Rootzone-Sicherung sorgt weiter für Debatten [Update]

Bei der Einführung des Sicherheitsprotokolls DNSSEC in der zentralen Rootzone des Domain Name System (DNS) sollte es nach Meinung des Internet Governance Project (IGP) nicht einen, sondern mehrere gleichberechtigte "Schlüsselverwalter" geben. Das schlagen die IGP-Experten in einem neuen Papier (PDF-Dokument) zur "Absicherung der Rootzone" vor. Der Vorschlag widerspricht damit einem vom US-Ministerium für Heimatschutz (Department of Homeland Security, DHS) finanzierten Papier, das für eine zentrale Hinterlegung des DNSSEC-Schlüssels für die Rootzone wirbt. Das IGP präsentierte den Gegenvorschlag in der vergangenen Woche auf einer Konferenz (PDF-Dokument), bei der unter anderem Vertreter von VeriSign und dem US National Institute of Standards and Technology ihre Einschätzungen zur Zukunft von DNSSEC präsentierten.

Das unter Beteiligung von US-Behörden entwickelte DNS Security Extensions Protokoll (DNSSEC) hat laut dem Chef der deutschen Internet Society und DNS-Experten Peter Koch den Vorzug, dass "der Empfänger von DNS-Daten sicher sein kann, dass er die Daten so empfängt, wie der ursprüngliche Absender sie auf den Weg geschickt hat." Bei DNSSEC wird ein öffentlich für eine Zone verteilter Schlüssel mit dem privaten Schlüssel des Domaininhabers verglichen. Passt er nicht, kann der Empfänger davon ausgehen, dass sich jemand zwischen seine Anfrage und die Antwort geschaltet hat. Die Manipulation von DNS-Informationen auf dem Weg zwischen Quelle und Ziel werde so zwar nicht unmöglich, aber für den Empfänger erkennbar, erklärte Koch. Zwar gebe es bereits eine ganze Reihe anderer Sicherungsmöglichkeiten für Webdienste (wie etwa https), doch stützten sich mehr und mehr Dienste auf das DNS, für die es keine anderen Maßnahmen gegen Manipulationen gebe. Dazu gehört unter anderem VoIP.

Auch bei https und anderen Sicherheitsmaßnahmen etwa im Bankenbereich warnen Experten vor Sicherheitsproblemen. Das Autorenquartett Stuart Schechter, Rachna Dahamija, Andy Ozment und Ian Fischer präsentiert auf der am heutigen Montag in Oakland (US Bundesstaat Kalifornien) beginnenden IEEE-Konferenz zu Privatsphäre und Sicherheit die Ergebnisse einer empirischen Studie, nach der die Internetnutzer die Anzeige von "https" in der Adresszeile ignorieren. "Kein Teilnehmer der Studie hielt sein Passwort zurück, wenn die Anzeige fehlte", heißt es in den Ergebnissen der Studie. "Der Einsatz des DNS Security (DNSSEC) Standards würde eine Verifizierung der Informationen erlauben, die ein Domaininhaber veröffentlicht hat." Die vom Domaininhaber – etwa einer Bank – verwendeten Sicherheitsstandards ließen sich dann darüber sicher abfragen, so die Idee der Autoren.

Mit dem Vorschlag, den DNS-Masterschlüssel nicht bei einer einzigen Organisation oder gar Regierungsstelle zu hinterlegen, will das IGP eine der politischen Hürden für die Einführung von DNSSEC angehen. Eine tragende Rolle der US-Regierung bei der Aufsicht über das Schlüsselmanagement wird von vielen Beobachtern, wenn auch nicht unbedingt aus der Technik-Fraktion, abgelehnt. Ein Vertreter des DHS hatte im April Befürchtungen widersprochen, das Heimatschutzministerium strebe selbst eine solche Rolle an. Nirgends in dem vom DHS finanzierten und als "geheim" klassifizierten Papier werde ein Vorschlag zur Identität des Root Key Operator gemacht, so der Vertreter gegen über einer US-Presseagentur.

Die Frage, wer der zentrale "Root Key Operator" (RKO) werden soll, bleibt also offen. IGP hält eine Dezentralisierung der Schlüsselverwaltung und eine Ansiedlung bei nicht-staatlichen Stellen für geboten. "Verschiedene, gleichberechtigte RKOs machen die DNSSEC Architektur widerstandsfähiger gegen zeitweilige Ausfälle," heißt es in dem ausführlichen Papier. Koch sieht in einer solchen Dezentralisierung die Schaffung mehrerer Angriffspunkte auf die Integrität der Schlüssel. Eher geeignet sei möglicherweise ein Split des zentralen Schlüssels. IGP hofft, durch seinen Vorschlag dabei auch den Weg zu weniger Regierungseinfluss bei der DNS-Verwaltung insgesamt zu ebnen.

Wie weit der Weg zur Umsetzung von DNSSEC in der Praxis noch ist, dazu gab es in der vergangenen Woche offenbar unterschiedliche Meinungen. Ein Vertreter von VeriSign sprach laut einem US-Bericht von notwenigen Millioneninvestitionen für die zeitnahe Signatur der .com- und .net-Zone. Große Adresszonen müssen laut Koch häufiger neue Schlüsselpaare generieren und propagieren, da sich ihre Schlüssel schneller abnutzen. Eine Umkehr gerade von VeriSign auf dem Weg zur Einführung von DNSSEC wäre erstaunlich, meint Koch. Immerhin hat das Unternehmen mit seinem 100-Millionen-Dollar-Projekt namens Titan auch die "Einführung neuer Sicherheitsprotokolle" angekündigt.

[Update: Wie ein Vertreter von VeriSign inzwischen mitteilte, ist die Einführung von DNSSEC nicht Bestandteil des Titan-Projekts. Verisigns DNS-Experte Matt Larson erklärte, noch zögere das Unternehmen mit der Signierung von .com und .net, solange die Rootzone selbst nicht signiert sei. Die hohen Kosten für die Einführung von DNSSEC ergäben sich aus der Notwendigkeit, beträchtliche Änderungen an allen Teilen der Domainregistrierung und Auflösung vorzunehmen. Die Zunahme des Verkehrs durch den hinzu kommenden Schlüsselabgleich für die Domains machten zudem Hardware Upgrades nötig.]

Im vergangenen Jahr hatte ein VeriSign-Vertreter 2007 als Start für DNSSEC in der .tv-Zone genannt. Die Zonen für .com und .net, so die damalige Aussage, sollten "bald folgen". Pionier beim Signieren ihrer Zone ist die schwedische Registry. Das schwedische NIC und andere Fachleute in Europa verabredeten auf dem jüngsten Treffen des Réseaux IP Européen (RIPE), die private Netzverwaltung zu drängen, auf eine Einführung von DNSSEC auf Root-Ebene hinzuarbeiten. (Monika Ermert) / (vbr)