TeleTrusT-Informationen

Transportverschlüsselung: DANE

TeleTrusT European Bridge CA sieht DANE als wichtige Ergänzung für TLS-Verbindungen

Die Transportverschlüsselung TLS findet immer stärkere Verbreitung in der modernen Internetkommunikation. Der Austausch der benötigten Zertifikate steht in den meisten Fällen jedoch auf unsicheren Beinen.

Anlässlich des 15jährigen Jubiläums des PKI-Vertrauensverbundes TeleTrusT European Bridge CA (EBCA) des Bundesverbandes IT-Sicherheit e.V. fand am 30.06.2016 in Berlin ein TeleTrusT EBCA "PKI-Workshop" statt. Zahlreiche Experten aus den Bereichen PKI und sichere Internetkommunikation erörterten Herausforderungen und Neuigkeiten zu den Themen E-Mail-Verschlüsselung, Einführung von SHA2/Agile PKI, Virtuelle und Netzwerkbasierte SmartCards, eIDAS-Verordnung und "Volksverschlüsselung".

Als Schwerpunkt wurde außerdem das Thema DANE (DNS based Authentication of Named Entities) behandelt. DANE-Experte Patrick Ben Koetter (TeleTrusT-Mitglied Sys4) leitete diesen Teil des Workshops.

DANE ergänzt die TLS-Verschlüsselung um eine wichtige Identifizierungs- und Austausch-Funktion. Ziel von DANE ist es, zu verhindern, dass eine Nachricht durch eine Man-in-the-middle-Attacke zunächst über den E-Mail-Server des Angreifers verschickt wird. Darüber hinaus besteht die Möglichkeit, die öffentlichen Schlüssel aller E-Mail-Verschlüsselungs-Zertifikate über DNS verfügbar zu machen. Desweiteren legt der Inhaber einer Domain fest, welches Zertifikat ein Nutzer erwarten muss, wenn dieser sich mit einem bestimmten Server verbindet. Besonders interessant ist dies im Rahmen der Verbindungen zwischen E-Mail-Servern. Der absendende Server einer E-Mail weiß anhand der DANE-Information des Empfängers, dass er mit dem richtigen Server eine verschlüsselte Verbindung eingeht, um die Nachricht auszuliefern. Dabei spielt es keine Rolle, ob das Zertifikat von einem offiziellen TrustCenter oder einer eigenen Zertifizierungsstelle stammt. DANE stellt sicher, dass der Absender das richtige Zertifikat verwendet.

Die TeleTrusT EBCA betrachtet DANE als eine wichtige Ergänzung an, die weiter vorangetrieben und implementiert werden muss. DANE stellt dabei einen zusätzlichen Distributionskanal dar, um Public Keys zu verteilen. DANE sollte jedoch nicht als Ersatz für eine PKI verstanden werden.

https://www.ebca.de/gremien/aktivitaeten/