Menü

DNSSEC: Verfahren für Schlüsseltausch in der Rootzone festgelegt

Das weltweite DNS mit Security Extensions, das einen wichtigen Teil des Internet-Verkehrs absichert, läuft seit dem Start mit demselben Root-Key. Der erste Schlüsseltausch dürfte heikel werden – die Prozedur soll rund eineinhalb Jahre dauern.

vorlesen Drucken Kommentare lesen 27 Beiträge
DNSSEC: Verfahren für Schlüsseltausch in der Rootzone festgelegt

Die Sicherheitstechnik DNSSEC, Domain Name System Security Extensions, hat in den vergangenen Jahren immer mehr Fürsprecher und Nutzer gewonnen, weil sie Informationen des weltweiten Domain Name System gegen Manipulation absichert. Das kommt Anwendungen wie dem Mail- und VoIP-Verkehr oder auch dem Online-Banking zu Gute. Auch die Absicherung des Mail-Transports wie sie kürzlich etwa Web.de implementiert hat, gründet auf DNSSEC.

Seit einer Weile steht die Technik aber vor einer Bewährungsprobe, die man bei der Konzeption nicht vorhergesehen hat: DNSSEC fußt auf einem Hauptschlüssel, der die Root-Zone des hierarchisch organisierten DNS signiert und dieser Hauptschlüssel muss allmählich gegen einen neuen getauscht werden (key rollover). Doch die Prozedur für den Tausch wurde seinerzeit nur lückenhaft spezifiziert und der Schlüsseltausch erscheint jetzt daher heikel.

Mehr Infos

DNSSEC und Schlüssselpaare

Das DNSSEC-Konzept stammt aus einer Zeit, als DNS-Server hardware-seitig noch schwach ausgelegt waren. Deshalb hat das IETF eine einfache kryptografische Lösung konzipiert, die nach 2005 auch große Domain-Betreiber akzeptierten. Es setzt auf zwei asymmetrische Schlüsselpaare: Kurzlebige Zone Signing Keys (ZSK, z. B. 512 Bit zum Signieren von DNS-Records) und langlebige Key Signing Keys (KSK, z. B. 2048 Bit). Von beiden hat jede Domain je einen privaten und öffentlichen Key, also insgesamt vier. Dabei signiert man mit dem privaten KSK die privaten ZSK. Weil sie kurz sind, müssen ZSK häufig getauscht werden, aber auch die KSK werden gelegentlich erneuert (key rollover). Diese Prozesse laufen beispielsweise bei Top-Level-Domains regelmäßig und geräuschlos ab.

Beim anstehenden Tausch des Root-Key muss ein neuer privater Key Signing Key (KSK) für die DNS-Rootzone erzeugt und sicher verwahrt werden und der zugehörige neue öffentliche KSK verteilt werden. Der private KSK signiert in einem aufwendig geschützten Verfahren, bei dem stets eine Mindestanzahl von Schlüsselbewahrern aus etlichen Ländern zusammenkommen muss, die fortlaufend neu erzeugten ZSK (Zone Signing Key). Mit den signierten ZSK werden schließlich die DNS-Zonen signiert.

mehr anzeigen

Die für den Vorgang zuständige Internet Corporation for Assigned Names and Numbers (ICANN) bemüht für die Prozedur das Bild vom Schlosswechsel an einem Haus – wenn die Bewohner danach keinen passenden neuen Schlüssel erhalten, können sie die Tür nicht mehr öffnen. Und genau darin liegt das Problem: Die bisherigen Prozeduren können nicht hundertprozentig gewährleisten, dass alle Nutzer den neuen Schlüssel tatsächlich erhalten.

So hat sich ein Design-Team seit Sommer 2015 damit befasst, wie man den Übergang für möglichst alle Nutzer dennoch möglichst glatt hinbekommt. Beim Tausch des DNSSEC-Hauptschlüssels (Root-Key) sind mit den Bewohnern alle Nutzer gemeint, die DNS-Resolver entwickeln und betreiben. Sie müssen die mit dem privaten Root-Key signierten Daten mit dessen Gegenstück, dem öffentlichen Root-Key validieren. Scheitert das Validieren, ist die DNS-Information nicht vertrauenswürdig und die Verbindung zum angefragten Server kann nicht aufgebaut werden.

Seit dem Start im Jahr 2010 läuft das DNSSEC-System noch immer mit demselben Schlüssel. Es gibt zwar keine Anzeichen dafür, dass das DNSSEC manipuliert wird, aber je länger ein kryptografischer Schlüssel im Einsatz ist, desto höher die Wahrscheinlichkeit, dass er kompromitiert werden könnte. Nun hat das Design-Team einen groben Ablaufplan vorgelegt, sodass alle Interessenten und Betroffenen ihre Zeitpläne darauf abstimmen können.

  • Oktober 2016: Prozedur zum Erzeugen des neuen Schlüssels startet
  • November 2016: Neuer Schlüssel wird erzeugt
  • Juli 2017: Neuer Schlüssel wird in die Root-Zone eingesetzt
  • Oktober 2017: Alter Schlüssel wird aus der Root-Zone entfernt
  • Januar 2018: Gültigkeit des alten Schlüssels endet
  • März 2018: Schlüsseltauschprozedur endet

Weitere Einzelheiten sollen in den kommenden Wochen folgen. Klar sei aber, so schreibt David Conrad im Blog des ICANN, dass sich der Zeitplan auch ändern könne, wenn es die Umstände erfordern. Ein periodischer Wechsel des Root-Key sei so ratsam wie ein Passwortwechsel, aber er muss mit Vorsicht vollzogen werden, damit der DNS-Betrieb reibungslos weiter läuft. Unter anderem deshalb werden für eine Weile beide Schlüssel in Verwendung sein, der neue und der alte. (dz)