Ein neues Vertrauensnetz

Ein Kernelement des Internets, das Millionen von Computersystemen hilft, sich gegenseitig zu finden, erhält endlich ein dringend benötigtes Upgrade. Das Domain Name System (DNS) funktioniert ähnlich wie das Telefonbuch des Internets und übersetzt die URLs, die Benutzer in einen Browser eingeben, in die numerischen Adressen, die zur Identifizierung der Server verwendet werden, die die angeforderte Site hosten.

Seit kurzem zeigt dieses 30 Jahre alte System sein Alter.

Letztes Jahr versuchte ein Team hochkarätiger Sicherheitsforscher, einen kritischen Fehler im DNS zu beheben, der es ermöglichte, legitime Kommunikation zu kapern und ahnungslose Websurfer möglicherweise auf bösartige Webseiten zu leiten. Der Patch, den das Team entwickelt hat, verringerte die unmittelbare Gefahr, sollte jedoch keine dauerhafte Lösung sein.



Für eine langfristige Lösung suchen viele Experten jetzt nach DNSSEC , ein Protokoll, das DNS-Nachrichten mit digitalen Signaturen überprüft. Der Register von öffentlichem Interesse , das die .org-Domain verwaltet, implementiert DNSSEC für alle Webadressen, die mit diesem Suffix enden, und plant, die erste Phase des Prozesses Anfang dieses Jahres abzuschließen. Die US-Regierung hat sich zum Einschalten verpflichtet DNSSEC für .gov auch, und die neu gegründete DNSSEC-Industriekoalition drängt darauf, dass das Protokoll noch breiter angenommen wird.

Das ist so etwas wie eine Wende. In den 14 Jahren seit der ersten Konzeption von DNSSEC hatte das Protokoll Schwierigkeiten, eine breite Akzeptanz zu finden, da die Komplexität der Implementierung von DNS unnötigerweise erhöht wurde. Der Schlüssel zu dem im letzten Jahr entdeckten DNS-Fehler besteht darin, dass das Protokoll in einer vertrauensvolleren Zeit entwickelt wurde und sich nicht um die Authentifizierung von Informationen kümmert. Dan Kaminsky , Direktor für Penetrationstests bei IOAktiv , ein Sicherheitsunternehmen mit Sitz in Seattle, erkannte, dass ein Angreifer, der sich in eine DNS-Kommunikation einschleichen könnte, den Webverkehr auf fast jede Weise umleiten konnte. DNS wurden Funktionen hinzugefügt, um die Gefahr zu verringern, dass Nachrichten entführt werden, aber DNSSEC fügt dem System zum ersten Mal eine echte Authentifizierung hinzu.

Alexa Rat , CEO des Public Interest Registry, stellt fest, dass jemand der Erste sein musste, der das neue Protokoll implementierte. Bisher, sagt sie, hätten die für Domänennamen verantwortlichen Organisationen nicht auf die Integration von DNSSEC umgestellt, weil sie entweder Anmeldeinformationen an Server sendeten, die nicht auf sie warteten, oder auf Anmeldeinformationen warteten, die dies nicht tun würden da sein. Raad sagt, dass das Public Interest Registry lange vor der Bekanntgabe von Kaminskys Fehler mit der Integration von DNSSEC begonnen hat, in der Hoffnung, die Einführung des Protokolls durch Vorbildfunktion zu fördern. Die Enthüllung von Kaminskys Fehler habe lediglich dazu beigetragen, die Debatte zu intensivieren, sagt sie. In den letzten zwei Jahren drehte sich ein Großteil der Debatte um DNSSEC um die Frage „Brauchen wir es? Gibt es andere Technologien? Wie tragfähig ist das?‘ Ich denke, die Debatte hat sich davon komplett entfernt. Wir alle verstehen, dass DNS tatsächlich defekt ist. Die einzige Lösung dafür ist tatsächlich DNSSEC. Die Debatte lautet jetzt: „Wie setzen wir ein?“

Bei DNSSEC gehe es darum, eine Vertrauenskette zu schaffen, fügt hinzu Ram Mohan , CTO von Afilias , die daran gearbeitet hat, das Public Interest Registry bei der Bereitstellung zu unterstützen. Es gibt viele Stellen, an denen DNSSEC eingeschaltet werden muss, damit die Vertrauenskette lückenlos vom Benutzer zu einer Website fließt. Sobald eine Top-Level-Domain (wie .org oder .com) DNSSEC implementiert, kann jede Website unter dieser Domain auch DNSSEC aktivieren, was ein wichtiges Glied in der Kette ist. Da Internet Service Provider wie Komcast haben begonnen, DNSSEC zu unterstützen, sagt Mohan, es wird möglich, dass einige Website-Besuche weitgehend unter den Schutz von DNSSEC fallen.

Wahlergebnisse 2016 Prognosen

Paul Vixie, Präsident der Konsortium für Internetsysteme , das BIND unterhält, die Software, die am häufigsten zum Verarbeiten von DNS-Nachrichten verwendet wird, erwartet, dass der Übergang zu DNSSEC zu Schneeball wird. Mit der Unterzeichnung von .gov und .org gibt es endlich einen Markt für DNSSEC-Technologien und -Dienste, sagt er. Jetzt, wo einige andere DNSSEC implementieren, werden viele andere im Geschäft mit DNSSEC-Lösungen sein wollen, und das wiederum wird es vielen Zaun-Sittern ermöglichen, endlich herunterzusteigen und sich uns anzuschließen.

Kaminsky selbst stand DNSSEC als mögliche Lösung für den Fehler, den er bei DNS entdeckt hatte, zunächst neutral gegenüber. Er sieht DNSSEC jetzt als eine gute Lösung an, warnt jedoch davor, dass noch Arbeit geleistet werden muss, um die Skalierung zu unterstützen. Am wichtigsten ist, sagt er: Andere Root-Domains, die den Kern aller DNS-Transaktionen bilden, müssen DNSSEC verwenden. Obwohl DNS nie als Herzstück der Authentifizierung im Internet entwickelt wurde, ist es das, und es ist an der Zeit, es so zu behandeln, fügt Kaminsky hinzu.

Mohan hofft, dass bald mehr Domains DNSSEC implementieren werden. Es ist an der Zeit, dass DNS sicherer wird, sagt er. Die Integrität des DNS-Verkehrs wird mit dem Aufkommen von Phishing und Botnets und dergleichen zunehmend in Frage gestellt. Hier ist eine konkrete Maßnahme, die nachweislich ein klares Problem beseitigt.

verbergen

Tatsächliche Technologien

Kategorie

Unkategorisiert

Technologie

Biotechnologie

Technologierichtlinie

Klimawandel

Mensch Und Technik

Silicon Valley

Computer

Mit News Magazine

Künstliche Intelligenz

Platz

Intelligente Städte

Blockchain

Reportage

Alumni-Profil

Alumni-Verbindung

Mit News Feature

1865

Meine Sicht

77 Mass Avenue

Treffen Sie Den Autor

Profile In Großzügigkeit

Auf Dem Campus Gesehen

Lerne Den Autor Kennen

Alumni-Briefe

Nicht Kategorisiert

77 Massenallee

Rechnen

Tech-Richtlinie

Lernen Sie Den Autor Kennen

Nachrichten

Wahl 2020

Mit Index

Unter Der Kuppel

Feuerwehrschlauch

Unendliche Geschichten

Pandemie-Technologieprojekt

Vom Präsidenten

Titelstory

Fotogallerie

Empfohlen