Abo
  • Services:
Anzeige
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

Zukunft von DNSSEC zweifelhaft

Anzeige

Grundsätzlich gibt es in der IT-Industrie viele Bedenken gegen DNSSEC. Zuletzt hatten einige namhafte Fachleute die Zukunft von DNSSEC infrage gestellt. Der Google-Entwickler Ryan Sleevi hatte kürzlich in einer langen Mail auf einer Chromium-Entwickler-Mailingliste erklärt, dass er DNSSEC für völlig unpraktikabel halte. Der Kryptographie-Experte Thomas Pacek hält DNSSEC ebenfalls für eine schlechte Idee und empfiehlt, komplett darauf zu verzichten und stattdessen Technologien wie Key Pinning weiter voranzutreiben. Yahoos Sicherheitschef Alex Stamos hatte im Rahmen einer Keynote auf der Konferenz AppSec California erklärt: "DNSSEC ist tot". Auf Twitter erläuterte Stamos, dass Yahoo die Nutzung von DNSSEC geprüft habe und zu dem Schluss gekommen sei, dass es zu einem möglichen Missbrauch von Yahoo für DDoS-Attacken führen könnte.

DdoS-Attacken mit Hilfe sogenannter Reflection- oder Amplification-Angriffe sind ein generelles Problem von DNS und anderen UDP-basierten Protokollen. Dabei sendet ein Angreifer eine UDP-Anfrage mit einer gefälschten Absenderadresse an einen Server, die Antwort landet beim Opfer. Diese Angriffe funktionieren besonders gut, wenn die Antwort auf eine Anfrage deutlich größer ist als die Anfrage selbst. Genau das ist bei DNSSEC häufig der Fall, denn es werden kryptographische Schlüssel und Signaturen über DNS verteilt. Der CDN-Anbieter Cloudflare, der zurzeit den Einsatz von DNSSEC testet, will aus diesem Grund ausschließlich Schlüssel auf Basis elliptischer Kurven mit dem ECDSA-Algorithmus nutzen. Bei ECDSA sind Schlüssel und Signaturen deutlich kleiner und das Amplification-Problem somit geringer.

Amplification-Angriffe durch PGP-Schlüssel im DNS

Das Problem der Amplification-Angriffe besteht aber nicht nur bei DNSSEC selbst, sondern auch bei den in DNS-Records abgelegten PGP-Schlüsseln. Der Openpgpkey-Standard erwähnt das Problem der Amplification-Angriffe und empfiehlt als Abhilfe, entsprechende Anfragen über UDP abzulehnen und Schlüssel nur über TCP auszuliefern. Das ist allerdings optional. Es ist also laut dem Standard durchaus zulässig, mehrere Kilobyte große UDP-Antworten zu verschicken, was ein erhebliches Risiko darstellt.

Beim DNS-Server von Mail.de werden zurzeit Anfragen nach PGP-Schlüsseln auch über UDP beantwortet. Das Paket hat dann eine Größe von über zwei Kilobyte. Fabian Bock von Mail.de sagte Golem.de, dass der Betreiber des DNS-Servers plane, dies in den nächsten Tagen zu ändern und entsprechende Anfragen nur noch über TCP zu beantworten.

Viele weitere Ideen

Es kursieren eine Reihe weiterer Ideen, wie die Schlüsselverteilung für PGP-Mails optimiert werden könnte. Google arbeitet an einem System, das ähnlich wie Certificate Transparency funktionieren soll und die Keys in einem ewigen Log - ähnlich der Bitcoin-Blockchain - ablegt. Der Web-Service Keybase versucht, die Vertrauensprüfung über Accounts bei anderen Webservices wie Twitter, Github oder Facebook herzustellen. Der Mailanbieter Whiteout versucht sich an einem neuen System, das weiterhin auf Keyservern basiert und vor allem auf ein Trust-on-First-Use-System setzt. Ob die Vielfalt neuer Ansätze, die alle miteinander inkompatibel sind, hilfreich ist, ist wohl eher zweifelhaft.

 OPENPGPKEY: Domain Name System speichert PGP-Schlüssel

eye home zur Startseite
barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Schweinfurt
  2. MediaMarktSaturn IT Solutions, Ingolstadt, München
  3. St. Vincenz-Krankenhaus GmbH, Paderborn
  4. redblue Marketing GmbH, Ingolstadt, München


Anzeige
Spiele-Angebote
  1. (-20%) 23,99€
  2. 7,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Energielabels

    Aus A+++ wird nur noch A

  2. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler

  3. HTTPS

    US-Cert warnt vor Man-In-The-Middle-Boxen

  4. Datenrate

    Facebook und Nokia bringen Seekabel ans Limit

  5. Grafikkarte

    Zotac will die schnellste Geforce GTX 1080 Ti stellen

  6. Ab 2018

    Cebit findet künftig im Sommer statt

  7. Google

    Maps erlaubt Teilen des eigenen Standortes in Echtzeit

  8. Datengesetz geplant

    Halter sollen Eigentümer von Fahrzeugdaten werden

  9. Nintendo Switch

    Leitfähiger Schaumstoff löst Joy-Con-Probleme

  10. Stack Overflow

    Deutsche Entwickler fühlen sich unterbezahlt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

Airselfie im Hands on: Quadcopter statt Deppenzepter
Airselfie im Hands on
Quadcopter statt Deppenzepter
  1. Fiberglas und Magneten Wabbeliger Quadcopter übersteht Stürze
  2. Senkrechtstarter Solardrohne fliegt wie ein Harrier
  3. Mobiler Startplatz UPS-Lieferwagen liefert mit Drohne Pakete aus

"Mehr Breitband für mich": Was wurde aus dem FTTH-Ausbau der Telekom für Selbstzahler?
"Mehr Breitband für mich"
Was wurde aus dem FTTH-Ausbau der Telekom für Selbstzahler?
  1. 50 MBit/s Dobrindt glaubt weiter an bundesweiten Ausbau bis 2018
  2. Breitbandgipfel 2.000 Euro für FTTH im Gewerbegebiet sind akzeptiert
  3. Breitbandgipfel Telekom hält 100 MBit/s für "im Moment ausreichend"

  1. Re: Habs doch schon, nannte sich Google latitude

    __destruct() | 03:07

  2. Re: Betrifft alle Streamer?

    Apfelbrot | 03:03

  3. Re: Problem erkannt, Problem wiederholt.

    GenXRoad | 02:59

  4. Re: Leider alternativ-los...

    Apfelbrot | 02:59

  5. Re: Nonsense!

    Apfelbrot | 02:57


  1. 18:59

  2. 18:42

  3. 18:06

  4. 17:39

  5. 17:10

  6. 16:46

  7. 16:26

  8. 16:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel