Kryptologe macht Vorschlag zu Verschlüsselung des Internet-Datenverkehrs

1. Jänner 2011, 12:41
48 Postings

Informatikprofessor setzt auf DNSCurve und CurveCP - HTTPS und DNSSE keine Alternativen

US-Kryptologe Daniel Bernstein hat im Rahmen des 27. Chaos Communication Congress (27C3) in Berlin die kryptographische Absicherung aller über das Internet verschickten Datenpakete vorgeschlagen, berichtet Heise. Der Mathematiker meinte gegenüber den Hackern, dass die Bemühungen hinsichtlich eines sichereren Netzes "beschämend" seien.

Einfach zu implementieren und kostengünstig sei als Alternative die Protokollvariante CurveCP, dabei handelt es sich um eine Ergänzung der vor zwei Jahren vorgeschlagenen Technik DNSCurve für die sichere Auflösung von Domain-Namen in IP-Adressen.

Kryptosystem

CurveCP und DNSCurve verwenden ein asymmetrisches, elliptisches Kurven-Kryptosystem um das Domain Name System (DNS) und den Internet-Datenverkehr abzusichern - eine 256-Bit-Schlüssel sei dafür ausreichend. Um dieses System zu knacken müsse ein Angreifer 2 hoch 128 Operationen durchführen, dies sei in einem absehbaren Zeitraum ohne Quantencomputer nicht möglich - so Bernstein. Die asymmetrisch verschlüsselten Pakete sollen auf der Transportschicht mit dem verbindungslosen User Datagram Protocol (UDP) übermittelt werden, CurveCP limitiere dabei das klassische verbindungsorientierte Transmission Control Protocol (TCP).

Implementierung

Die öffentlichen Schlüssel sollen auf der Seite der Sender beispielsweise in Webadressen eingebaut werden. Der 32 Byte lange Public Key könnten vor den Domain-Namen in die URL eingelagert, um die Adressen kurz zu halten werde ein Alias-Verfahren über den CNAME-Befehl genutzt. Empfänger erhalten besagte DNS-Daten kostenlos bei Abfrage der Server-Adresse. Dann werde CurveCP genutzt um wiederum den Webserver des Senders anzusprechen. Einen Geschwindigkeitsnachteil gegenüber HTTP gebe es dabei nicht, versichert Bernstein.

Beim Sender müsse ein Weiterleitungsmechanismus per Forward-Anweisung auf dem UDP-Port 53 installiert werden, wodurch eine Verbindung zu einem HTTP-Server via TCP-Port 80 hergestellt würde. Ein zusätzlicher öffentlicher Schlüssel werde über den hinzugezogenen DNS-Server über das DNSCurve-Protokoll bereitgestellt. Vom Empfänger werde das elliptische Kurvenverfahren zur Kontaktierung des DNS-Servers genutzt, zusätzlich müsse aber noch ein Schlüssel von einem vertrauenswürdigen Rootserver bezogen werden. Angriffe auf die Verfügbarkeit seien dabei nicht auszuschließen, ein DNS auf P2P-Basis könnte hier gegebenenfalls helfen.

Geringe Kosten

Laut Bernsteien seien die Kosten für die Installation des Verfahren gering. Die Belastung der DNS-Server nehme eigenen Tests zufolge um den Faktor 1,15 zu und die beanspruchte Prozessorzeit lasse sich dank zahlreicher Krypto-Schnittstellen niedrig halten.

Alternative

Kritik übt der Kryptologe an DNS Security Extension, dies stelle keine sinnvolle Alternative für DNSCurve und CurveCP dar. Es handle sich dabei um ein "Sicherheitstheater", welche Attacken damit verhindert werden könnten sei nicht bekannt. Und auch dem verschlüsselten Webprotokoll HTTPS prophezeit Bernstein keine Zukunft, da dieses zuviel Rechenkraft beanspruche, was sich am Beispiels von Googles Suchmaschine zeige. (red)

Der WebStandard auf Facebook

  • Bild nicht mehr verfügbar
Share if you care.