Abo
  • Services:
Anzeige
DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile.
DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile. (Bild: Oxfordian Kissuth/Wikimedia Commons/CC by-sa 3.0D/CC-BY-SA 3.0)

Schwache Krypto und Reflection-Angriffe

DNSSEC hat einige weitere Probleme, für die es zwar theoretisch Lösungen gibt, die aber in der Praxis oft nicht zum Einsatz kommen. Wie oben bereits erwähnt, nutzt DNSSEC sogenannte Key Signing Keys und Zone Signing Keys. Für Letztere kommt oft RSA mit 1.024-Bit-Schlüsseln zum Einsatz.

Anzeige

RSA mit 1.024 Bit gilt aus heutiger Sicht als nicht mehr sicher. Zwar ist es noch niemandem gelungen, öffentlich das Knacken eines 1.024-Bit-Schlüssels zu zeigen, doch es ist davon auszugehen, dass finanzstarke Angreifer dazu in der Lage wären. Begründet wird die Nutzung von solch kurzen Schlüsseln in DNSSEC damit, dass diese Schlüssel nur für kurze Zeiträume genutzt werden sollen und anschließend rotiert werden. Ob man diesem Argument folgen mag, sei dahingestellt, tatsächlich notwendig ist der Einsatz schwacher Kryptographie nicht.

DNSSEC unterstützt bereits Signaturen auf Basis elliptischer Kurven mit dem ECDSA-Verfahren. ECDSA verwendet deutlich kleinere Schlüssel und ist schneller als RSA. Zwar ist das Verfahren aus Sicherheitssicht nicht optimal, besser als RSA mit 1.024 Bit ist es jedoch allemal.

Große DNS-Antworten ermöglichen Reflection-Angriffe

Da DNSSEC-Antworten kryptographische Schlüssel und Signaturen enthalten, sind sie relativ groß. DNS ist ein auf UDP aufbauendes Protokoll, damit ergibt sich hier ein Problem: DNSSEC kann für sogenannte Reflection- oder Amplification-Angriffe missbraucht werden.

UDP ist ein verbindungsloses Protokoll, das heißt, dass ein Server keine Möglichkeit hat zu gewährleisten, dass Anfragen auch tatsächlich von der richtigen IP-Adresse kommen. Ein Angreifer kann das ausnutzen, indem er eine Anfrage mit gefälschter IP-Adresse schickt, die eine deutlich größere Antwort auslöst. Der Traffic landet dann bei der entsprechenden falschen IP-Adresse. Reflection-Angriffe sind im DNS-Protokoll grundsätzlich ein Problem, doch durch DNSSEC wird das Ganze deutlich schlimmer.

Das Reflection-Problem von DNSSEC ist nicht unlösbar. Auch hier würde der Einsatz von Signaturverfahren auf Basis elliptischer Kurven mit ECDSA helfen, um die DNS-Antworten klein zu halten. Weiterhin wäre es möglich, besonders große DNS-Antworten grundsätzlich nicht über UDP auszuliefern, sondern das sogenannte TC-Flag zu senden, welches den Client anweist, die Anfrage erneut über TCP zu stellen.

Völlig unabhängig von DNSSEC gibt es einige Mittel, um Reflection-Angriffe zu erschweren, dazu gehören etwa die Filterung von ungültigen UDP-Absenderadressen nach BCP38 und die Response-Rate-Limiting-Option von DNS-Servern. Diese Technologien sollten generell genutzt werden, da DNS-Server auch ohne DNSSEC in begrenztem Umfang für Reflection-Angriffe genutzt werden können.

Schwache Kryptographie und Reflection-Angriffe sind keine grundsätzlichen Probleme von DNSSEC, sie wären lösbar. Doch die Realität sieht anders aus: Viele DNSSEC-Server lassen sich extrem gut für Reflection-Angriffe nutzen. Und das DNSSEC-System ist voll von kryptographisch unsicheren kurzen RSA-Schlüsseln.

 DNSSEC auf Clients praktisch nicht vorhandenDNSSEC wird kaum von großen Internetkonzernen unterstützt 

eye home zur Startseite
Bitschnipser 02. Jul 2015

Leg doch mal Zahlen vor. Relevante Punkte: 1) Technischer Mehraufwand im Vergleich zur...

bremse 30. Jun 2015

Weckruf? Indem man Dinge für tot erklärt, trägt man nicht gerade zur Verbreitung bei...

P1r4nh4 30. Jun 2015

Also ich glaube Otto-Normalsurferwird das vermutlich kaum machen. Aber ich habe mir...

M.P. 30. Jun 2015

Hmm, ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-) oder...

Wechselgänger 30. Jun 2015

Schön, daß du meinen nächsten Satz nicht mit zitiert hast. Der geht genau darauf ein...



Anzeige

Stellenmarkt
  1. BASF SE, Ludwigshafen
  2. ADA Cosmetics Holding GmbH, Kehl
  3. Provadis Partner für Bildung & Beratung GmbH, Frankfurt am Main
  4. BSH Hausgeräte GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)

Folgen Sie uns
       


  1. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  2. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  3. Internet der Dinge

    Bosch will die totale Vernetzung

  4. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  5. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  6. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  7. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  8. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  9. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  10. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

  1. Netzkarte, Signalanzeige - keine Aussagekraft bei O2

    Stepinsky | 00:09

  2. Re: Bitter nötig

    dominikp | 00:05

  3. Re: Wo ist der Sinn?

    marlborobluefresh | 00:05

  4. Re: Warum sind Ports aufs PCB gelötet?

    bombinho | 21.02. 23:59

  5. Re: Bald kommt UHD+

    Gladiac782 | 21.02. 23:59


  1. 21:26

  2. 19:00

  3. 17:48

  4. 16:29

  5. 16:01

  6. 15:30

  7. 15:15

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel