1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Protokoll: DNSSEC ist gescheitert

Guter Artikel und sauber erklärte Kritik

  1. Thema

Neues Thema Ansicht wechseln


  1. Guter Artikel und sauber erklärte Kritik

    Autor: invalid 30.06.15 - 13:28

    Wer den ganzen Artikel gelesen hat und auch verstanden hat was dort sauber und gut erklärt aufbereitet wird, sollte in der Lage sein die Meinung des Autors zu verstehen. Ich tue das und ich teile seine Meinung. Besten Dank an den Autor, auch für den Link auf DNSCurve.

    Die Kritik an diesem Artikel und an dem Autor scheint mir in dieser Hinsicht nicht gleich fundiert begründet zu sein. Natürlich steht jedem Kritik zu, ich habe hier (Kommentare) aber noch keine fundiert berechtigte gelesen ;-(

  2. Re: Guter Artikel und sauber erklärte Kritik

    Autor: Anonymer Nutzer 30.06.15 - 13:34

    dem kann ich leider nicht zustimmen, sorry.

  3. Re: Guter Artikel und sauber erklärte Kritik

    Autor: ikhaya 30.06.15 - 13:36

    Das Leute den Autor beleidigen ist natürlich nicht akzeptabel.

  4. Re: Guter Artikel und sauber erklärte Kritik

    Autor: Anonymer Nutzer 30.06.15 - 13:41

    es geht primär mal darum, dass es kein artikel ist sondern ein kommentar. der autor drückt hier nur seine persönliche meinung aus. objektiver journalismus ist das natürlich keiner. aber das "IMHO" am beginn der titels zeigt das ja auch deutlich.
    das einzige argument des autors ist, dass es keiner verwendet. ipv6 wird auch kaum verwendet. kommt dann als nächstes ein kommentar zu "IPv6 ist tot"?

  5. Re: Guter Artikel und sauber erklärte Kritik

    Autor: invalid 30.06.15 - 13:48

    Das ist nicht richtig. Natürlich drückt der Autor auch seine Meinung aus. Aber in erster Linie ist das eine Auszählung (Recherche) der Schwächen von DNSSEC und somit wohl eher eine wissenschaftliche Arbeit als eine Meinungsäußerung.

  6. Re: Guter Artikel und sauber erklärte Kritik

    Autor: Wechselgänger 30.06.15 - 13:53

    Hmm... ich bin weder Netzwerkfachmann noch Kryptographieexperte, aber trotzdem finde ich die Argumente des Autoren eher zweifelhaft.

    Kritik: DNSSEC verschlüsselt nicht
    Antwort: Warum auch? Die übermittelten Daten sind öffentlich und nicht persönlich. Jeder kann dieselbe Anfrage stellen und bekommt dieselbe Antwort. Da gibt es nichts geheim zu halten.
    Verschlüsselung wäre witzlos, weil ein Lauscher die Identität der angefragten Domain eh Sekundenbruchteile später mitbekommen würde, wenn man nach Erhalt der IP diesen Server anspricht.


    Kritik: Viele Parteien müssen mitspielen
    (Das ist dem Autoren so wichtig, daß er diesen Punkt mehrfach in verschiedenen Formulierungen bringt.)
    Einen nennenswerten Mehraufwand gibt es nur, wenn man nachträglich DNSSEC will. Wenn man bei Erstbestellung oder sowieso anstehendem Umzug einer Domain darauf achtet, ist der Mehraufwand vernachlässigbar.

    Im schlimmsten Fall ist das also ein einmaliger Mehraufwand um vorhandene Domains umzustellen.


    Kritik: Man braucht einen lokalen Resolver, der ist aber nicht verbreitet und bekommt nicht immer Antwort
    Henne-Ei-Problem. Wenn mehr lokale Resolver verwendet werden, dann werden sich mehr Kunden beschweren, wenn die DNS-Pakete blockiert werden, und dann wird weniger blockiert.

    Und das kein relevantes Betriebssystem einen lokalen Resolver mitbringt ist Quatsch. Bei Linux ist das schnell eingerichtet.


    Kritik: Luftschloss DANE, weil DNSSEC nicht verbreitet
    Das Argument des Autoren ist ein Zirkelschluss.


