DNSSEC: Neues Verfahren zur Aktualisierung des Root-Zonen-Schlüssels etabliert

Ein neues Verfahren zur Aktualisierung des Root-Zonen-Schlüssels im globalen DNS mit Security Extensions wurde festgelegt. Dieser Schlüssel spielt eine wichtige Rolle bei der Sicherung des Internetverkehrs. Bisher wurde das DNS mit demselben Root-Key betrieben, allerdings nun steht ein Schlüsseltausch bevor der voraussichtlich etwa eineinhalb Jahre dauern wird.


Das kommt Anwendungen wie dem Mail- und VoIP-Verkehr oder ebenfalls dem Online-Banking zu Gute. Auch die Absicherung des Mail-Transports wie sie kürzlich etwa Web.de implementiert hat, gründet auf DNSSEC.

Heikler Schlüseltausch

Seit einer Weile steht die Technik aber vor einer Bewährungsprobe die man bei der Konzeption nicht vorhergesehen hat: DNSSEC fußt auf einem Hauptschlüssel der die Root-Zone des hierarchisch organisierten DNS signiert und dieser Hauptschlüssel muss allmählich gegen einen neuen getauscht werden (key rollover). Doch die Prozedur für den Tausch wurde seinerzeit nur lückenhaft spezifiziert und der Schlüsseltausch erscheint jetzt deshalb heikel.

DNSSEC & Schlüssselpaare

Das DNSSEC-Konzept stammt aus einer Zeit wie DNS-Server hardware-seitig noch schwach ausgelegt waren. Deshalb hat das IETF eine einfache kryptografische Lösung konzipiert die nach 2005 auch große Domain-Betreiber akzeptierten. Es setzt auf zwei asymmetrische Schlüsselpaare: Kurzlebige Zone Signing Keys (ZSK, zum Beispiel 512 Bit zum Signieren von DNS-Records) und langlebige Key Signing Keys (KSK, zum Beispiel 2048 Bit). Von beiden hat jede Domain je einen privaten und öffentlichen Key, also insgesamt vier. Dabei signiert man mit dem privaten KSK die privaten ZSK. Weil sie kurz sind, müssen ZSK häufig getauscht werden jedoch auch die KSK werden gelegentlich erneuert (key rollover). Diese Prozesse laufen beispielsweise bei Top-Level-Domains regelmäßig und geräuschlos ab.

Beim anstehenden Tausch des Root-Key muss ein neuer privater Key Signing Key (KSK) für die DNS-Rootzone erzeugt und sicher verwahrt werden und der zugehörige neue öffentliche KSK verteilt werden. Der private KSK signiert in einem aufwendig geschützten Verfahren, bei dem stets eine Mindestanzahl von Schlüsselbewahrern aus etlichen Ländern zusammenkommen muss die fortlaufend neu erzeugten ZSK (Zone Signing Key). Mit den signierten ZSK werden schließlich die DNS-Zonen signiert.

Die für den Vorgang zuständige Internet Corporation for Assigned Names and Numbers (ICANN) bemüht für die Prozedur das Bild vom Schlosswechsel an einem Haus ? wenn die Bewohner danach keinen passenden neuen Schlüssel erhalten, können sie die Tür nicht weiterhin öffnen. Und ebendies darin liegt das Problem: Die bisherigen Prozeduren können nicht hundertprozentig gewährleisten, dass alle Nutzer den neuen Schlüssel tatsächlich erhalten.

So hat sich ein Design-Team seit Sommer 2015 damit befasst, ebenso wie man den Übergang für möglichst alle Nutzer dennoch möglichst glatt hinbekommt. Beim Tausch des DNSSEC-Hauptschlüssels (Root-Key) sind mit den Bewohnern alle Nutzer gemeint die DNS-Resolver ausarbeiten und betreiben. Sie müssen die mit dem privaten Root-Key signierten Daten mit dessen Gegenstück, dem öffentlichen Root-Key validieren. Scheitert das Validieren ist die DNS-Information nicht vertrauenswürdig und die Verbindung zum angefragten Server kann nicht aufgebaut werden.

Schutz vor Manipulation

Seit dem Start im Jahr 2010 läuft das DNSSEC-System noch immer mit demselben Schlüssel. Es gibt zwar keine Anzeichen dafür, dass das DNSSEC manipuliert wird aber je länger ein kryptografischer Schlüssel im Einsatz ist desto höher die Wahrscheinlichkeit: Er kompromitiert werden könnte. Nun hat das Design-Team einen groben Ablaufplan vorgelegt, sodass alle Interessenten & Betroffenen ihre Zeitpläne darauf abstimmen können.

  • Oktober 2016: Prozedur zum Erzeugen des neuen Schlüssels startet
  • November 2016: Neuer Schlüssel wird erzeugt
  • Juli 2017: Neuer Schlüssel wird in die Root-Zone eingesetzt
  • Oktober 2017: Alter Schlüssel wird aus der Root-Zone entfernt
  • Januar 2018: Gültigkeit des alten Schlüssels endet
  • März 2018: Schlüsseltauschprozedur endet


Weitere Einzelheiten sollen in den kommenden Wochen folgen. Klar sei aber so schreibt David Conrad im Blog des ICANN, dass sich der Zeitplan auch ändern könne, wenn es die Umstände erfordern. Ein periodischer Wechsel des Root-Key sei so ratsam wie ein Passwortwechsel, aber er muss mit Vorsicht vollzogen werden, zu diesem Zweck der DNS-Betrieb reibungslos weiter läuft. Unter anderem deswegen werden für eine Weile beide Schlüssel in Verwendung sein der neue und der alte.

Zuletzt aktualisiert am Uhr




Kommentare


Ähnliche News



DNSSEC-Schlüsseltausch 2017: Die Vorbereitungen sind im Gange

 DNSSEC-Schlüsseltausch 2017 ? die Vorbereitungen laufen

Die Vorbereitungen für den DNSSEC-Schlüsseltausch im Jahr 2017 sind in vollem Gange. Wenn Personen am 11. Oktober 2017 Probleme mit ihrem Internet haben » sollten sie sich bei ihrem Provider erkundigen « ob dies mit dem Schlüsseltausch zusammenhängt.


Die Rückkehr der DNS-Betriebsaufsicht an ICANN

Die US-Regierung bevorzugt es, wichtige Entscheidungen über die Netzverwaltung der Internet Corporation for Assigned Names and Numbers (ICANN) allein zu treffen. Nachdem der 44. Der Vertrag soll zunächst bis 30. September 2015 laufen und zweimal bis insgesamt 2019 verlängert werden können.



Anzeige