Seite 3: DNS über HTTPS verschiebt nur das Vertrauen

Inhaltsverzeichnis

heise online: Würden Sie sagen, dieser Aspekt von TLS 1.3 hat für den Widerstand der Geheimdienste gegen TLS 1.3 geführt?

Steven Bellovin: Es gibt auch eine Menge Unternehmen, die das nicht mögen, weil sie meinen, sie müssten den Datenverkehr ihre Angestellten beobachten. Ich kann die Auffassung nachvollziehen. Aber ich denke, die Unternehmen machen es falsch. 1994 war ich Koautor des ersten Buchs über Firewalls. 1999 hab ich erkannt, dass die Firewalls uns nicht retten können. Es war einfach zu viel Verkehr, schon damals. Ich habe also geraten, dass man Regeln und deren Durchsetzung am Endpunkt pflegt und mittels Verschlüsselung zwischen innen und außen unterscheidet. Man installiert also Intrusion Detection und Firewall Policies auf jeden Computer, so dass Ihr Laptop hier ebenso innerhalb des Netzes Ihrer Organisation ist, als wäre er in Ihrem Büro. Nur so geht‘s.

heise online: Kommen wir kurz zu einem in Teilen verwandten Thema, dem Siegeszug des Webprotokolls HTTP, beziehungsweise HTTPS. Ist HTTPS das neue TCP/IP?

Steven Bellovin: Darauf gibt es zwei Antworten. Die erste ist, vor zehn Jahren hat man HTTP als universelle Lösung für das Problem mit den Firewalls gesehen. Wenn etwas wie Webverkehr aussah, musste es jede Firewall durchlassen. Es war nützlich, wurde standardisiert, machte allerdings auch bestimmten Firewalls den Garaus, bis sie mit Deep Packet Inspection anfingen. Was wiederum nahelegt, dass man Kontrolle am Endpunkt installiert, denn da kann man dann sehen, welche Applikation eigentlich mit einem sprechen will. Das ist der erste Teil der Antwort. Heute haben wir das Bedrohungsszenario offenes WiFi. Es gibt eine Menge Leute, die offene WiFis benutzen, das ist gut, aber es ist so trivial abzuhören. Es ist ein Alltagsproblem und deshalb muss man diesen Verkehr verschlüsseln können.

DNS ist kein Ende-zu-Ende-Protokoll

heise online: Welche Nachteile sehen sie mit dem Wechsel zu HTTPS, nehmen wir mal die neueste Entwicklung, DNS in HTTPS einzupacken? Ist Konzentration ein Problem, wenn man davon ausgeht, dass einzelne große Implementierungen Verkehr über wenige Punkte leiten?

Steven Bellovin: Ich halte das für problematisch und bin kein Fan von DNS über HTTPS oder auch TLS, teils weil es einen ‚central point of failure‘ schafft. Gleich, ob man jetzt an Nachrichtendienste oder Strafverfolger oder simple Ausfälle denkt, das ist ein erhebliches Risiko.

DNS ist von seiner Natur her kein Ende-zu-Ende Protokoll. Vertraulichkeit fürs DNS ist eine wirklich harte Nuss. Was man jetzt tut ist, dass man Vertrauen verschiebt. Ich mache mal ein Beispiel. Sie sitzen in einem Hotelzimmer und machen eine DNS-Anfrage für eine pornographische Seite. Das Hotel weiß, dass man nach der Seite sucht, weil es den lokalen Resolver betreibt. Aber der ISP weiß es schon nicht. Oder nehmen wir jemanden in einer Wohnanlage. Die Anfragen gehen über eine IP-Adresse raus, aber der ISP weiß nicht, wer genau die DNS Anfrage gestartet hat. Wenn das nun über HTTPS zu einem zentralen Punkt geht, dann wird der individuelle Computer identifiziert. Das verletzt in einer Hinsicht die Vertraulichkeit sehr viel stärker. Und das ist noch nicht alles. Wenn der Angreifer die Strafverfolgung ist, dann kommen die mit einem Gerichtsbeschluss, nach den geltenden Regeln und mit den vorgesehenen Beschränkungen, aber sie kriegen ihren Beschluss und gehen zum DNS-over-HTTPS-Provider und sagen: ‚Ich möchte gerne den Datenverkehr von dem und dem‘. Das ist letztlich weniger vertrauenswürdig. Ich verstehe das Bedrohungsszenario hier nicht ganz, außer sie wollen es der NSA heimzahlen. Aber auch die NSA kann mit einem FISA-Beschluss zu Cloudflare gehen. Meiner Meinung nach ist es ein Sicherheitsfeature ohne ein klares Szenario, wer der Feind ist.

heise online: Und wenn man viel Verkehr zentralisiert, ist es sogar leichter...

Steven Bellovin: Genau. Ein solcher Server gibt ein wundervolles Ziel ab. Schon jetzt sind so viele DNS-Daten zu kriegen. Da gab es die Story im New Yorker über das Verhältnis der Trump-Organisation und der Alpha Bank, einer russischen Bank. Jemand hatte sich DNS-Anfragen verschafft und die dann angeboten, an Wissenschaftler, und als man sie anschaute, fand man mysteriöse Patterns in den Anfragen, die auf die Verbindung zwischen der Trump-Organisation und der Bank hinwiesen. Aber die DNS-Daten verwiesen nur in Richtung von Trumps Kampagne. Also, die Daten sind da, und jetzt versucht man die Daten einem einzelnen Rechner zuzuordnen. Ich weiß nicht, ob das für die Vertraulichkeit von Vorteil ist.

heise online: Gibt es denn eine gute Lösung für mehr Vertraulichkeit im DNS?

Steven Bellovin: Ich würde das als eine Forschungsfrage betrachten. Ich weiß es nicht.