Der Krypto-Schlüssel, der das Internet schützt, wird zum ersten Mal geändert
Bild: Shutterstock
Tech

Der Krypto-Schlüssel, der das Internet schützt, wird zum ersten Mal geändert

Sogenannte Krypto-Offiziere werden sich bald auf den Weg von der Ost- zur Westküste der USA machen, um das wichtigste kryptografische Schlüsselpaar des Internets zu ändern.
22.9.16

Der US-amerikanischen NGO Internet Corporation for Assigned Names and Numbers (ICANN), die für die Verwaltung des technischen Herzen des Internets verantwortlich ist, steht eine verantwortungsvolle Aufgabe ins Haus: Die Erneuerung zwei der wichtigsten kryptografischen Schlüssel des World Wide Web. Das Schlüsselpaar ist das erste Glied jenes Systems, das manchmal auch als zentrales Telefonbuch des Internets bezeichnet wird.—das DNS (Domain Name System).

Anzeige

Die Schlüssel stellen sicher, dass Internetnutzer, die den Namen einer Website im Browser eingeben, nach einer langen Reihe kryptografischer Trustbeziehungen und Authentifizierungsmechanismenauch wirklich zur richtigen Adresse geleitet werden. Ohne diese Schlüssel könnten Internetnutzer zum Beispiel auf durch Hacker manipulierte Seiten wie Phishing-Websites verwiesen werden, wo ihre Daten geklaut würden.

Das DNS übersetzt einfache Domain-Namen—wie etwa Google.com—in numerische und computerlesbare IP-Adressen. Beim Aufbau des DNS wurde allerdings nicht besonders auf Sicherheit geachtet. „Das DNS wurde zu einer Zeit entworfen, als das Internet noch ein freundlicherer Ort war. IT-Security war damals noch kein großes Thema", so Matt Larson,VP Research bei ICANN, in einem Telefongespräch mit Motherboard.

Aus diesem Grund tritt nun ein spezifisches Problem auf, das als DNS-Cache-Poisoning oder DNS-Spoofing bekannt ist. Bei diesen Angriffen wird ein Server, der nach der relevanten IP-Adresse sucht, gezwungen, eine inkorrekte IP-Adresse zurückzumelden, wodurch der Internetnutzer zu einer anderen, möglicherweise betrügerischen oder gefährlichen Website umgeleitet wird.

Um diesem Problem vorzubeugen, nutzen viele Domains sogenannte DNS Security Extensions (DNSSEC). Um die Bedeutung des nun auszutauschenden Schlüsselpaars besser zu verstehen, lohnt sich ein Blick auf dieses DNSSEC-System: Dank DNSSEC verifizieren Krypto-Schlüssel, dass die DNS-Daten vom richtigen Ort kommen. Bei verdächtigen Vorkommnissen in dem Prozess oder wenn die Signaturen nicht übereinstimmen, zeigt dein Browser eine Fehlermeldung, statt dich einfach zur falschen Website zu schicken. DNSSEC selbst verschlüsselt die Daten auf Websites nicht—das übernehmen Protokolle wie SSL oder TLS—aber es bestätigt dir, ob die Website, die du besuchen möchtest, ungefährlich ist und sich mit deinem Ziel deckt.

Anzeige

Die Internetstandards DNSSEC wurden im Jahr 2010 von ICANN zusammen mit anderen Organisationen eingeführt, um die oberste DNS-Ebene des Internet und die DNS Root Zone zu schützen. Die Verifizierung über DNSSEC stützt sich auf verschiedene, hierarchisch angeordnete Schlüssel. Die Top Level Root Zone, die von ICANN verwaltet wird, stellt dabei die erste Stufe dar, gefolgt von den Betreibern verschiedener Top Level Domains wie .com und schließlich denjenigen, die individuelle Domains wie zum Beispiel mywebsite.com verwalten.

„Wenn du diesen Schlüssel hättest …, wärst du in der Lage, jede Menge Traffic umzuleiten"

Jede Organisation in dieser Struktur verfügt über eigene Schlüssel, um Signaturen anzufertigen. Und jede muss den Schlüssel der unter ihr angeordneten Einheit signieren. Um bei unserem Beispiel mywebsite.com zu bleiben: .com signiert den Schlüssel von mywebsite.com und die Root signiert den Schlüssel von .com. Besucht man eine Website, so werden diese Informationen ziemlich unmittelbar überprüft, also bevor dein Computer die korrekte Website hochlädt. Nicht jede Organisation benutzt DNSSEC, aber es werden immer mehr: Comcast schützt seine Kunden damit seit 2012 und der DNS-Service von Google ist seit 2013 voll DNSSEC-kompatibel.

Das Schlüsselpaar, das ganz oben in dieser Hierarchie steht, den sogenannten Root Zone Signing Key, will ICANN jetzt zum ersten Mal erneuern.

„Wenn du diesen Schlüssel hättest und damit zum Beispiel deine eigene Version einer Root Zone erstellen könntest, so wärst du in der Lage, jede Menge Traffic umzuleiten", sagt Larson und fügt hinzu: „Wir wollen das Schlüsselpaar erneuern, weil das einfach guten kryptografischen Standards entspricht."