    Kritik: Key Pinning und Certificate Transparency machen doch schon, was DNSSEC will
    Über beide Techniken weiß ich zu wenig, um darüber urteilen zu können. Aber nach der Beschreibung im Artikel muss man bei Key Pinning dem Server, dessen Identität man überprüfen will, erst mal vertrauen (ergo witzlos), und bei Certificate Transparency einem Log, bei dem (mir) nicht klar ist, woher die Daten kommen, warum man den Quellen vertrauen soll und ob die Daten unmanipulierbar sind.


    Kritik: unsichere Schlüssel bei Zone Signing Keys
    Das ist nicht mal ein Argument gegen DNSSEC, weil der Autor ja selber zugibt, daß sicherere Schlüssel möglich sind. Hier muss man also nur die Stellen, die die unsicheren Algorithmen verwenden, animieren, darauf zu verzichten.


    Kritik: Reflection-Angriffe
    Hier läßt der Autor ja durchblicken, daß diese kein grundsätzliches Problem von DNSSEC sind. Natürlich nicht, das Problem liegt ja eher im UDP-Protokoll (das P bei UDP steht garantiert für Protokoll, so daß die Bezeichung reduntant ist, oder?).


    Die letzten beiden Kritikpunkte sind eher ein Zeichen dafür, daß zu viele Betreiber von Systemen sich keine Gedanken um Sicherheit machen, sondern den billigsten/einfachsten Weg wählen. Das sehen wir aber überall in der IT, nicht nur bei DNSSEC. Hier muss ein generelles Umdenken stattfinden. Diese Probleme jetzt aber DNSSEC anzukreiden, obwohl sie (in andere Ausprägung) mit Sicherheit auch bei jeder Alternative auftreten werden (gerade unsichere Schlüssel-Algorithmen sind ja ein Dauerbrenner), ist irreführend.


    Generell hat mich der Artikel nicht überzeugt.

  7. Re: Guter Artikel und sauber erklärte Kritik

    Autor: Anonymer Nutzer 30.06.15 - 14:07

    @invalid
    von wissenschaftlichkeit sind wir schon alleine wegen der wortwahl weit entfernt. und noch mal: es ist ein kommentar. man sieht es schon in der überschrift. der text ist explizit als kommentar ausgewiesen. deshalb auch mein einziger kommentar dazu: gut, dass nicht alle so denken, wie der autor.

  8. Re: Guter Artikel und sauber erklärte Kritik

    Autor: invalid 30.06.15 - 14:23

    Wechselgänger schrieb:
    --------------------------------------------------------------------------------
    > Hmm... ich bin weder Netzwerkfachmann noch Kryptographieexperte, aber
    > trotzdem finde ich die Argumente des Autoren eher zweifelhaft.
    Ich zähle mich selbst zu den "Kryptographieexperten", allerdings eher der beobachtende Anwender (Softwareentwickler) und nicht der Crypto-Designer und -Angreifer.

    > Kritik: DNSSEC verschlüsselt nicht
    > Antwort: Warum auch? Die übermittelten Daten sind öffentlich und nicht
    > persönlich. ....
    Nein, das sind sie natürlich nicht. Die Daten sind höchst privat. Die DNS Zugriffe verraten welche Sites besucht werden von dem der die DNS Anfrage stellt. Das ist in der Regel einem Zugang oder einer Person zuzuordnen!

    > Kritik: Viele Parteien müssen mitspielen
    > (Das ist dem Autoren so wichtig, daß er diesen Punkt mehrfach in
    > verschiedenen Formulierungen bringt.)
    Complexity kills Security. Es gibt keine wirklich sicheren komplexen Systeme!

    > Kritik: Man braucht einen lokalen Resolver, der ist aber nicht verbreitet
    > und bekommt nicht immer Antwort
    > Henne-Ei-Problem.
    Nein, es ist eine Scheinsicherheit in der die Leute sich wiegen und das ist möglicherweise gewollt (von einigen). Praktisch lässt sich DNSSEC damit wohl ziemlich leicht unterdrücken.

    > Kritik: Luftschloss DANE, weil DNSSEC nicht verbreitet
    > Das Argument des Autoren ist ein Zirkelschluss.
    Nein. Man kann kein festes Gebäude auf einem Sumpf bauen. Und man kann kein sicheres System auf einer unsicheren Basis errichten!

