Domain Name SystemAlle drei Monate ein Hochamt für das Internet

Das DNS ist das Rückgrat des Internets. Vier Mal im Jahr treffen sich eine Handvoll Menschen, um es vor Manipulationen zu schützen. P. Beuth hat einen davon getroffen. von 

Key-Signing-Key-Zeremonie der Icann

Die erste Key-Signing-Key-Zeremonie der Icann am 16. Juni 2010  |  © Flickr/ICANN/Kim Davies

Der kleine Ort Culpeper im US-Bundesstaat Virginia liegt ein paar Meilen außerhalb der Zone, die nach einem Atombombenangriff auf Washington, D.C. vom radioaktiven Fallout betroffen wäre. Genau deswegen wurde er ausgewählt. In Culpeper gibt es ein gut gesichertes Rechenzentrum, darin stehen in einem fensterlosen Raum hinter drei verschlossenen Türen zwei Tresore. In den Tresoren liegen verschlossene Metallboxen. In diesen Boxen liegen ein paar Schlüssel.

Das klingt ein wenig nach Verschwörungstheorie und Paranoia. Aber diese Schlüssel sind der zentrale Bestandteil einer komplizierten Zeremonie, die seit Mitte 2010 alle drei Monate stattfindet. Anne-Marie Eklund Löwinder sagt, die Zeremonie wurde erfunden, um Vertrauen ins Internet zu schaffen, und in jene, die es verwalten. Die Schwedin muss es wissen: Sie hat den Schlüssel zu einer der Metallboxen.

Anzeige

Es geht um Vertrauen in ein wichtiges Stück Internet-Infrastruktur namens Domain Name System oder kurz DNS. Das wird häufig "Telefonbuch des Internets" genannt. Seine Server übersetzen Buchstabenfolgen wie www.zeit.de in einmalige, aber schwer zu merkende IP-Adressen wie 217.13.68.220 und leiten die Anfrage nach dieser Adresse über mehrere Ebenen an den Server weiter, auf dem die Internetseite liegt. Von dort kann der Browser dann die Inhalte der Seite herunterladen und anzeigen. Das Ganze passiert so schnell und so häufig, dass es die meisten Menschen es längst als selbstverständlich betrachten.

Der Inhalt der Metallboxen in den Tresoren in Culpeper aber erinnert daran, dass es auch anders sein könnte. Denn ohne DNS wäre das ganze Netz nutzlos. Es wäre eine Art Roulette, bei dem niemand wirklich wüsste, wo er landet, nachdem er auf einen Link geklickt oder eine Adresse eingegeben hat.

Schlüsselbesitzerin Eklund Löwinder

Eklund Löwinder gehört zu jenen, die sich sehr intensiv mit dem DNS und diesem theoretischen Extremfall auseinandergesetzt haben. Deshalb wurde sie ausgewählt, diesen Schlüssel zu tragen, als einer von 14 Menschen auf der Welt.

Im Stockholmer Stadtteil Södermalm, im neunten Stock eines Bürogebäudes, erzählt die 54-Jährige, warum es ausgerechnet 14 Menschen sind und warum sie dazu gehört. Es ist eine lange Geschichte mit vielen technischen Begriffen. Sie veranschaulicht, wie fragil das Internet ist, und in welchen Maßstäben die technische Community denkt, die es vor Schaden bewahren will.

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

"Immer, wenn ein Ingenieur eine brillante Idee hat, versucht ein anderer Ingenieur, sie kaputtzumachen", sagt Eklund Löwinder. Das Konzept heißt Fortschritt, aber es hat so seine Tücken. Paul Mockapetris hatte das DNS in den frühen achtziger Jahren erfunden, Steven Bellovin entdeckte im Jahr 1990 den ersten von vielen Wegen, mit denen das gesamte System korrumpiert werden könnte, ohne dass seine Nutzer es merken würden.

Wie jedes System hat auch das DNS Sicherheitslücken, sie heißen Cache Poisoning oder Kaminsky-Bug. Ihre Gemeinsamkeit ist, dass sie das Aufrufen von Internetseiten zu einem Glücksspiel machen würden: Anfragen nach IP-Adressen könnten auf falsche Server umgeleitet, E-Mails unterwegs abgefangen und mitgelesen werden. Um das auszuschließen, brauchte das DNS eine zusätzliche Sicherheitsebene. Die gibt es seit 1997, sie heißt Domain Name System Security Extensions, kurz DNSSEC. 

Stark vereinfacht ausgedrückt setzt DNSSEC auf digitale Signaturen, mit denen große Teile des Internet-Telefonbuchs unterschrieben werden. Diese Unterschrift kann bei jedem Abruf einer Website vom Provider des Internetnutzers überprüft werden. Der Provider erkennt dann, ob die Daten, die an den Nutzer gesendet werden, vom richtigen Server kommen und ob sie unterwegs manipuliert wurden – und bricht die Anfrage gegebenenfalls ab, um den Nutzer zu schützen.

