Abo
  • Services:
Anzeige
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

Zukunft von DNSSEC zweifelhaft

Anzeige

Grundsätzlich gibt es in der IT-Industrie viele Bedenken gegen DNSSEC. Zuletzt hatten einige namhafte Fachleute die Zukunft von DNSSEC infrage gestellt. Der Google-Entwickler Ryan Sleevi hatte kürzlich in einer langen Mail auf einer Chromium-Entwickler-Mailingliste erklärt, dass er DNSSEC für völlig unpraktikabel halte. Der Kryptographie-Experte Thomas Pacek hält DNSSEC ebenfalls für eine schlechte Idee und empfiehlt, komplett darauf zu verzichten und stattdessen Technologien wie Key Pinning weiter voranzutreiben. Yahoos Sicherheitschef Alex Stamos hatte im Rahmen einer Keynote auf der Konferenz AppSec California erklärt: "DNSSEC ist tot". Auf Twitter erläuterte Stamos, dass Yahoo die Nutzung von DNSSEC geprüft habe und zu dem Schluss gekommen sei, dass es zu einem möglichen Missbrauch von Yahoo für DDoS-Attacken führen könnte.

DdoS-Attacken mit Hilfe sogenannter Reflection- oder Amplification-Angriffe sind ein generelles Problem von DNS und anderen UDP-basierten Protokollen. Dabei sendet ein Angreifer eine UDP-Anfrage mit einer gefälschten Absenderadresse an einen Server, die Antwort landet beim Opfer. Diese Angriffe funktionieren besonders gut, wenn die Antwort auf eine Anfrage deutlich größer ist als die Anfrage selbst. Genau das ist bei DNSSEC häufig der Fall, denn es werden kryptographische Schlüssel und Signaturen über DNS verteilt. Der CDN-Anbieter Cloudflare, der zurzeit den Einsatz von DNSSEC testet, will aus diesem Grund ausschließlich Schlüssel auf Basis elliptischer Kurven mit dem ECDSA-Algorithmus nutzen. Bei ECDSA sind Schlüssel und Signaturen deutlich kleiner und das Amplification-Problem somit geringer.

Amplification-Angriffe durch PGP-Schlüssel im DNS

Das Problem der Amplification-Angriffe besteht aber nicht nur bei DNSSEC selbst, sondern auch bei den in DNS-Records abgelegten PGP-Schlüsseln. Der Openpgpkey-Standard erwähnt das Problem der Amplification-Angriffe und empfiehlt als Abhilfe, entsprechende Anfragen über UDP abzulehnen und Schlüssel nur über TCP auszuliefern. Das ist allerdings optional. Es ist also laut dem Standard durchaus zulässig, mehrere Kilobyte große UDP-Antworten zu verschicken, was ein erhebliches Risiko darstellt.

Beim DNS-Server von Mail.de werden zurzeit Anfragen nach PGP-Schlüsseln auch über UDP beantwortet. Das Paket hat dann eine Größe von über zwei Kilobyte. Fabian Bock von Mail.de sagte Golem.de, dass der Betreiber des DNS-Servers plane, dies in den nächsten Tagen zu ändern und entsprechende Anfragen nur noch über TCP zu beantworten.

Viele weitere Ideen

Es kursieren eine Reihe weiterer Ideen, wie die Schlüsselverteilung für PGP-Mails optimiert werden könnte. Google arbeitet an einem System, das ähnlich wie Certificate Transparency funktionieren soll und die Keys in einem ewigen Log - ähnlich der Bitcoin-Blockchain - ablegt. Der Web-Service Keybase versucht, die Vertrauensprüfung über Accounts bei anderen Webservices wie Twitter, Github oder Facebook herzustellen. Der Mailanbieter Whiteout versucht sich an einem neuen System, das weiterhin auf Keyservern basiert und vor allem auf ein Trust-on-First-Use-System setzt. Ob die Vielfalt neuer Ansätze, die alle miteinander inkompatibel sind, hilfreich ist, ist wohl eher zweifelhaft.

 OPENPGPKEY: Domain Name System speichert PGP-Schlüssel

eye home zur Startseite
barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...



Anzeige

Stellenmarkt
  1. MAGMA GmbH, Aachen
  2. ADAC SE, München
  3. ORANGE Engineering, Berlin
  4. macio GmbH, Kiel und Karlsruhe


Anzeige
Top-Angebote
  1. (mehr als 2.500 reduzierte Titel)
  2. (u. a. The Hateful 8, Der Marsianer, London Has Fallen, Kingsman, Avatar)
  3. (Rabattcode: MB10)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Halo Wars 2 angespielt: Mit dem Warthog an die Strategiespielfront
Halo Wars 2 angespielt
Mit dem Warthog an die Strategiespielfront

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button
  1. Online-Einkauf Amazon startet virtuelle Dash-Buttons

Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. US-Präsident Zuck it, Trump!
  2. Fake News Für Facebook wird es hässlich
  3. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so

  1. Re: Gefährlich, wenn sich Dein Auto plötzlich...

    nexusbs | 03:45

  2. ganz einfach

    nexusbs | 03:35

  3. Re: Na und?

    nachgefragt | 02:52

  4. Re: Schade, dass es keinen Kommunismus in China gibt

    Yash | 02:48

  5. Re: Rollenspiele sind out

    divStar | 02:01


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel