Abo
  • Services:
Anzeige
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

Zukunft von DNSSEC zweifelhaft

Anzeige

Grundsätzlich gibt es in der IT-Industrie viele Bedenken gegen DNSSEC. Zuletzt hatten einige namhafte Fachleute die Zukunft von DNSSEC infrage gestellt. Der Google-Entwickler Ryan Sleevi hatte kürzlich in einer langen Mail auf einer Chromium-Entwickler-Mailingliste erklärt, dass er DNSSEC für völlig unpraktikabel halte. Der Kryptographie-Experte Thomas Pacek hält DNSSEC ebenfalls für eine schlechte Idee und empfiehlt, komplett darauf zu verzichten und stattdessen Technologien wie Key Pinning weiter voranzutreiben. Yahoos Sicherheitschef Alex Stamos hatte im Rahmen einer Keynote auf der Konferenz AppSec California erklärt: "DNSSEC ist tot". Auf Twitter erläuterte Stamos, dass Yahoo die Nutzung von DNSSEC geprüft habe und zu dem Schluss gekommen sei, dass es zu einem möglichen Missbrauch von Yahoo für DDoS-Attacken führen könnte.

DdoS-Attacken mit Hilfe sogenannter Reflection- oder Amplification-Angriffe sind ein generelles Problem von DNS und anderen UDP-basierten Protokollen. Dabei sendet ein Angreifer eine UDP-Anfrage mit einer gefälschten Absenderadresse an einen Server, die Antwort landet beim Opfer. Diese Angriffe funktionieren besonders gut, wenn die Antwort auf eine Anfrage deutlich größer ist als die Anfrage selbst. Genau das ist bei DNSSEC häufig der Fall, denn es werden kryptographische Schlüssel und Signaturen über DNS verteilt. Der CDN-Anbieter Cloudflare, der zurzeit den Einsatz von DNSSEC testet, will aus diesem Grund ausschließlich Schlüssel auf Basis elliptischer Kurven mit dem ECDSA-Algorithmus nutzen. Bei ECDSA sind Schlüssel und Signaturen deutlich kleiner und das Amplification-Problem somit geringer.

Amplification-Angriffe durch PGP-Schlüssel im DNS

Das Problem der Amplification-Angriffe besteht aber nicht nur bei DNSSEC selbst, sondern auch bei den in DNS-Records abgelegten PGP-Schlüsseln. Der Openpgpkey-Standard erwähnt das Problem der Amplification-Angriffe und empfiehlt als Abhilfe, entsprechende Anfragen über UDP abzulehnen und Schlüssel nur über TCP auszuliefern. Das ist allerdings optional. Es ist also laut dem Standard durchaus zulässig, mehrere Kilobyte große UDP-Antworten zu verschicken, was ein erhebliches Risiko darstellt.

Beim DNS-Server von Mail.de werden zurzeit Anfragen nach PGP-Schlüsseln auch über UDP beantwortet. Das Paket hat dann eine Größe von über zwei Kilobyte. Fabian Bock von Mail.de sagte Golem.de, dass der Betreiber des DNS-Servers plane, dies in den nächsten Tagen zu ändern und entsprechende Anfragen nur noch über TCP zu beantworten.

Viele weitere Ideen

Es kursieren eine Reihe weiterer Ideen, wie die Schlüsselverteilung für PGP-Mails optimiert werden könnte. Google arbeitet an einem System, das ähnlich wie Certificate Transparency funktionieren soll und die Keys in einem ewigen Log - ähnlich der Bitcoin-Blockchain - ablegt. Der Web-Service Keybase versucht, die Vertrauensprüfung über Accounts bei anderen Webservices wie Twitter, Github oder Facebook herzustellen. Der Mailanbieter Whiteout versucht sich an einem neuen System, das weiterhin auf Keyservern basiert und vor allem auf ein Trust-on-First-Use-System setzt. Ob die Vielfalt neuer Ansätze, die alle miteinander inkompatibel sind, hilfreich ist, ist wohl eher zweifelhaft.

 OPENPGPKEY: Domain Name System speichert PGP-Schlüssel

eye home zur Startseite
barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Frankfurt am Main
  2. SOKA-BAU Urlaubs- und Lohnausgleichskasse der Bauwirtschaft, Wiesbaden
  3. Bizerba SE & Co. KG, Balingen
  4. Schwarz Business IT GmbH & Co. KG, Neckarsulm


Anzeige
Top-Angebote
  1. 249,90€
  2. 139,90€
  3. 94,90€

Folgen Sie uns
       


  1. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  2. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  3. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  4. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  5. Matebook X

    Huawei stellt erstes Notebook vor

  6. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  7. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  8. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  9. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  10. Squad

    Valve heuert Entwickler des Kerbal Space Program an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

  1. Re: 25MBit/s - wann begreifen die endlich, dass...

    bombinho | 18:53

  2. Re: Kommt mir auch auf Kundenseite bekannt vor.

    masel99 | 18:51

  3. Flächenvergleiche

    __destruct() | 18:47

  4. Re: Aber Suchmaschinen-Bombing ist weiter erlaubt...

    Trollifutz | 18:42

  5. Re: Viel Licht und dunkle Schatten

    M.P. | 18:37


  1. 16:58

  2. 16:10

  3. 15:22

  4. 14:59

  5. 14:30

  6. 14:20

  7. 13:36

  8. 13:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel