DNSCrypt geht am Kern des Problems vorbei

Originalartikel von Ben April, Senior Threat Researcher

OpenDNS hat ein Vorschau-Release auf das neue Tool DNSCrypt veröffentlicht und es als großen Schritt hin zu Vertraulichkeit und Sicherheit im Internet bezeichnet. Dahinter steckt das einfache Konzept, den gesamten DNS-Verkehr zwischen dem Nutzer und dem rekursiven Resolver zu verschlüsseln. So gut die Idee auch sein mag, sie trifft den Kern des Problems nicht.

Dem Dienst zufolge stellt der Code die erste tatsächliche Implementierung des DNSCurve-Schemas dar. Ziel des Ganzen sei es, den Datenschutz und die Authentizität einer gesamten DNS-Transaktion zu gewährleisten. Doch so einfach ist dies nicht, denn eine verschlüsselte Hülle um ein vorhandenes Protokoll zu legen, reicht nicht aus, um mehr Sicherheit zu erreichen. Man muss das gesamte Ökosystem im Blick haben. Die DNS-Abfrage eines Nutzers ist zwar privat und für andere in demselben Netzwerk unsichtbar – doch eben nur dort. Das Problem beginnt ein paar Millisekunden, nachdem der User das Ergebnis erhält: Die Vertraulichkeit durch den verschlüsselten DNS-Verkehr verflüchtigt sich nämlich, sobald der Browser seine Anfrage an den Server stellt. Ein Angreifer, der den DNS-Verkehr des Nutzers sehen kann, wird höchstwahrscheinlich auch Einsicht in weitere Formen des Datenverkehrs haben.

Wer sich mehr um die Authentizität der Daten als um die Vertraulichkeit sorgt, hat bessere Möglichkeiten diese sicherzustellen. DNSSEC (DNS Security Extensions) steht dafür bereit. Ein großer Vorteil dieser IETF-Spezifikation besteht darin, dass DNSSEC für manche Top Level Domains die Ergebnisse bis zur Root authentifizieren kann. Laut den DNSCrypt Frequently Asked Questions bei OpenDNS arbeiten die beiden Techniken perfekt zusammen.

Als interessanter Nebeneffekt leitet DNSCrypt mehr Verkehr an die OpenDNS-Infrastruktur. Zwar haben sie den Client-Code unter Open Source gestellt, doch derzeit besitzen sie die einzige funktionierende Server-Implementierung. Ist die Sorge darüber, dass ein ISP im DNS-Verkehr seiner Nutzer schnüffelt, bei OpenDNS weniger berechtigt?

Falls ein Nutzer den Verdacht hegt, jemand schnüffelt in seinen Datenpaketen und verfolgt somit seine Internet-Aktivitäten, gibt es das quelloffene Programm Tor zur Anonymisierung von Verbindungsdaten oder andere VPN/Proxy-Dienste.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*