Anzeige

Genauso wie es eine gute Idee ist, dein Password zu ändern, für den Fall, dass es mal unbemerkt von einer Datenpanne betroffen war, gehört die Erneuerung der Schlüssel ebenfalls zu standardmäßigen Sicherheitsverfahren.

„Es gibt eine theoretische Wahrscheinlichkeit, dass jemand den Schlüssel gehackt hat, wir das aber nicht wissen", erklärt Andrew Sullivan, Vorsitzender desInternet Architecture Board, einer Gruppe, die Internetentwicklungsorganisationen vorsteht, in einem Telefongespräch mit Motherboard. Er betont allerdings, dass es keinerlei Anlass dafür gebe zu vermuten, dass die Sicherheit des Schlüsselpaars momentan gefährdet sei.

ICANN wendet in der Tat

außergewöhnlich strenge Sicherheitsmaßnahmen an

und betrachtet sogar Nationalstaaten als potentielle Gefährder. In seinen zeremoniellen Schlüsselerneuerungen, die viermal im Jahr stattfinden, treffen sich „Krypto-Offiziere" aus aller Welt nach ausführlichen physischen und digitalen Checks in einem der Hochsicherheitsräume.

Ein weiterer Grund für die Erneuerung des Schlüssels ist, seine Größe von 1024 Bit auf 2048 Bit zu erhöhen. Mit der Zeit und mit ständig steigenden Rechnerleistungen steigt auch die Wahrscheinlichkeit, dass jemand den Schlüssel knacken kann—auch wenn diese Gefahr bisher sehr gering bleibt.

„Einen größeren Schlüssel für die Root anzulegen ist wichtig, und ich möchte da auch keine Verzögerungen sehen", bestätigt Dan Kaminsky, ein bekannter Security Researcher, der sich als einer der Ersten mit der Sicherheit des DNS befasste, in einer E-Mail gegenüber Motherboard.

Anzeige

Einen konkreten Termin für die Aktion gibt es noch nicht. ICANN will die Erneuerung durchführen, solange alles ruhig ist, und damit eventuellen hektischen Aktionen in einem konkreten Gefährdungsfall vorbeugen.

„Wir wollen das Verfahren durchführen, wenn alles normal läuft, und nicht wenn es gerade einen Notfall gibt" bestätigt Larson. Dies ist auch als Testdurchlauf zu sehen, damit ICANN genau weiß was zu tun ist, wenn tatsächlich einmal jemand den Schlüssel stehlen sollte.

Irgendwann im Oktober dieses Jahres wird ICANN also in einem seiner Hochsicherheitsräumean der Ostküste der USA ein neues kryptografisches Schlüsselpaar erstellen. Die eine Hälfte des Schlüsselpaares ist geheim und bleibt bei ICANN, die andere Hälfte ist öffentlich. Internet Service Provider, Hardwareproduzenten und Linuxentwickler nutzen den öffentlichen Schlüssel, damit ihre Software sich mit bestimmten Sites verbinden kann.

Im ersten Quartal 2017 werden zwei Mitarbeiter dann in ein ganz normales Flugzeug steigen, um eine Smartcard mit der Kopie der Schlüsseldateien zu einem anderen Hochsicherheitsraum an der Westküste der USA zu bringen. Der öffentliche Teil des Schlüsselpaares wird nach diesem Schritt an alle relevanten Organisationen verteilt.

Der gesamte Prozess der Schlüsselerneuerung erstreckt sich über zwei Jahre. Larson zufolge wird der neue Schlüssel am 11. Juli 2017 zum ersten Mal in der DNS erscheinen. Ab Oktober 2017 wird der Schlüssel dann auch für Signaturen genutzt.

Anzeige

Den Austausch rechtzeitig allen zu kommunizieren ist eine der größten Herausforderungen. Auch wenn viele größere Organisationen bereits darauf vorbereitet sind, ist es Sullivan zufolge möglich, dass ein Stück Hardware, wie zum Beispiel eine Router oder ein Firewall-Gerät, das zwischenzeitlich nicht genutzt wird, übersehen wird und danach manuell auf den neuen Stand gebracht werden muss.

Die Kommunikation der Aktion über die Medien hilft natürlich bei der Verbreitung der Botschaft. Und die Öffentlichkeitsarbeit rund um die Erneuerung des Schlüssels verfolgt noch einen anderen Zweck: Vertrauen aufbauen. Auch das ist ein wichtiger Aspekt für die Infrastruktur des Internets.

„Da das Internet ein Netzwerk ist, das aus Netzwerken besteht, und in diesen alles freiwillig geschieht, ist es von hoher Bedeutung, dass die Menschen daran glauben. Sie müssen das Internet als für sie wertvoll betrachten, sonst hören sie auf es zu benutzen", so Sullivan.

DNSSEC und andere Arten der Verifizierung erscheinen uns zwar außerordentlich technisch. Letztendlich stützen sich jedoch auch diese Systeme auf die Fragilität menschlichen Vertrauens.

Ob die Sicherheit des ICANN-Schlüssels hundertprozentig gewährleistet ist oder nicht, kann letztlich keiner sagen. „Das Vertrauen [der Internetnutzer] kann schnell verlorengehen", warnt ICANNs DNS-Experte Larson.