• IT-Karriere:
  • Services:

Schwache Krypto und Reflection-Angriffe

DNSSEC hat einige weitere Probleme, für die es zwar theoretisch Lösungen gibt, die aber in der Praxis oft nicht zum Einsatz kommen. Wie oben bereits erwähnt, nutzt DNSSEC sogenannte Key Signing Keys und Zone Signing Keys. Für Letztere kommt oft RSA mit 1.024-Bit-Schlüsseln zum Einsatz.

Stellenmarkt
  1. SPIER GmbH & Co. Fahrzeugwerk KG, Steinheim (Westfalen)
  2. Wahl EMEA Services GmbH, Unterkirnach bei Villingen-Schwenningen (Home-Office möglich)

RSA mit 1.024 Bit gilt aus heutiger Sicht als nicht mehr sicher. Zwar ist es noch niemandem gelungen, öffentlich das Knacken eines 1.024-Bit-Schlüssels zu zeigen, doch es ist davon auszugehen, dass finanzstarke Angreifer dazu in der Lage wären. Begründet wird die Nutzung von solch kurzen Schlüsseln in DNSSEC damit, dass diese Schlüssel nur für kurze Zeiträume genutzt werden sollen und anschließend rotiert werden. Ob man diesem Argument folgen mag, sei dahingestellt, tatsächlich notwendig ist der Einsatz schwacher Kryptographie nicht.

DNSSEC unterstützt bereits Signaturen auf Basis elliptischer Kurven mit dem ECDSA-Verfahren. ECDSA verwendet deutlich kleinere Schlüssel und ist schneller als RSA. Zwar ist das Verfahren aus Sicherheitssicht nicht optimal, besser als RSA mit 1.024 Bit ist es jedoch allemal.

Große DNS-Antworten ermöglichen Reflection-Angriffe

Da DNSSEC-Antworten kryptographische Schlüssel und Signaturen enthalten, sind sie relativ groß. DNS ist ein auf UDP aufbauendes Protokoll, damit ergibt sich hier ein Problem: DNSSEC kann für sogenannte Reflection- oder Amplification-Angriffe missbraucht werden.

UDP ist ein verbindungsloses Protokoll, das heißt, dass ein Server keine Möglichkeit hat zu gewährleisten, dass Anfragen auch tatsächlich von der richtigen IP-Adresse kommen. Ein Angreifer kann das ausnutzen, indem er eine Anfrage mit gefälschter IP-Adresse schickt, die eine deutlich größere Antwort auslöst. Der Traffic landet dann bei der entsprechenden falschen IP-Adresse. Reflection-Angriffe sind im DNS-Protokoll grundsätzlich ein Problem, doch durch DNSSEC wird das Ganze deutlich schlimmer.

Das Reflection-Problem von DNSSEC ist nicht unlösbar. Auch hier würde der Einsatz von Signaturverfahren auf Basis elliptischer Kurven mit ECDSA helfen, um die DNS-Antworten klein zu halten. Weiterhin wäre es möglich, besonders große DNS-Antworten grundsätzlich nicht über UDP auszuliefern, sondern das sogenannte TC-Flag zu senden, welches den Client anweist, die Anfrage erneut über TCP zu stellen.

Völlig unabhängig von DNSSEC gibt es einige Mittel, um Reflection-Angriffe zu erschweren, dazu gehören etwa die Filterung von ungültigen UDP-Absenderadressen nach BCP38 und die Response-Rate-Limiting-Option von DNS-Servern. Diese Technologien sollten generell genutzt werden, da DNS-Server auch ohne DNSSEC in begrenztem Umfang für Reflection-Angriffe genutzt werden können.

Schwache Kryptographie und Reflection-Angriffe sind keine grundsätzlichen Probleme von DNSSEC, sie wären lösbar. Doch die Realität sieht anders aus: Viele DNSSEC-Server lassen sich extrem gut für Reflection-Angriffe nutzen. Und das DNSSEC-System ist voll von kryptographisch unsicheren kurzen RSA-Schlüsseln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 DNSSEC auf Clients praktisch nicht vorhandenDNSSEC wird kaum von großen Internetkonzernen unterstützt 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 42,99€
  2. 7,49€
  3. 5,29€
  4. 16,99€

Bitschnipser 02. Jul 2015

Leg doch mal Zahlen vor. Relevante Punkte: 1) Technischer Mehraufwand im Vergleich zur...

bremse 30. Jun 2015

Weckruf? Indem man Dinge für tot erklärt, trägt man nicht gerade zur Verbreitung bei...

P1r4nh4 30. Jun 2015

Also ich glaube Otto-Normalsurferwird das vermutlich kaum machen. Aber ich habe mir...

M.P. 30. Jun 2015

Hmm, ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-) oder...

Wechselgänger 30. Jun 2015

Schön, daß du meinen nächsten Satz nicht mit zitiert hast. Der geht genau darauf ein...


Folgen Sie uns
       


Surface Duo - Fazit

Das Surface Duo ist Microsofts erstes Smartphone seit Jahren - und ein ungewöhnliches dazu. Allerdings ist das Gerät in Deutschland viel zu teuer.

Surface Duo - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /