IETF-Gremium fordert einfaches System für DNS-Security
Das Internet Architecture Board, zentrales Gremium der Standardisierungsorganisation Internet Engineering Task Force, fordert ein einfaches System für das Signieren der DNS-Rootzone und Mitspracherechte für die Interessengruppen der ICANN.
Das Internet Architecture Board (IAB), zentrales Gremium der Standardisierungsorganisation Internet Engineering Task Force (IETF), fordert ein einfaches System für das Signieren der DNS-Rootzone und Mitspracherechte für die Interessengruppen der Internet Corporation for Assigned Names and Numbers (ICANN) bei einer Reihe operativer Fragen. Die ICANN-Gemeinde soll so etwa über kontinuierliche Erneuerung der Schlüssel zur Signierung der Rootzone mitbestimmen. Das schreibt das IAB in seiner Stellungnahme an die US-amerikanische Aufsichtsbehörde National Telecommunications und Information Agency (NTIA). Außerdem mahnt sie zur Vorsicht: "Die Einführung von DNSSEC muss sich auf Daten, Datenintegrität und Datenauthentitiziät konzentrieren, es geht nicht um Kontrolle."
Wie die Rootzone signiert werden soll, ist seit knapp zwei Jahren Gegenstand erheblicher Debatten. Mit der Stellungnahme beantwortet das IAB eine im Oktober von der NTIA gestartete Konsultation zur Absicherung der Rootzone mit DNSSEC. Das IETF-Protokoll DNS Security Extension (DNSSEC) sei der einzige Standard, der Korrumpierung oder Austausch von DNS-Daten auf dem Weg durch das Internet verhindere, schreibt das IAB. Richtig umgesetzt könne das Protokoll daher für mehr Vertrauen im Netz sorgen. Verhindern lassen sich nach Ansicht der Experten insbesondere Phishingattacken und die von Dan Kaminsky entdeckten Schwachstellen.
Selbst wenn nicht alle Zonen oder gar Einzeldomains signiert würden, die Signierung besonders neuralgischer Zonen etwa im Finanz- und Bankenberich könnte schon viel bewirken. Die Einführung des durchaus komplexen Protokolls, das auf Basis eines Public-Private-Key-Verfahrens die Authentizität der Antworten bei DNS-Abfragen prüft, ohne gute Planung, könne das System dagegen fragiler machen.
Der Hauptarchitekturvorschlag des IAB ist die Verknüpfung von Zonen-Updates und Signierung der Zone. Damit werde verhindert, dass unsignierte Daten oder Schüssel selbst durch das Netz geschoben werden müssten. Das nämlich würde wiederum Absicherungsmaßnahmen für diese Datentransfers erfordern. Damit widerspricht das IAB Überlegungen, die Signierung der Zone und die Generierung der Schlüssel aufzuteilen. Der Streit um die Rollen in der Verwaltung der Rootzone solle unabhängig davon in den kommenden Jahren beigelegt werden.
Der IAB-Kommentar reiht sich in eine Liste von bislang erst knapp 20 Antworten an die NTIA ein. Darunter finden sich konkrete Vorschläge für eine Übertragung des Masterschlüssels, des Key Signing Key, an IANA oder die Rootzone-Betreiber. Eine Stellungnahme des WID warnt davor, die wirtschaftlichen Aspekte außer Acht zu lassen, und eine Stellungnahme von AT&T fragt skeptisch nach, ob der Aufwand für das System zu rechtfertigen sei angesichts der Beobachtung, dass Nutzer im Zweifel Sicherheitsmeldungen übergehen, wenn sie zu einer bestimmten Adresse im Netz gelangen wollen. Die Abgabefrist für weitere Stellungnahmen endet am 24. November.
Siehe dazu auch:
- Leichte Bewegung bei DNSSEC
- IP-Adressverwaltung empfiehlt rasche Einführung von DNS Security
- Anhörung zu DNSSEC-Schlüssel - ICANN greift nach DNS-Kontrolle
- VeriSign will DNSSEC-Schlüssel (ein bisschen) teilen
- USA führen DNSSEC für alle Bundesbehörden ein
- Cache-Poisoning-Gefahr heizt DNSSEC-Debatte an
- DNSSEC oder ...? Die Suche nach Absicherung gegen Angriffe auf DNS-Server
- IGF: Politische und technische Probleme bei DNSSEC
- ICANN soll rasch Rootzone mit DNSSEC signieren
(Monika Ermert) / (anw)