DNS

DNS = Domain Name System, das Telefonbuch des Internets. Es wandelt Anfragen nach Web-Adressen in IP-Adressen um und leitet diese an den richtigen Server weiter.

DNSSEC

DNSSEC = Domain Name System Security Extensions. Dieses System soll, grob vereinfacht, sicherstellen, dass Internetnutzer vom DNS wirklich auf die gewünschten Inhalte im Netz geleitet werden.

Icann

Icann = Internet Corporation for Assigned Names and Numbers, die Nicht-Regierungsorganisation mit Sitz in den USA, die das DNS beaufsichtigt.

KSK

KSK = Key Signing Key, der kryptografische Schlüssel, der im hierarchischen DNSSEC an oberster Stelle steht

ZSK

ZSK = Zone Signing Key, der kryptografische Schlüssel, mit dem die Root Zone, also die höchste Ebene des DNS, signiert wird. Es ist nach dem KSK der zweitwichtigste Schlüssel des DNSSEC.

RKSH

RKSH = Recovery Key Share Holder, die sieben Besitzer von Teilschlüsseln, von denen fünf gebraucht werden, um die Root Zone des DNS auch dann noch signieren zu können, wenn die beiden Orte in den USA, an denen das normalerweise alle drei Monate geschieht, nicht mehr zugänglich sind.

TCR

TCRs = Trusted Community Representatives, so werden die Crypto Officers, die Recovery Key Share Holders und ihre jeweiligen Stellvertreter genannt, weil sie von der technischen Community für ihre Rollen empfohlen wurden.

Das Herzstück von DNSSEC sind kryptografische Schlüssel, die zum Erstellen der Signaturen notwendig sind. Die wichtigsten Schlüssel heißen Zone Signing Key (ZSK) und Key Signing Key (KSK). Mit dem ZSK wird die sogenannte Root Zone des Internets unterschrieben, das ist die oberste Hierarchie-Ebene des DNS. Jede Anfrage nach einer IP-Adresse landet zuerst dort und wird dann über die niedrigeren Ebenen bis zum Zielserver weitergeleitet.

Damit DNSSEC vertrauenswürdig sein kann, muss auch dieser oberste Teil des Telefonbuchs unterschrieben werden. Das geschieht alle drei Monate mit einem erneuerten Root Zone ZSK. Der wiederum wird mit dem KSK signiert. Der KSK ist damit sozusagen der Schlüssel aller Schlüssel.

Aufbewahrt wird der KSK an zwei Orten: eben in dem fensterlosen Tresorraum in Culpeper, Virginia und in einer zweiten, ähnlich gesicherten Anlage in der Nähe des Flughafens von Los Angeles. An diesen beiden Orten finden immer im Wechsel die vierteljährlichen Zeremonien statt, in denen jeder neue ZSK mit dem KSK signiert wird.

Icann-Tresore
Icann-Tresore

Die Tresore der Icann in Culpeper, Virginia  |  © Flickr/ICANN/Kim Davies

Es sei ihre Idee gewesen, das Ganze auch offiziell eine Zeremonie zu nennen, sagt Eklund Löwinder, "um zu unterstreichen, wie wichtig der Vorgang ist". Wichtig für das Vertrauen in DNSSEC und erst recht in diejenigen, die das System kontrollieren.

Das ist in erster Linie die Internet Corporation for Assigned Names and Numbers (Icann), die Oberaufseherin über das DNS. Sie ist vom US-Handelsministerium mit dieser Aufgabe betraut worden. Das US-Unternehmen VeriSign wiederum ist von der US-Regierung damit beauftragt, notwendige Änderungen an der Root Zone durchzuführen. Außerdem gehören Icann und VeriSign zusammen mit einigen anderen US-Einrichtungen zu den 13 Betreibern der rund 200 Root Server, die in aller Welt verteilt sind. 

Leserkommentare
  1. der Wille der Community, das Internet als offenen & transparenten Kommunikationsweg zu betreiben. Toi, toi, toi ..

    Eine Leserempfehlung
  2. "Es gibt viele paranoide Menschen da draußen", sagt Eklund Löwinder, "die nicht einmal darauf vertrauen, dass die Icann uns die richtigen und einzigen Schlüssel zu dem Metallboxen aushändigt. Aber irgendwo muss auch mal Schluss sein. Irgendjemandem muss man letztlich vertrauen."

    Die Feststellung skizziert wohl so ein Kernsatzgrundproblem der Menschheit. Allen Mechanismen, Regelwerken, Gesetzespaketen und Sicherheitsmaßnahmen zum Trotz gibt es immer eine Grenze, hinter der Menschen sitzen, bei denen es keine Absicherungen mehr gibt. Wie steht es eigentlich um das Vertrauen in unserer Gesellschaft? Trauen wir uns auf großer Ebene noch zu, anderen zu vertrauen?

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Internet | DNS | Domain | Hardware | IP-Adresse | Provider
Service