Die Internet Corporation for Assigned Names and Numbers (ICANN) wird in Kürze mit der Implementierung des DNS-Root-KSK-Rollover beginnen, um das Adressbuch des Internets abzusichern. dadurch soll dass Internet künftig ein sicherer Ort sein.
Die ICANN hat sich für die erste Änderung des kryptografischen Schlüssels entschieden, der zum Schutz des Adressbuchs des Internets beiträgt – dem Domain-Name-System (DNS). Das ICANN-Board beschloss dies kürzlich auf seiner Sitzung in Belgien und wird deshalb am 11. Oktober 2018 den Schlüssel für die DNS-Root zu ändern. Es wird das erste Mal sein, dass der Schlüssel seit seiner Einführung im Jahr 2010 geändert wird.
Die ICANN sieht die Notwendigkeit für eine verbesserte DNS-Sicherheit darin, dass die kontinuierliche Weiterentwicklung der Internet-Technologien, die Bereitstellung von IoT-Geräten und die Erhöhung der Kapazität von Netzwerken immer einhergeht mit einem bedauerlichen Mangel an ausreichender Sicherheit in den genutzten Geräten und Netzwerken. Daher besteht bereits seit längerer Zeit die Gefahr, dass Angreifer die Internet-Infrastrukturen lahmlegen können.
Insbesondere besteht die Möglichkeit, dass durch das Anwachsen der Angriffskapazitäten die Abwehrkräfte der Root-Server übertrifft. Nach derzeitigem Kenntnisstand wäre ohne ein Umbau des DNS-Systems die Abwehr der Angriffe nicht zu bewerkstelligen.
Beim Key-Signing-Key-Rollover wird ein neues kryptographisches Schlüsselpaar (öffentlicher und privater Schlüssel) erzeugt und anschließend der neue öffentliche Schlüssel an Betreiber von validierende Resolver verteilt. Diese Resolver sind für die Umwandlung von typischen Namen in IP-Adressen zuständig. Zu den Resolvern gehören die Internet-Service-Provider, die Unternehmensnetze und andere DNS-Resolver-Betreiber, Softwareentwickler sowie Systemintegratoren, die für den „Vertrauensanker“ der DNS-Root verantwortlich zeigen.
Aufgrund des geringen Einsatzes der Domain-Name-System-Security-Extensions (DNSSEC-Validierung) sind die Antworten des Root-Server-Systems weiterhin durch Integritätsangriffe gefährdet. Ebenso sind die Benutzer des Root-Server-Systems (d.h. die Resolver) aufgrund von unverschlüsselt gesendeten DNS-Nachrichten einer Vielzahl von Angriffen auf die Vertraulichkeit der Anfragen ausgesetzt. Obwohl diese Angriffe nicht unbedingt neu sind, legt die ständig wachsende Abhängigkeit von DNS (und damit dem Root-Server-System) nahe, dass eine neue Strategie erforderlich ist, um die Auswirkungen dieser Angriffe zu reduzieren. Laut den Aussagen der ICANN sollten die DNS-Änderungen nur minimale oder keine Auswirkungen auf die Benutzer haben. Die meisten Unternehmen sollten inzwischen ihre Software bereits aktualisiert haben und einen automatischen Schlüsselaustausch durchführen (RFC 5011 „Automated Updates of DNS Security (DNSSEC) Trust Anchors“) zu können bzw. sollten den neuen Schlüssel inzwischen manuell installiert haben.Trotzdem kann nicht vollständig sichergestellt werden, dass jeder Netzbetreiber seine „Resolver“ richtig konfiguriert hat. Irgendwo auf der Welt gibt es sicher ein paar DNS-Betreiber, die immer noch nicht vorbereitet sind, aber selbst im schlimmsten Fall müssen diese zur Behebung des Problems die DNSSEC-Validierung abschalten, den neuen Schlüssel installieren und DNSSEC wieder aktivieren.
Der Root-KSK-Rollover vom 2010er-KSK zur 2017-KSK-Version sollte bereits vor einem Jahr stattfinden, diese Lösung wurde allerdings wegen möglicher Störungen der Internetkonnektivität auf den 11. Oktober dieses Jahres verschoben.
Jetzt soll der neue Schlüssel – ein Jahr nach dem ursprünglich geplanten Zeitpunkt – in Betrieb genommen werden. Nach menschlichen Ermessen wurde für die Umstellung sichergestellt, dass der ganze Prozess so reibungslos wie möglich abläuft, denn es wird in Zukunft weitere Schlüsseländerungen geben und die Netzbetreiber, ISPs und Unternehmen werden sich an diese Prozedur gewöhnen müssen.
#Netzpalaver #ICANN
