DNSCurve

DNSCurve
DNSCurve im TCP/IP‑Protokollstapel:
Anwendung DNSCurve
Transport UDP TCP
Internet IP (IPv4, IPv6)
Netzzugang Ethernet Token
Bus		 Token
Ring		 FDDI

DNSCurve ist eine Technik zur sicheren Auflösung von Domain-Namen in IP-Adressen.

Autor des im August 2008 veröffentlichen Protokoll-Vorschlags ist der DNSSEC-Kritiker Daniel J. Bernstein, welcher auf dem 27. Chaos Communication Congress 2010 auch das TCP-Pendant CurveCP vorstellte.

Inhaltsverzeichnis

Ziele und Funktionsweise

Ziel des Verfahrens ist die Absicherung der Namensauflösung ohne die Schwächen von DNSSEC. Zum Beispiel bietet DNSSEC keine Absicherung der Vertraulichkeit von DNS-Abfragen, DNSCurve verschlüsselt dagegen Anfrage und Antwort.

DNSCurve verwendet ein asymmetrisches elliptische Kurven-Kryptosystem zur Absicherung von Vertraulichkeit und Integrität der Namensauflösung. Die Übermittlung des öffentlichen Schlüssels erfolgt durch selbstzertifizierende Namen, das heißt der öffentliche Schlüssel wird als Teil des Domain-Namens kodiert. Zonenübergreifende Sicherheit wird hergestellt, indem in den NS-Delegierungen und Glue Records ebenfalls die öffentlichen Schlüssel der untergeordneten Zone enthalten sind. Die Schlüsselaustausch zwischen den Zonen erfolgt manuell durch die Zonenbetreiber.

Bislang ist trotz des hierarchischen Domain-Namensraums keine zentrale, vertrauenswürdige Stelle vorgesehen. Um die öffentlichen Schlüssel auf den höheren Ebenen wie der Root-Domain oder den Top-Level-Domains zu verteilen, schlägt Bernstein dezentrale Listen von Trust Anchors oder einen peer-to-peer-basierten Ansatz vor.

Kritik

Dan Kaminsky kritisiert an DNSCurve unter anderem die vorgesehene Schlüsselverteilung. Kaminsky sieht im Verzicht auf eine zentrale, vertrauenswürdige Stelle ein nach Zookos Dreieck unlösbares Problem. Die vorgeschlagenen Lösungen zur dezentralen Verteilung von Trust Anchors seien nicht sicher. Weitere von Kaminsky genannte Probleme von DNSCurve seien eine eingeschränkte Fähigkeit zum DNS-Caching und die Notwendigkeit der Online-Signierung, die das Vorhalten der privaten Schlüssel auf allen autoritativen Nameservern erfordert.[1]

Einzelnachweise

  1. Dan Kaminsky: DNSSEC Interlude 2: DJB@CCC (englisch), 5. Januar 2011, abgerufen am 6. März 2011.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужна курсовая?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • DNSCurve — is a proposed new secure protocol for the Domain Name System (DNS), designed by Daniel J. Bernstein. The basic idea is to define a secure new transport layer protocol to replace TCP, called CurveCP, using elliptic curve cryptography on top of UDP …   Wikipedia

  • Dnscurve — uses high speed high security elliptic curve cryptography to add link layer security on top of standard DNS, in a way that s simple to implement and administer and scales well. Not much is known about the protocol as of September 1st 2008, as it… …   Wikipedia

  • Daniel J. Bernstein — Daniel Bernstein Born October 29, 1971 (1971 10 29) (age 40) East Patchogue, New York[ …   Wikipedia

  • OpenDNS — Type DNS Resolution Service Founded 2005 Headquarters San Francisco, California Key people …   Wikipedia

  • DNSSEC — im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang …   Deutsch Wikipedia

  • DNS Security Extensions — DNSSEC im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang …   Deutsch Wikipedia

  • Elliptische-Kurven-Kryptografie — Elliptische Kurve über R Unter Elliptic Curve Cryptosystems (ECC) versteht man asymmetrische Kryptosysteme, die Operationen auf elliptischen Kurven über endlichen Körpern verwenden. Die Sicherheit dieser Verfahren basiert auf der Schwierigkeit… …   Deutsch Wikipedia

  • Elliptische-Kurven-Kryptographie — Elliptische Kurve über R Unter Elliptic Curve Cryptosystems (ECC) versteht man asymmetrische Kryptosysteme, die Operationen auf elliptischen Kurven über endlichen Körpern verwenden. Die Sicherheit dieser Verfahren basiert auf der Schwierigkeit… …   Deutsch Wikipedia

  • Elliptische-Kurven-Kryptosystem — Elliptische Kurve über R Unter Elliptic Curve Cryptosystems (ECC) versteht man asymmetrische Kryptosysteme, die Operationen auf elliptischen Kurven über endlichen Körpern verwenden. Die Sicherheit dieser Verfahren basiert auf der Schwierigkeit… …   Deutsch Wikipedia

  • Elliptic curve cryptography — (ECC) is an approach to public key cryptography based on the algebraic structure of elliptic curves over finite fields. The use of elliptic curves in cryptography was suggested independently by Neal Koblitz[1] and Victor S. Miller[2] in 1985.… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”