Cryptography Reference
In-Depth Information
37.5.2
DNSSEC und TSIG
Das Domain Name System (DNS) habe ich Ihnen bereits in Abschnitt 3.4.4 als
wichtigen Internetdienst vorgestellt. Zweck des DNS ist es, eine Internetadresse
wie www.kryptoboerse.kl in die zugehörige IP-Adresse (z.B. 153.125.34.43)
umzuwandeln. DNS ist ein vergleichsweise alter Internetdienst, dessen Netzwerk-
protokolle in den achtziger Jahren entstanden sind. Wie damals üblich, sahen
diese zunächst keine kryptografischen Mechanismen vor. Deshalb ist das DNS bis
heute anfällig gegenüber Angriffen wie dem in Abschnitt 3.4.4 beschriebenen
DNS-Spoofing.
Natürlich gibt es längst kryptografische Zusätze für das DNS. Diese verzich-
ten zwar auf Verschlüsselung, da es hier nicht um vertrauliche Daten geht. Dafür
spielen digitale Signaturen in diesem Zusammenhang eine wichtige Rolle. Diese
können verhindern, dass Mallory eine DNS-Anfrage von Alice mit einer falschen
IP-Adresse beantwortet. Der wichtigste Standard, der das DNS mit kryptografi-
schen Funktionen ausstattet, nennt sich
DNSSEC
. Die erste Version davon wurde
1999 veröffentlicht [RFC2535]. Diese ursprüngliche Variante erwies sich aller-
dings als untauglich, da sie die gewaltigen Datenmengen im Internet nicht perfor-
mant genug bewältigen konnte. Inzwischen gibt es eine überarbeitete DNSSEC-
Fassung, die in vier RFCs beschrieben wird [RFC3658, RFC4033, RFC4034,
RFC4035]. Einige weitere RFCs spezifizieren Erweiterungen. Leider ist DNSSEC
zu komplex, um es an dieser Stelle im Detail zu behandeln. Ich will daher im Fol-
genden nur eine idealisierte Funktionsweise vorstellen, die auf einem vereinfach-
ten DNS-Modell basiert. Wenn Sie mehr zum Thema wissen wollen, dann ist
[Schwen] eine gute Quelle.
Funktionsweise des DNS
In unserer vereinfachten DNS-Welt nehmen wir an, Alice benötige die IP-Adresse
zur WWW-Adresse www.kryptoboerse.kl. Um diese zu erfahren, nutzt Alice den
für sie zuständigen DNS (dieser wird beispielsweise von ihrem Internet-Provider
betrieben). Nun beginnt folgender Ablauf:
1.
Kennt Alices DNS die zugehörige IP-Adresse nicht, dann stellt er eine An-
frage an den
Root-DNS
. Dieser ist in unserer idealisierten Umgebung ein
DNS, der für weltweit alle IP-Adressen des Internets zuständig ist.
2.
Kennt der Root-DNS die IP-Adresse nicht, dann verweist er Alices DNS auf
den
kl-DNS
(dies tut er, indem er Alices DNS dessen IP-Adresse liefert). Der
kl-DNS ist in unserer idealisierten Umgebung für alle Internetadressen zu-
ständig, die mit kl enden.
3.
Alices DNS stellt eine Anfrage an den kl-DNS.
4.
Kennt der kl-DNS die IP-Adresse nicht, dann verweist er Alices DNS an den
kryptoboerse.kl-DNS
. Dieser ist in unserer idealisierten Umgebung für alle
Internetadressen zuständig, die mit kryptoboerse.kl enden.
