https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=DNSCurveDNSCurve - Versionsgeschichte2026-05-28T01:43:07ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=DNSCurve&diff=1468506&oldid=previmported>Thomas Dresler: Tippfehler korrigiert2024-08-20T20:20:00Z<p>Tippfehler korrigiert</p>
<p><b>Neue Seite</b></p><div>{{Netzwerk-TCP-UDP-IP-Anwendungsprotokoll|DNSCurve}}<br />
'''DNSCurve''' ist eine Technik zur [[Informationssicherheit|sicheren]] [[Namensauflösung|Auflösung]] von [[Domain (Internet)|Domain-Namen]] in [[IP-Adresse]]n. Autor des im August 2008 veröffentlichten Protokoll-Vorschlags ist der [[Kryptologe]] [[Daniel J. Bernstein]], welcher auf dem 27. [[Chaos Communication Congress]] 2010 auch das TCP-Pendant [[CurveCP]] vorstellte. DNSCurve ist ein Gegenentwurf zu [[DNSSEC]].<br />
<br />
== Ziele und Funktionsweise ==<br />
Zu den Zielen des Verfahrens gehört die Verbesserung der [[Vertraulichkeit]], [[Integrität (Informationssicherheit)|Integrität]] und [[Verfügbarkeit]] des [[Domain Name System]]s.<ref>http://www.dnscurve.org. 22. Juni 2009.</ref> DNSCurve verwendet ein asymmetrisches [[Elliptic Curve Cryptography|elliptische Kurven-Kryptosystem]] zur Authentifizierung von [[Domain Name System#Nameserver|Nameservern]]. Die Übermittlung des öffentlichen Schlüssels erfolgt durch selbstzertifizierende Namen, das heißt, der öffentliche Schlüssel wird als Teil des Domain-Namens kodiert.<br />
<br />
Der Domainname des Nameservers beginnt dabei mit der Zeichenfolge <code>uz5</code>, gefolgt von einem 51 Byte langen, in [[Base32]] kodierten String, welcher den 255 Bit langen öffentlichen Serverschlüssel darstellt. Beispielsweise sieht der Eintrag eines Nameservers im Format [[BIND]] folgendermaßen aus:<br />
<br />
example.com. IN NS uz5bcx1nh80x1r17q653jf3guywz7cmyh5jv0qjz0unm56lq7rpj8l.example.com.<br />
<br />
Die [[Zone (DNS)|zonenübergreifende]] Sicherheit wird hergestellt, indem in den [[NS Resource Record|NS-Delegierungen und Glue Records]] ebenfalls die öffentlichen Schlüssel der untergeordneten Zone enthalten sind. Der Schlüsselaustausch zwischen den Zonen erfolgt manuell durch die Zonenbetreiber.<br />
<br />
Bislang ist bei DNSCurve im hierarchischen Domain-Namensraums keine zentrale, vertrauenswürdige Stelle vorgesehen. Um die öffentlichen Schlüssel auf den höheren Ebenen wie der [[Root-Nameserver|Root-Domain]] oder den [[Top-Level-Domain]]s zu verteilen, schlägt Bernstein dezentrale Listen von [[Trust Anchor]]s oder einen [[Peer-to-Peer|peer-to-peer-basierten]] Ansatz vor.<br />
<br />
Neben der Authentifizierung dient das asymmetrische Kryptosystem zur Aushandlung eines symmetrischen [[Schlüssel (Kryptologie)|Schlüssels]] für die [[Punkt-zu-Punkt]]-Kommunikation zwischen [[Domain Name System#Resolver|Resolver]] und Nameserver. DNSCurve-Nachrichten sind mit einem [[Message Authentication Code]] versehen und mit einem [[Symmetrisches Kryptosystem|symmetrischen Kryptosystem]] [[Verschlüsselung|verschlüsselt]].<br />
<br />
== Kritik ==<br />
[[Dan Kaminsky]] kritisiert an DNSCurve unter anderem die vorgesehene Schlüsselverteilung. Kaminsky sieht im Verzicht auf eine zentrale, vertrauenswürdige Stelle ein nach [[Zookos Dreieck]] unlösbares Problem. Die vorgeschlagenen Lösungen zur dezentralen Verteilung von Trust Anchors seien nicht sicher. Weitere von Kaminsky genannte Probleme von DNSCurve seien eine eingeschränkte Fähigkeit zum [[DNS-Caching]] und die Notwendigkeit der Online-[[Digitale Signatur|Signierung]], die das Vorhalten der privaten Schlüssel auf allen autoritativen [[Nameserver]]n erfordert.<ref>Dan Kaminsky: [http://dankaminsky.com/2011/01/05/djb-ccc/ DNSSEC Interlude 2: DJB@CCC] (englisch), 5. Januar 2011, abgerufen am 6. März 2011.</ref> Dies ist jedoch bei der u.&nbsp;a. für Webserver gebräuchlichen [[Transport Layer Security|TLS]]-Verschlüsselung ebenfalls der Fall und das Risiko eines Keydiebstahls kann durch den Einsatz eines [[Hardware-Sicherheitsmodul|HSM]] begrenzt werden.<br />
<br />
== Siehe auch ==<br />
* [[DNS over HTTPS]] (DoH)<br />
* [[Domain Name System Security Extensions]] (DNSSEC)<br />
* [[DNS-based Authentication of Named Entities]] (DANE)<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [http://www.dnscurve.org/ www.dnscurve.org]<br />
* [http://www.dnscurve.org/dnssec.html Vergleich von DNSSEC und DNSCurve]<br />
<br />
{{DEFAULTSORT:Dnscurve}}<br />
[[Kategorie:Domain Name System]]<br />
[[Kategorie:Internet-Anwendungsprotokoll]]<br />
[[Kategorie:Verschlüsselungsprotokoll]]</div>imported>Thomas Dresler