• IT-Karriere:
  • Services:

Zukunft von DNSSEC zweifelhaft

Grundsätzlich gibt es in der IT-Industrie viele Bedenken gegen DNSSEC. Zuletzt hatten einige namhafte Fachleute die Zukunft von DNSSEC infrage gestellt. Der Google-Entwickler Ryan Sleevi hatte kürzlich in einer langen Mail auf einer Chromium-Entwickler-Mailingliste erklärt, dass er DNSSEC für völlig unpraktikabel halte. Der Kryptographie-Experte Thomas Pacek hält DNSSEC ebenfalls für eine schlechte Idee und empfiehlt, komplett darauf zu verzichten und stattdessen Technologien wie Key Pinning weiter voranzutreiben. Yahoos Sicherheitschef Alex Stamos hatte im Rahmen einer Keynote auf der Konferenz AppSec California erklärt: "DNSSEC ist tot". Auf Twitter erläuterte Stamos, dass Yahoo die Nutzung von DNSSEC geprüft habe und zu dem Schluss gekommen sei, dass es zu einem möglichen Missbrauch von Yahoo für DDoS-Attacken führen könnte.

Stellenmarkt
  1. Berliner Verkehrsbetriebe (BVG), Berlin
  2. BET3000 Deutschland Management GmbH, München

DdoS-Attacken mit Hilfe sogenannter Reflection- oder Amplification-Angriffe sind ein generelles Problem von DNS und anderen UDP-basierten Protokollen. Dabei sendet ein Angreifer eine UDP-Anfrage mit einer gefälschten Absenderadresse an einen Server, die Antwort landet beim Opfer. Diese Angriffe funktionieren besonders gut, wenn die Antwort auf eine Anfrage deutlich größer ist als die Anfrage selbst. Genau das ist bei DNSSEC häufig der Fall, denn es werden kryptographische Schlüssel und Signaturen über DNS verteilt. Der CDN-Anbieter Cloudflare, der zurzeit den Einsatz von DNSSEC testet, will aus diesem Grund ausschließlich Schlüssel auf Basis elliptischer Kurven mit dem ECDSA-Algorithmus nutzen. Bei ECDSA sind Schlüssel und Signaturen deutlich kleiner und das Amplification-Problem somit geringer.

Amplification-Angriffe durch PGP-Schlüssel im DNS

Das Problem der Amplification-Angriffe besteht aber nicht nur bei DNSSEC selbst, sondern auch bei den in DNS-Records abgelegten PGP-Schlüsseln. Der Openpgpkey-Standard erwähnt das Problem der Amplification-Angriffe und empfiehlt als Abhilfe, entsprechende Anfragen über UDP abzulehnen und Schlüssel nur über TCP auszuliefern. Das ist allerdings optional. Es ist also laut dem Standard durchaus zulässig, mehrere Kilobyte große UDP-Antworten zu verschicken, was ein erhebliches Risiko darstellt.

Beim DNS-Server von Mail.de werden zurzeit Anfragen nach PGP-Schlüsseln auch über UDP beantwortet. Das Paket hat dann eine Größe von über zwei Kilobyte. Fabian Bock von Mail.de sagte Golem.de, dass der Betreiber des DNS-Servers plane, dies in den nächsten Tagen zu ändern und entsprechende Anfragen nur noch über TCP zu beantworten.

Viele weitere Ideen

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Es kursieren eine Reihe weiterer Ideen, wie die Schlüsselverteilung für PGP-Mails optimiert werden könnte. Google arbeitet an einem System, das ähnlich wie Certificate Transparency funktionieren soll und die Keys in einem ewigen Log - ähnlich der Bitcoin-Blockchain - ablegt. Der Web-Service Keybase versucht, die Vertrauensprüfung über Accounts bei anderen Webservices wie Twitter, Github oder Facebook herzustellen. Der Mailanbieter Whiteout versucht sich an einem neuen System, das weiterhin auf Keyservern basiert und vor allem auf ein Trust-on-First-Use-System setzt. Ob die Vielfalt neuer Ansätze, die alle miteinander inkompatibel sind, hilfreich ist, ist wohl eher zweifelhaft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 OPENPGPKEY: Domain Name System speichert PGP-Schlüssel
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 11,99€
  2. für PC, PS4/PS5, Xbox und Switch
  3. (u. a. Elite Dangerous für 5,99€, Planet Zoo für 19,99€, Struggling für 5,99€, LostWinds...

barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /