DNSSEC, DNSCurve und HTTPS für alle – sofort!

Dieser Artikel ist überschrieben mit einer klaren Forderung, welche eine klare Ansage vor allem an die ISPs, die ICANN und alle anderen, die an der Verwaltung und dem Aufbau des Internets beteiligt sind, aber auch die Betreiber von Internetseiten, darstellt. Die Wichtigkeit der sofortigen Umsetzung dieser Forderung sollte im Verlaufe dieses Artikels mehr als nur klar werden.
Nach einer etwas längeren Auszeit in diesem Blog von meiner Seite, folgt nun ein etwas längerer Artikel.
Zunächst zur aktuellen Situation einer der Kernfunktionalitäten des Internets: Das DNS ist nicht verschlüsselt und in weiten Teilen des Internets nicht signiert. Die Signierung des für das Internet, wie wir es kennen, essentiell wichtigen DNS und der darin übertragenen Daten mittels DNSSEC schreitet langsam voran. Das DNS ist deshalb so wichtig für das Internet, da es die Auflösung von Domainnamen in IP Adressen ermöglicht. Ohne das DNS müssten wir uns für die Nutzung des Internets aktuell bis zu 12 stellige Ziffern merken und sobald die IPv6 Einführung deutlich voranschreitet sogar bis zu 39 Zeichen. Immerhin ist diese Signierung schon mal ein erster Schritt in die richtige Richtung. Trotzdem ist dies noch nicht einmal die halbe Miete, da ohne eine vollständige Verschlüsselung und Signierung sämtlicher Bestandteile des DNS das Sicherheitsrisiko nur marginal gesenkt werden kann. Da das DNS eine Baumstruktur darstellt, ist es enorm wichtig schon die Wurzel des Baumes abzusichern, da die Sicherheit der einzelnen Äste immer durch die Sicherheit der Wurzel limitiert wird. Es gilt den kompletten DNS-Baum zu signieren, so dass Lücken auf höheren Ebenen nicht die Sicherheit der darunterliegenden Ebenen aushebeln. DNSCurve erlaubt zusätzlich zur Signierung der DNS Einträge durch DNSSEC eine Verschlüsselung und somit Geheimhaltung des DNS. Auch wenn die eigentlichen Daten nicht geheim sind, so stellt eine Verschlüsselung eine weitere Barriere für Angreifer dar.
Das Internet besteht natürlich nicht nur aus dem DNS, sondern aus vielen weiteren Protokollen. Vor allem auf der Anwendungsebene gibt es viele Protokolle, welche Kernfunktionen unseres Internets sicherstellen. Zum Beispiel dient das HTTP Protokoll zur Übertragung von Internetseiten und anderen Inhalten, mittels SMTP und IMAP/POP3 werden E-Mails gesendet bzw. empfangen. Diese Protokolle unterstützen zum heutigen Zeitpunkt die Authentifizierung des Benutzers gegenüber dem Server, stellen jedoch nicht die Geheimhaltung und/oder Vertrauenswürdigkeit der übertragenen Daten sicher. Dies ist und soll auch nicht die Aufgabe dieser Protokolle werden, denn der modulare bzw. geschaltete/gekapselte Aufbau des Internets macht es möglich eine transparente Schicht zwischen das Verbindungsprotokoll TCP und dem eigentlichen Anwendungsprotokoll einzuschieben. Diese Aufgabe kann heutzutage IPsec als sicherer Ersatz für IP übernehmen, wobei hier wirklich alle Teilnehmer des Netzwerkes über IPsec kommunizieren müssen und somit von einem VPN gesprochen werden kann. Eine flexible Lösung, welche transparent zwischen TCP/IP und dem Anwendungsprotokoll arbeitet, ist TLS (früher SSL). TLS stellt die Geheimhaltung und wahlweise die Vertrauenswürdigkeit der übertragenen Daten sicher. Jedes Anwendungsprotokoll kann auf TLS aufgesetzt werden, dies wird dann im Regelfall durch ein S als Ergänzung der Protokollbezeichnung verdeutlicht, z.B. HTTPS.
Dies stellt also die aktuelle Situation und die momentan technischen Möglichkeiten dar. Natürlich gibt es noch weitere Varianten, jedoch sind dies die aktuell im Internet am meißten eingesetzten. Trotz der ansteigenden Nutzung sicherer Protokolle, wie HTTPS und SMTPS/IMAPS muss leider festgestellt werden, dass Internetseiten wie Facebook und Google standardmäßig noch nicht auf HTTPS setzen. Google verschlüsselt mittlerweile zumindestens die Authentifizierung und personalisierte Bestandteile verschiedener Produkte, bietet die Verschlüsselung der Websuche jedoch nur optional an. Facebook erlaubt ebenfalls den sicheren Zugriff über HTTPS, alle Links zeigen aber auch dann immer noch auf die HTTP Variante und die Chatfunktion wird automatisch deaktiviert. Auch hier ist die Verschlüsselung optional und ihre Verwendung wird sogar noch erschwert. Die technischen Möglichkeiten sind also gegeben, jedoch wird z.B. TLS auf den populären und gleichzeitig schützenswerten Webseiten nicht standardmäßig eingesetzt.
Nun könnte man sagen, dass es nicht kritisch ist, wenn der Datenverkehr zu Facebook unverschlüsselt ist, da wohl kaum jemand an den Daten eines einzelnen Internetnutzers interessiert ist. Dies ist für den normalen Endverbraucher auch korrekt, jedoch erlaubt die automatische Auswertung der Daten vieler Internetnutzer die Erstellung von Profilen und detaillierten Statistiken. Außerdem kann auch der einzelne unter Umständen in das Fadenkreuz eines Angreifers geraten, aus welchen Gründen auch immer. Über das Gegenargument „Wer nichts zu verbergen hat, hat auch nichts zu befürchten“ will ich hier gar nicht schreiben, da es einfach nur von absoluter Naivität zeugt.
Die Bedeutung der Forderung nach einer sofortigen Verschlüsselung und Signierung der Kernfunktionalitäten des Internets wird klar, wenn man nun erfährt, dass China im April für 18 Minuten 15% des weltweiten Internetdatenverkehrs über chinesische Server geleitet hat. Was auf dem Weg zum eigentlichen Ziel mit den Daten in China passiert ist, lässt sich nur erahnen. Dies kann von absolut gar nichts über detaillierte Mitschnitte bis hin zu Man-in-the-middle-Attacks reichen. Dies wurde dadurch ermöglicht, dass die Routenverwaltung des Internets nicht abgesichert ist und jeder an den entsprechenden Knotenpunkten behaupten kann, dass er für Teile des Internets zuständig ist. Dieses System ist nicht gegen falsche Behauptungen eines Knotenpunktes geschützt, da man nur eine entsprechende Verbindung zu einem wichtigen Routingpartner haben muss, um falsche Routen weiter zu verbreiten. Router in China haben also einfach mal über BGP behauptet, dass sie für größere Teile des Internets zuständig sind, also dass Pakete über diese Router ihr eigentliches Ziel erreichen können.
Natürlich laufen auch ohne solche Manipulationen unter Umständen Pakete aus den USA und Europa auf dem Weg zu ihrem Ziel durch China, jedoch nicht in dieser Masse und auch nicht zwangsläufig. Außerdem ist China nicht die einzige meiner Meinung nach nicht vertrauenswürdige mögliche Station eines Paketes. Ich vertraue nur dem eigentlichen Empfänger bzw. Sender einer Nachricht und möchte nicht, dass jede Station auf dem Weg dorthin mitlesen oder sogar Veränderungen vornehmen kann. Um also solche Manipulationen im Routing und eventuelle Manipulationen der übertragenen Daten zu erkennen bedarf es der genannten Verschlüsselung und Signierung aller Kernfunktionalitäten des Internets.
In diesem Sinne: Immer versuchen über HTTPS auf eine (schützenswerte) Webseite zu gelangen!
Quelle: National Defense: http://www.nationaldefensemagazine.org/blog/Lists/Posts/Post.aspx?ID=249

Ein Gedanke zu „DNSSEC, DNSCurve und HTTPS für alle – sofort!“

  1. Die Politik hinkt dem technischen Stand ganz schön hinterher… Ich hatte vor kurzem mal einen Artikel gelesen, bei dem aufgezeigt wurde wie lückenhaft die Abwehrmaßnahmen der amerikanischen IT sind. Ein groß angelegter Angriff auf amerikanische Server hätte fatale Folgen. Wieso wird da nicht gehandelt?

Schreibe einen Kommentar