Avatar von arkturino
  • arkturino

mehr als 1000 Beiträge seit 10.12.2009

Die fundamentale Frage der Sicherheit im Internet: Wem traue ich?

Das ist bei DNS nicht anders als bei S/MIME vs. PGP oder PKIs.

Es gibt den Ansatz, Sicherheit durch zentralisierte Services (bspw: CAs oder glaubwürdige DoH Resolver) zu schaffen. Naturgemäß kontrollieren diese Zentralinstanzen dann auch den Verkehr und können Daten erheben und manipulieren.

Der alternative Ansatz ist, Sicherheit durch Dezentralität zu schaffen - dann muss ich mich eben immer bis zum Ursprung der Daten vorhangeln: einen eigenen DNS(Sec) Resolver betreiben, Public Keys selbst verifizieren usw. Das ist in jedem Fall Arbeit und schwierig - denn woher weiss ich "im Netz", dass mein Peer wirklich mein Peer ist?

Interessanterweise werden gerade die Möglichkeiten, wenigstens sicher zu stellen, dass mein Peer derselbe war, mit dem ich das letzte Mal kommuniziert habe (bspw. HTTP-Zertifikats-Pinning) gerade durch mehr oder weniger sinnvolle Diskussionen behindert und durch widersprüchliche Anforderungen blockiert, so dass ein Trend zu immer mehr "Frag jedesmal einen 'vertrauenswürdigen' Server bei uns!" erkennbar ist. Offenbar gibt es massives Interesse an zentraler Kontrolle, das nicht technisch begrründet ist.

Wer erinnert sich noch an die gute alte Zeit der gut gepflegten /etc/hosts?

Bewerten
- +