DENIC führt sichere, vertrauliche E-Mail-Kommunikation ein

Betrieb auf Basis von DANE und DNSSEC

[datensicherheit.de, 23.10.2014]  Die zentrale Registrierungsstelle und technische Betreibergesellschaft der deutschen Länderdomain .de, DENIC, hat als einer der ersten Anwender die unter der Bezeichnung DANE bekannt gewordene Technik zur Sicherung der E-Mail-Kommunikation in Betrieb genommen. Mit dem DANE-Verfahren, das als offener Standard in der Internet Engineering Task Force (IETF) entwickelt wurde, kann der Datenverkehr zwischen Mailservern sicher verschlüsselt und die Identität der beteiligten Server verlässlich überprüft werden.

DANE kombiniert herkömmliche, mit einem Ausweis vergleichbare Zertifikate mit dem Domain Name System (DNS), dem Adressbuch des Internet. Durch die Sicherheitserweiterung DNSSEC im Verbund mit der Transportverschlüsselung durch DANE wird ein Umlenken von E-Mails ebenso wirksam ausgeschlossen wie das Abhören von Nachrichten. DANE für E-Mail ist ein wichtiger Schritt auf dem Weg zu einer sicheren Ende-zu-Ende-Kommunikation für jedermann.

Bereits seit 2011 sichert DENIC die Länderdomain .de mit DNSSEC ab und hat dadurch eine Voraussetzung für die praktische Nutzung von DANE geschaffen. Für die technische Umsetzung wenden Domaininhaber sich an ihren Internetanbieter.

DANE

Die DANE (DNS-Based Authentication of Named Entities) genannte Technologie ist in der technischen Spezifikation RFC 6698 der Internet Engineering Task Force (IETF) beschrieben. DANE ermöglicht es, sogenannte X.509-Zertifikate im Domain Name System (DNS) zu hinterlegen. X.509-Zertifikate diene üblicherweise dazu, die Identität eines Webservers (oder anderer Systeme) zu bestätigen. Durch die Verknüpfung zwischen Zertifikaten und dem DNS entstehen neue Möglichkeiten:

1. Indem er ein Wurzelzertifikat hinterlegt, kann der Serverbetreiber mitteilen, welche „Certificate Authority“ (CA) er nutzt, also von welcher Organisation ein für seine Server ausgestelltes Zertifikat stammen muss. Falls eine andere CA bewusst oder aufgrund einer Manipulation ihrer Systeme ein Zertifikat ohne echten Auftrag des Betreibers ausstellt, wird der Endnutzer entsprechend gewarnt.
2. Bei der Verwendung selbstsignierter Zertifikate, also ohne Nutzung von CA-Dienstleistungen, entsteht durch die Veröffentlichung im DNS ein zweiter Kanal, sodass die nutzende Anwendung ein solches Zertifikat überprüfen und akzeptieren kann.
3. DANE ermöglicht außerdem die Verwendung unterschiedlicher Zertifikate (und damit unterschiedlicher kryptographischer Parameter) für Dienste, die unter demselben Hostnamen angeboten werden (etwa E-Mail, Web oder Instant Messaging).

DANE wird aktuell, besonders in Deutschland, zur Steuerung der Verschlüsselung des Transportweges zwischen Mailservern eingesetzt. Weitere Anwendungen durchlaufen gerade bei der IETF das Standardisierungsverfahren. Dabei wird u.a. die Ende-zu-Ende-Verschlüsselung und -signierung mit dem S/MIME-Verfahren durch DANE erweitert.

DNSSEC

Das Domain Name System (DNS) verfügt in seiner ursprünglichen Form nicht über Verfahren, mit denen die Authentizität der verteilten Information zugesichert oder geprüft werden könnte. Auf dem Weg zwischen Nameserver und Anwendung (Webbrowser, VoIP-Telefon …) sind Verfälschungen grundsätzlich möglich. In den vergangenen Jahren sind verschiedenste Angriffsmöglichkeiten beschrieben und von den Angreifern laufend verfeinert worden. DNSSEC (kurz für DNS Security) ergänzt das DNS um digitale Signaturen für die DNS-Daten, mit deren Hilfe sichergestellt werden kann, dass Antworten bei der Anwendung so eintreffen, wie sie der jeweils zuständige DNS-Administrator in seinen Nameservern vorgesehen hat. Die Basis der DNS-Struktur ist seit 2010, die von DENIC verwaltete .de-Domain seit 2011 mit DNSSEC gesichert.

DENIC

Die DENIC eG verwaltet mit der Top Level Domain .de die deutsche Länderkennung im Internet. Mit über 15,8 Millionen Domains zählt sie zu den internationalen Top 3 der Internet-Registrierungsstellen. DENIC verfügt über ein weltweites Nameservernetzwerk mit 17 eigenen Standorten, dessen Sicherheit durch einen komplementären externen Nameservicedienst mit mehr als 30 zusätzlichen Standorten verstärkt wird. Zudem stellt DENIC alle erforderlichen Ressourcen für die Domaindatenbank und das Registrierungssystem für .de und die deutsche ENUM-Domain (.9.4.e164.arpa) bereit. Auch alle Informationsdienste für .de und ENUM liegen in der Verantwortung von DENIC.

Weitere Informationen zum Thema:

datensicherheit.de, 13.09.2014
DENIC eG nach ISO 27001 zertifiziert