Abo
  • Services:

Schwache Krypto und Reflection-Angriffe

DNSSEC hat einige weitere Probleme, für die es zwar theoretisch Lösungen gibt, die aber in der Praxis oft nicht zum Einsatz kommen. Wie oben bereits erwähnt, nutzt DNSSEC sogenannte Key Signing Keys und Zone Signing Keys. Für Letztere kommt oft RSA mit 1.024-Bit-Schlüsseln zum Einsatz.

Stellenmarkt
  1. Software AG, Saarbrücken
  2. KSA Kommunaler Schadenausgleich, Berlin

RSA mit 1.024 Bit gilt aus heutiger Sicht als nicht mehr sicher. Zwar ist es noch niemandem gelungen, öffentlich das Knacken eines 1.024-Bit-Schlüssels zu zeigen, doch es ist davon auszugehen, dass finanzstarke Angreifer dazu in der Lage wären. Begründet wird die Nutzung von solch kurzen Schlüsseln in DNSSEC damit, dass diese Schlüssel nur für kurze Zeiträume genutzt werden sollen und anschließend rotiert werden. Ob man diesem Argument folgen mag, sei dahingestellt, tatsächlich notwendig ist der Einsatz schwacher Kryptographie nicht.

DNSSEC unterstützt bereits Signaturen auf Basis elliptischer Kurven mit dem ECDSA-Verfahren. ECDSA verwendet deutlich kleinere Schlüssel und ist schneller als RSA. Zwar ist das Verfahren aus Sicherheitssicht nicht optimal, besser als RSA mit 1.024 Bit ist es jedoch allemal.

Große DNS-Antworten ermöglichen Reflection-Angriffe

Da DNSSEC-Antworten kryptographische Schlüssel und Signaturen enthalten, sind sie relativ groß. DNS ist ein auf UDP aufbauendes Protokoll, damit ergibt sich hier ein Problem: DNSSEC kann für sogenannte Reflection- oder Amplification-Angriffe missbraucht werden.

UDP ist ein verbindungsloses Protokoll, das heißt, dass ein Server keine Möglichkeit hat zu gewährleisten, dass Anfragen auch tatsächlich von der richtigen IP-Adresse kommen. Ein Angreifer kann das ausnutzen, indem er eine Anfrage mit gefälschter IP-Adresse schickt, die eine deutlich größere Antwort auslöst. Der Traffic landet dann bei der entsprechenden falschen IP-Adresse. Reflection-Angriffe sind im DNS-Protokoll grundsätzlich ein Problem, doch durch DNSSEC wird das Ganze deutlich schlimmer.

Das Reflection-Problem von DNSSEC ist nicht unlösbar. Auch hier würde der Einsatz von Signaturverfahren auf Basis elliptischer Kurven mit ECDSA helfen, um die DNS-Antworten klein zu halten. Weiterhin wäre es möglich, besonders große DNS-Antworten grundsätzlich nicht über UDP auszuliefern, sondern das sogenannte TC-Flag zu senden, welches den Client anweist, die Anfrage erneut über TCP zu stellen.

Völlig unabhängig von DNSSEC gibt es einige Mittel, um Reflection-Angriffe zu erschweren, dazu gehören etwa die Filterung von ungültigen UDP-Absenderadressen nach BCP38 und die Response-Rate-Limiting-Option von DNS-Servern. Diese Technologien sollten generell genutzt werden, da DNS-Server auch ohne DNSSEC in begrenztem Umfang für Reflection-Angriffe genutzt werden können.

Schwache Kryptographie und Reflection-Angriffe sind keine grundsätzlichen Probleme von DNSSEC, sie wären lösbar. Doch die Realität sieht anders aus: Viele DNSSEC-Server lassen sich extrem gut für Reflection-Angriffe nutzen. Und das DNSSEC-System ist voll von kryptographisch unsicheren kurzen RSA-Schlüsseln.

 DNSSEC auf Clients praktisch nicht vorhandenDNSSEC wird kaum von großen Internetkonzernen unterstützt 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. (-80%) 11,99€
  2. (-77%) 6,99€
  3. für 2€ (nur für Neukunden)
  4. 34,99€ (erscheint am 14.02.)

Bitschnipser 02. Jul 2015

Leg doch mal Zahlen vor. Relevante Punkte: 1) Technischer Mehraufwand im Vergleich zur...

bremse 30. Jun 2015

Weckruf? Indem man Dinge für tot erklärt, trägt man nicht gerade zur Verbreitung bei...

P1r4nh4 30. Jun 2015

Also ich glaube Otto-Normalsurferwird das vermutlich kaum machen. Aber ich habe mir...

M.P. 30. Jun 2015

Hmm, ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-) oder...

Wechselgänger 30. Jun 2015

Schön, daß du meinen nächsten Satz nicht mit zitiert hast. Der geht genau darauf ein...


Folgen Sie uns
       


LG V40 ThinQ - Test

Das V40 Thinq ist LGs jüngstes Top-Smartphone, das mit drei Kameras auf der Rückseite und zwei auf der Vorderseite in den Handel kommt.

LG V40 ThinQ - Test Video aufrufen
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
Mac Mini mit eGPU im Test
Externe Grafik macht den Mini zum Pro

Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
Ein Test von Marc Sauter

  1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
  2. Apple Mac Mini wird grau und schnell
  3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

    •  /