Wie DNS-Multi-Signing die Internet-Sicherheit verbessert
Die DNSSEC genannte Sicherheitserweiterung des Domain Name System schützt beim Internetsurfen, verbreitet sich aber nur langsam. Ein Überblick.
Wer Server im Internet anhand ihres Domainnamens ansteuert, beispielsweise meinebank.de, möchte sicher sein, dass er tatsächlich einen Dialog zum gewünschten Server aufbaut – digitale Wegelagerer sollen weder mithören noch den Verkehr manipulieren oder umleiten können. Doch bereits der erste Schritt, das Übersetzen des menschenlesbaren Domainnamens in eine maschinenlesbare IP-Adresse mittels DNS-Lookup, ist problematisch: Das zugrundeliegende Domain Name System (DNS) entstand Mitte der 1980er-Jahre ohne Absicherung. Anfangs war das kein Problem, das Internet war ja noch ein Forschungsnetz. Das änderte sich in den 1990er-Jahren, als es sich im großen Stil für Privatnutzer öffnete und Kriminelle neue Tätigkeitsfelder fanden. Das DNS blieb aber noch jahrelang weitgehend unverändert.
Angreifer können daher sogar heute noch Lookups durch Techniken wie DNS-Spoofing [14] [14] oder DNS-Cache-Poisoning manipulieren. Das hat schwerwiegende Folgen: Angreifer können Datenverkehr manipulieren und umleiten und so zum Beispiel private Kommunikation mitlesen, eine Identität vortäuschen oder Vermögen stehlen.
Dagegen schützen digitale Signaturen, die der DNS-Server an seine Antworten anheftet (DNS Security Extensions, DNSSEC). Sie sichern DNS-Auskünfte kryptografisch gegen Fälschungen und authentisieren den Server als zulässige Quelle der Antworten. Eine Transportverschlüsselung wie TLS hilft da nicht, weil sie nicht dagegen schützt, dass ein präparierter, per TLS kommunizierender Resolver dem Client falsche Informationen sendet.
URL dieses Artikels:
https://www.heise.de/-7102779
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Kryptografie-Riesige-Primzahlen-fuer-sichere-Verschluesselungen-finden-7370508.html
[2] https://www.heise.de/ratgeber/Tipps-zur-Optimierung-Ihres-SSH-Workflows-7272695.html
[3] https://www.heise.de/hintergrund/Manuell-entschluesseln-QR-Codes-per-Hand-dekodieren-ohne-technische-Hilfsmittel-7195658.html
[4] https://www.heise.de/hintergrund/Warum-viele-Datenspeicher-mit-Hardwareverschluesselung-zu-wenig-Schutz-bieten-7164070.html
[5] https://www.heise.de/hintergrund/Die-Vorteile-der-schnellen-DNS-Verschluesselung-DoQ-7147576.html
[6] https://www.heise.de/hintergrund/Wie-DNS-Multi-Signing-die-Internet-Sicherheit-verbessert-7102779.html
[7] https://www.heise.de/hintergrund/RSA-Verschluesselung-im-Ueberblick-So-funktioniert-das-asymmetrische-Verfahren-6624515.html
[8] https://www.heise.de/hintergrund/Briefe-von-Kaiser-Maximilian-II-mit-Kryptotools-entschluesselt-6338054.html
[9] https://www.heise.de/ratgeber/Moderne-Kryptografie-ausprobieren-und-verstehen-mit-CrypTool-2-6129885.html
[10] https://www.heise.de/hintergrund/Wovor-ein-Virtual-Private-Network-schuetzt-und-wovor-nicht-6159454.html
[11] https://www.heise.de/hintergrund/Sichere-Kommunikation-Symmetrische-und-asymmetrische-Verschluesselung-5077465.html
[12] https://www.heise.de/ratgeber/DNS-Verschluesselung-Raspi-mit-DNS-Filter-fuer-Fritzbox-Co-5037806.html
[13] https://www.heise.de/ratgeber/IoT-Hacking-Firmware-und-Netzwerksicherheit-verbessern-5025628.html
[14] https://www.zdnet.com/article/hacktivists-deface-multiple-sri-lankan-domains-including-google-lk/
Copyright © 2022 Heise Medien