Pressemitteilung | 23.10.2014

DENIC führt sichere, vertrauliche E-Mail-Kommunikation auf Basis von DANE und DNSSEC ein

Die zentrale Registrierungsstelle und technische Betreibergesellschaft der deutschen Länderdomain .de, DENIC, hat als einer der ersten Anwender die unter der Bezeichnung DANE bekannt gewordene Technik zur Sicherung der E-Mail-Kommunikation in Betrieb genommen. Mit dem DANE-Verfahren, das als offener Standard in der Internet Engineering Task Force (IETF) entwickelt wurde, kann der Datenverkehr zwischen Mailservern sicher verschlüsselt und die Identität der beteiligten Server verlässlich überprüft werden.

DANE kombiniert herkömmliche, mit einem Ausweis vergleichbare Zertifikate mit dem Domain Name System (DNS), dem Adressbuch des Internet.  Durch die Sicherheitserweiterung DNSSEC im Verbund mit der Transportverschlüsselung durch DANE wird ein Umlenken von E-Mails ebenso wirksam ausgeschlossen wie das Abhören von Nachrichten.  DANE für E-Mail ist ein wichtiger Schritt auf dem Weg zu einer sicheren Ende-zu-Ende-Kommunikation für jedermann.

Bereits seit 2011 sichert DENIC die Länderdomain .de mit DNSSEC ab und hat dadurch eine Voraussetzung für die praktische Nutzung von DANE geschaffen. Für die technische Umsetzung wenden Domaininhaber sich an ihren Internetanbieter.


Hintergrund

Über DANE


Die DANE (DNS-Based Authentication of Named Entities) genannte Technologie ist in der technischen Spezifikation RFC 6698 der Internet Engineering Task Force (IETF) beschrieben. DANE ermöglicht es, sogenannte X.509-Zertifikate im Domain Name System (DNS) zu hinterlegen. X.509-Zertifikate dienen üblicherweise dazu, die Identität eines Webservers (oder anderer Systeme) zu bestätigen. Durch die Verknüpfung zwischen Zertifikaten und dem DNS entstehen neue Möglichkeiten:

  1. Indem er ein Wurzelzertifikat hinterlegt, kann der Serverbetreiber mitteilen, welche "Certificate Authority" (CA) er nutzt, also von welcher Organisation ein für seine Server ausgestelltes Zertifikat stammen muss. Falls eine andere CA bewusst oder aufgrund einer Manipulation ihrer Systeme ein Zertifikat ohne echten Auftrag des Betreibers ausstellt, wird der Endnutzer entsprechend gewarnt.
  2. Bei der Verwendung selbstsignierter Zertifikate, also ohne Nutzung von CA-Dienstleistungen, entsteht durch die Veröffentlichung im DNS ein zweiter Kanal, sodass die nutzende Anwendung ein solches Zertifikat überprüfen und akzeptieren kann.
  3. DANE ermöglicht außerdem die Verwendung unterschiedlicher Zertifikate (und damit unterschiedlicher kryptographischer Parameter) für Dienste, die unter demselben Hostnamen angeboten werden (etwa E-Mail, Web oder Instant Messaging).

DANE wird aktuell, besonders in Deutschland, zur Steuerung der Verschlüsselung des Transportweges zwischen Mailservern eingesetzt. Weitere Anwendungen durchlaufen gerade bei der IETF das Standardisierungsverfahren. Dabei wird u.a. die Ende-zu-Ende-Verschlüsselung und -signierung mit dem S/MIME-Verfahren durch DANE erweitert.

Über DNSSEC

Das Domain Name System (DNS) verfügt in seiner ursprünglichen Form nicht über Verfahren, mit denen die Authentizität der verteilten Information zugesichert oder geprüft werden könnte.  Auf dem Weg zwischen Nameserver und Anwendung (Webbrowser, VoIP-Telefon …) sind Verfälschungen grundsätzlich möglich. In den vergangenen Jahren sind verschiedenste Angriffsmöglichkeiten beschrieben und von den Angreifern laufend verfeinert worden. DNSSEC (kurz für DNS Security) ergänzt das DNS um digitale Signaturen für die DNS-Daten, mit deren Hilfe sichergestellt werden kann, dass Antworten bei der Anwendung so eintreffen, wie sie der jeweils zuständige DNS-Administrator in seinen Nameservern  vorgesehen hat. Die Basis der DNS-Struktur ist seit 2010, die von DENIC verwaltete .de-Domain seit 2011 mit DNSSEC gesichert.