Menü

Neuer Masterschlüssel für das Herz des Netzes

Vor fünf Jahren wurde unter großen Vorsichtsmaßnahmen die Root-Zone des Domain Name System signiert. Jetzt soll zum ersten Mal der zugehörige Schlüssel getauscht werden. Eine Operation am offenen Herzen des Netzes.

vorlesen Drucken Kommentare lesen 46 Beiträge
Kette mit Vorhängeschloss

Ein kleines Design-Team bereitet gerade den Austausch des Masterschlüssels der Root-Zone vor. Eigentlich ist der sogenannte Key Rollover kein Hexenwerk, sagen die DNS-Betreiber. Den Schlüssel, mit dem die DNS-Zone signiert wird, also den Zone Signing Key, wechselt Root-Betreiber VeriSign vierteljährlich aus. Doch der Schlüssel, der die Zonen-Schlüssel signiert und damit letztlich das gesamte signierte DNS absichert, der Key Signing Key, ist seit fünf Jahren der gleiche. Passieren bei dessen Wechsel Fehler, könnte es heißen: Kein Anschluss unter dieser Domain. Am Rande eines RIPE-Meetings gab das Design-Team einen Einblick in die Vorgehensweise.

Die Signierung von Domains gemäß den Domain Name Security Extensions (DNSSEC) erlaubt seit etlichen Jahren die Validierung von DNS-Antworten – Empfänger können anhand der kryptografischen Signaturen sicherstellen, dass die DNS-Antworten unverfälscht und tatsächlich von der Stelle ausgegeben sind, die das vorgibt. Bei der Root-Zone ist das seit fünf Jahren der Fall. Die Root-Zone ist seitdem in der Regel auch der Startpunkt der Vertrauenskette, der Trust Anchor, den die signierten Zonen untereinander bilden.

Während die ständig aktualisierte Root-Zone laufend neu mit dem ZSK signiert wird, liegt der Masterschlüssel, der KSK in zwei Hochsicherheitstrakten in Culpepper, Virginia und El Segundo, Kalifornien. Von dort wird er nur unter Aufsicht einer Handvoll von Vertrauensleuten hervorgeholt, um einen Satz neuer ZSKs für drei Monate vorab zu signieren. Seit 2010 ist der Schlüssel aller DNS-Schlüssel, der KSK, der gleiche. Ein bisschen sei es, als habe man ein Auto gekauft und dann fünf Jahre in die Garage gestellt und sei sich jetzt nicht ganz sicher, ob nun die Bremsen funktionieren, beschreibt Ed Lewis, Senior Technologist bei der Internet Corporation for Assigned Names and Numbers (ICANN), die aktuelle Situation.

Schon 2013 waren Vorbereitungen für den Schlüsseltausch gestartet worden. Die Umsetzung des Vorhabens fiel aber nicht zuletzt den Wirren der Zulassungsverfahren für neue TLDs zum Opfer. Länger wollen die ICANN, die den KSK hält, VeriSign, die die Zone signiert (ZSK), und die US-Aufsichtsbehörde National Telecommunications and Information Administration (NTIA) nun aber nicht mehr warten. In gewisser Weise, meinte Lewis im Gespräch mit heise Netze, sei der Schlüsseltausch ja fast so etwas wie eine Vorbedingung für die geplante Überführung der IANA in die Hände der Selbstverwaltung. Diese hatte die NTIA vor gut einem Jahr angekündigt.

Auf Einladung der ICANN erstellte das siebenköpfige Design-Team bis Juni die Pläne für den „Key Rollover“. Auch die Hardware Security Modules (HSM), in denen der Masterschlüssel gesichert ist, sollen ausgetauscht werden. Als Hauptgründe dafür nennt die ICANN die Akkulaufzeit, aber auch ablaufende Gewährleistungsrechte. Am Standort Culpepper hat die ICANN bei der jüngsten Schlüsselzeremonie zwei neue HSMs, AEP Keyper Plus, aufgestellt. Der Standort an der Westküste wird im August nachgerüstet.

Nachfragen dazu, ob die ICANN beim Austausch erwogen hat, den Hersteller zu wechseln, und ob sie die jüngsten Erfahrungen zu möglichen Angriffen durch Geheimdienste berücksichtigt hat, konnte Lewis nicht beantworten. Vor fünf Jahren habe es überhaupt nur ein Modell gegeben, das den festgelegten Sicherheitsstandard FIPS 140-2 Level 4 überhaupt erfüllt habe, versicherte einer der Teilnehmer des OARC Workshops. Immerhin konnte Lewis berichten, dass das neue HSM mehr kryptographische Algorithmen beherrscht. Ob beim Schlüsseltausch gleich auch die Liste der kryptographischen Algorithmen erweitert werden soll, werde in der Design-Gruppe noch diskutiert, sagte Ondřej Surý, Chefwissenschaftler beim CZ.nic und Mitglied des Design-Teams. Zur Diskussion steht unter anderem ECDSA, das von der IETF gerade für die künftige Absicherung der Transportverschlüsselung TLS ausgewählt wurde.

Vor allem zerbricht sich die Design-Gruppe den Kopf darüber, wie man beim KSK-Wechsel Problemen bei Betreibern vermeiden kann, die DNS-Daten validieren. Wenn sie den Schlüsseltausch nicht nachvollziehen, erhalten sie beziehungsweise die von ihnen mit DNS-Auskünften versorgten Nutzer keine DNS-Antworten mehr.

Für den automatisierten Schlüsseltausch gibt es einen eigenen Standard, das RFC 5011. "Wer den umsetzt, für den sollte das ohne Probleme funktionieren", erklärt Surý. Alle anderen müssen den neuen Schlüssel manuell einbauen. Die Unsicherheit über die praktische Umsetzung des RFC 5011 in der kleinteiligen Welt der Resolver ist aber groß. Tests mit den verschiedenesten Plattformen stehen daher auf dem Arbeitsprogramm der Design-Gruppe.

Entscheidend dafür, wie viele Nutzer im Ernstfall betroffen wären, ist auch, wie viel in den verschiedenen Ländern validiert wird. In Deutschland validieren nach Informationen von APNIC-Chefwissenschaftler Geoff Huston aktuell bis zu 18 Prozent der Nutzer. Insbesondere Unitymedia, aber auch KabelBW tauchten in Geoffs Statistiken zu validierenden Anschlüssen auf. Das dürfte daran liegen, dass die Betreiber vor längerem stillschweigend validierende DNS-Resolver eingeführt haben und so zumindest die Strecke von den autoritativen DNS-Server bis zum Resolver abgesichert haben. (dz)