www.wikidata.de-de.nina.az

DNSCurve im TCP IP Protokollstapel Anwendung Transport UDP TCPInternet IP IPv4 IPv6 Netzzugang Ethernet TokenBus TokenRi

DNSCurve

DNSCurve im TCP/IP-Protokollstapel:
Anwendung DNSCurve
Transport UDP TCP
Internet IP (IPv4, IPv6)
Netzzugang Ethernet Token
Bus 		Token
Ring 		FDDI

DNSCurve ist eine Technik zur sicheren Auflösung von Domain-Namen in IP-Adressen.

Autor des im August 2008 veröffentlichten Protokoll-Vorschlags ist der Kryptologe Professor Daniel J. Bernstein, welcher auf dem 27. Chaos Communication Congress 2010 auch das TCP-Pendant CurveCP vorstellte.

Ziele und Funktionsweise Bearbeiten

Zu den Zielen des Verfahrens gehört die Verbesserung der Vertraulichkeit, Integrität und Verfügbarkeit des Domain Name Systems. DNSCurve ist ein Gegenentwurf zu DNSSEC.

DNSCurve verwendet ein asymmetrisches elliptische Kurven-Kryptosystem zur Authentifizierung von Nameservern. Die Übermittlung des öffentlichen Schlüssels erfolgt durch selbstzertifizierende Namen, das heißt, der öffentliche Schlüssel wird als Teil des Domain-Namens kodiert. Zonenübergreifende Sicherheit wird hergestellt, indem in den NS-Delegierungen und Glue Records ebenfalls die öffentlichen Schlüssel der untergeordneten Zone enthalten sind. Der Schlüsselaustausch zwischen den Zonen erfolgt manuell durch die Zonenbetreiber.

Bislang ist bei DNSCurve im hierarchischen Domain-Namensraums keine zentrale, vertrauenswürdige Stelle vorgesehen. Um die öffentlichen Schlüssel auf den höheren Ebenen wie der Root-Domain oder den Top-Level-Domains zu verteilen, schlägt Bernstein dezentrale Listen von Trust Anchors oder einen peer-to-peer-basierten Ansatz vor.

Neben der Authentifizierung dient das asymmetrische Kryptosystem zur Aushandlung eines symmetrischen Schlüssels für die Punkt-zu-Punkt-Kommunikation zwischen Resolver und Nameserver. DNSCurve-Nachrichten sind mit einem Message Authentication Code versehen und mit einem symmetrischen Kryptosystem verschlüsselt.

Kritik Bearbeiten

Dan Kaminsky kritisiert an DNSCurve unter anderem die vorgesehene Schlüsselverteilung. Kaminsky sieht im Verzicht auf eine zentrale, vertrauenswürdige Stelle ein nach Zookos Dreieck unlösbares Problem. Die vorgeschlagenen Lösungen zur dezentralen Verteilung von Trust Anchors seien nicht sicher. Weitere von Kaminsky genannte Probleme von DNSCurve seien eine eingeschränkte Fähigkeit zum DNS-Caching und die Notwendigkeit der Online-Signierung, die das Vorhalten der privaten Schlüssel auf allen autoritativen Nameservern erfordert. Dies ist jedoch bei der u. a. für Webserver gebräuchlichen TLS-Verschlüsselung ebenfalls der Fall und das Risiko eines Keydiebstahls kann durch den Einsatz eines HSM begrenzt werden.

Siehe auch Bearbeiten

Einzelnachweise Bearbeiten

  1. http://www.dnscurve.org. 22. Juni 2009.
  2. Dan Kaminsky: DNSSEC Interlude 2: DJB@CCC (englisch), 5. Januar 2011, abgerufen am 6. März 2011.

Weblinks Bearbeiten

wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
DNSCurve im TCP IP Protokollstapel Anwendung DNSCurveTransport UDP TCPInternet IP IPv4 IPv6 Netzzugang Ethernet TokenBus TokenRing FDDI DNSCurve ist eine Technik zur sicheren Auflosung von Domain Namen in IP Adressen Autor des im August 2008 veroffentlichten Protokoll Vorschlags ist der Kryptologe Professor Daniel J Bernstein welcher auf dem 27 Chaos Communication Congress 2010 auch das TCP Pendant CurveCP vorstellte Inhaltsverzeichnis 1 Ziele und Funktionsweise 2 Kritik 3 Siehe auch 4 Einzelnachweise 5 WeblinksZiele und Funktionsweise BearbeitenZu den Zielen des Verfahrens gehort die Verbesserung der Vertraulichkeit Integritat und Verfugbarkeit des Domain Name Systems 1 DNSCurve ist ein Gegenentwurf zu DNSSEC DNSCurve verwendet ein asymmetrisches elliptische Kurven Kryptosystem zur Authentifizierung von Nameservern Die Ubermittlung des offentlichen Schlussels erfolgt durch selbstzertifizierende Namen das heisst der offentliche Schlussel wird als Teil des Domain Namens kodiert Zonenubergreifende Sicherheit wird hergestellt indem in den NS Delegierungen und Glue Records ebenfalls die offentlichen Schlussel der untergeordneten Zone enthalten sind Der Schlusselaustausch zwischen den Zonen erfolgt manuell durch die Zonenbetreiber Bislang ist bei DNSCurve im hierarchischen Domain Namensraums keine zentrale vertrauenswurdige Stelle vorgesehen Um die offentlichen Schlussel auf den hoheren Ebenen wie der Root Domain oder den Top Level Domains zu verteilen schlagt Bernstein dezentrale Listen von Trust Anchors oder einen peer to peer basierten Ansatz vor Neben der Authentifizierung dient das asymmetrische Kryptosystem zur Aushandlung eines symmetrischen Schlussels fur die Punkt zu Punkt Kommunikation zwischen Resolver und Nameserver DNSCurve Nachrichten sind mit einem Message Authentication Code versehen und mit einem symmetrischen Kryptosystem verschlusselt Kritik BearbeitenDan Kaminsky kritisiert an DNSCurve unter anderem die vorgesehene Schlusselverteilung Kaminsky sieht im Verzicht auf eine zentrale vertrauenswurdige Stelle ein nach Zookos Dreieck unlosbares Problem Die vorgeschlagenen Losungen zur dezentralen Verteilung von Trust Anchors seien nicht sicher Weitere von Kaminsky genannte Probleme von DNSCurve seien eine eingeschrankte Fahigkeit zum DNS Caching und die Notwendigkeit der Online Signierung die das Vorhalten der privaten Schlussel auf allen autoritativen Nameservern erfordert 2 Dies ist jedoch bei der u a fur Webserver gebrauchlichen TLS Verschlusselung ebenfalls der Fall und das Risiko eines Keydiebstahls kann durch den Einsatz eines HSM begrenzt werden Siehe auch BearbeitenDNS over HTTPS DoH Domain Name System Security Extensions DNSSEC DNS based Authentication of Named Entities DANE Einzelnachweise Bearbeiten http www dnscurve org 22 Juni 2009 Dan Kaminsky DNSSEC Interlude 2 DJB CCC englisch 5 Januar 2011 abgerufen am 6 Marz 2011 Weblinks Bearbeitenwww dnscurve org Vergleich von DNSSEC und DNSCurve Abgerufen von https de wikipedia org w index php title DNSCurve amp oldid 186362606