief im Hause VeriSign" verborgen, entgegnete Matt Larson, Vizepräsident und DNSSEC-Verantwortlicher bei VeriSign.
Während die Entwicklergemeinde über die Sicherheitsmaßnahmen insgesamt beruhigt war, hagelte es Nachfragen zur als dringend notwendig erachteten Informationskampagne. Mit der Lieferung der längeren DNSSEC-Antworten nimmt die Last auf die DNS-Server zu. Alte DNS-Resolver haben Schwierigkeiten mit den langen Antworten, stellen neue Anfragen über das schwergewichtigere TCP, was erneut die Last erhöht. Die Nutzer sollten vorerst nichts von alledem sehen, versichern die Experten vollmundig. Höhere Latenzzeiten könnten aber schon zu Anrufen von Nutzern führen, warnte ein Experte. Provider müssten wissen, wohin sie ihre Beobachtungen melden sollten. Der volle Spaß, wenn wirklich validiert werden kann, beginnt im kommenden Juli – wenn alles gutgeht.
Siehe dazu auch:
- IETF: Heimrouter sollen Mindestanforderungen erfüllen
- Erster Rootserver liefert ab 1. Dezember DNSSEC-signierte Zone
- DNSSEC: Größte Veränderung in der Geschichte des DNS
(jk)
