DNSCurve

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
DNSCurve im TCP/IP‑Protokollstapel:
Anwendung DNSCurve
Transport UDP TCP
Internet IP (IPv4, IPv6)
Netzzugang Ethernet Token
Bus
Token
Ring
FDDI

DNSCurve ist eine Technik zur sicheren Auflösung von Domain-Namen in IP-Adressen.

Autor des im August 2008 veröffentlichen Protokoll-Vorschlags ist der DNSSEC-Kritiker Daniel J. Bernstein, welcher auf dem 27. Chaos Communication Congress 2010 auch das TCP-Pendant CurveCP vorstellte.

Ziele und Funktionsweise[Bearbeiten]

Ziel des Verfahrens ist die Absicherung der Namensauflösung ohne die Schwächen von DNSSEC.

DNSCurve verwendet ein asymmetrisches elliptische Kurven-Kryptosystem zur Absicherung von Vertraulichkeit und Integrität der Namensauflösung. Die Übermittlung des öffentlichen Schlüssels erfolgt durch selbstzertifizierende Namen, das heißt der öffentliche Schlüssel wird als Teil des Domain-Namens kodiert. Zonenübergreifende Sicherheit wird hergestellt, indem in den NS-Delegierungen und Glue Records ebenfalls die öffentlichen Schlüssel der untergeordneten Zone enthalten sind. Der Schlüsselaustausch zwischen den Zonen erfolgt manuell durch die Zonenbetreiber.

Bislang ist trotz des hierarchischen Domain-Namensraums keine zentrale, vertrauenswürdige Stelle vorgesehen. Um die öffentlichen Schlüssel auf den höheren Ebenen wie der Root-Domain oder den Top-Level-Domains zu verteilen, schlägt Bernstein dezentrale Listen von Trust Anchors oder einen peer-to-peer-basierten Ansatz vor.

Kritik[Bearbeiten]

Dan Kaminsky kritisiert an DNSCurve unter anderem die vorgesehene Schlüsselverteilung. Kaminsky sieht im Verzicht auf eine zentrale, vertrauenswürdige Stelle ein nach Zookos Dreieck unlösbares Problem. Die vorgeschlagenen Lösungen zur dezentralen Verteilung von Trust Anchors seien nicht sicher. Weitere von Kaminsky genannte Probleme von DNSCurve seien eine eingeschränkte Fähigkeit zum DNS-Caching und die Notwendigkeit der Online-Signierung, die das Vorhalten der privaten Schlüssel auf allen autoritativen Nameservern erfordert.[1]

Einzelnachweise[Bearbeiten]

  1. Dan Kaminsky: DNSSEC Interlude 2: DJB@CCC (englisch), 5. Januar 2011, abgerufen am 6. März 2011.

Weblinks[Bearbeiten]