    > Kritik: Key Pinning und Certificate Transparency machen doch schon, was
    > DNSSEC will
    > Über beide Techniken weiß ich zu wenig, um darüber urteilen zu können.
    TLS ist meiner Meinung nach genauso Müll. Weil es hunderte CAs gibt die jede für jeden (falsche) Zertifikate ausstellen können. Allerdings erlaubt das Pinning von Zertifikaten eben diese Schwäche zu beheben. Leider wird das kaum eingesetzt. Da fragt man sich glatt warum und wer dies verhindert.

    > Kritik: unsichere Schlüssel bei Zone Signing Keys
    > Das ist nicht mal ein Argument gegen DNSSEC, weil der Autor ja selber
    > zugibt, daß sicherere Schlüssel möglich sind.
    Sicherer (RSA) Schlüssel machen die Datenfelder länger (denke ich). Nebenbei die Technik DNSCurve (siehe Artikel Link) ist sehr viel vielversprechender als ein herumdoktern an DNSSEC. Meiner Meinung nach auch TLS als Absicherung überlegen.

    > Kritik: Reflection-Angriffe
    > Hier läßt der Autor ja durchblicken, daß diese kein grundsätzliches Problem
    > von DNSSEC sind. Natürlich nicht, das Problem liegt ja eher im
    > UDP-Protokoll (das P bei UDP steht garantiert für Protokoll, so daß die
    > Bezeichung reduntant ist, oder?).
    Möglicherweise, aber in der Praxis ein eher nicht lösbares Problem. UDP existiert und wird für DNS verwendet. Wenn man das für DNSSEC nicht wollte hätte man eine andere Spec schreiben müssen.

  9. Re: Guter Artikel und sauber erklärte Kritik

    Autor: GProfi 30.06.15 - 14:35

    invalid schrieb:
    --------------------------------------------------------------------------------
    > Nein, das sind sie natürlich nicht. Die Daten sind höchst privat. Die DNS
    > Zugriffe verraten welche Sites besucht werden von dem der die DNS Anfrage
    > stellt. Das ist in der Regel einem Zugang oder einer Person zuzuordnen!

    Welche Anfrage verrät das denn nicht? Selbst bei TLS ist das so, selbst wenn man die IP-Adressen komplett außen vor lässt.
    Jede SSL/TLS CLIENT_HELLO Nachricht eines aktuellen Clients enthält den Servernamen im Klartext (SNI Erweiterung).

  10. Re: Guter Artikel und sauber erklärte Kritik

    Autor: invalid 30.06.15 - 14:43

    @GProfi

    Da magst Du recht haben. Ich bin kein Netzwerkprofi. Technisch muss nun mindestens die IP Adresse offen kommuniziert werden. Damit ist in der Tat schon viel verraten. Zwar können sich hinter einer IP auch mehrere Dienste/Sites verbergen, das dürft im professionellen Umfeld aber eher selten sein.

    Trotzdem ist es eher unnötig geschwätzig sollte beim TLS Verbindungsaufbau mehr als die IP unverschlüsselt übertragen werden. TLS ist eben auch eher Mist. Meiner Meinung nach haben die drei Buchstaben Dienste die Standardisierung von SSL/TLS vergiftet.

  11. Re: Guter Artikel und sauber erklärte Kritik

    Autor: Anonymer Nutzer 30.06.15 - 14:51

    im zertifikat steht der hostname auch drin. maximal ein wildcard kann etwas sicherheit bieten. aber auch nur minimal, da die domain immer vorhanden ist. und die sagt schon genug aus. ob nun www.example.com oder www2.example.com angesurft wurde, ist auch schon egal.

    @invalid
    "Complexity kills Security" das sind gleiche sinnfreie sprüche wie KISS und "es gibt kein 100% fehlerfreies system". das sind allgemeinplätze, die leider zu oft falsche auf alles drüber gestülpt werden. die welt IST kompliziert. somit können probleme ebenso kompliziert sein und deren lösungen auch. und ja, es gibt wirklich sichere systeme. sie sind nur nicht praktikabel.


    dnssec ist genau so sicher wie tls. die algorithmen sind die gleichen. der autor und viele, die ihm hier zustimmen, erwarten sind von dnssec die lösung von problemen, für die es nicht gedacht wurde. meiner meinung nach (achtung meinung...) macht es durchaus sinn, mehrere maßnahmen zur verbesserung der sicherheit einzusetzen. wir setzen derzeit zertifikate von digicert ein, die certificate transparency verwenden. außerdem haben wir htst und hpkp im einsatz. bisher gabs keine probleme. ich würde auf keines der features verzichten. auch wenn keines der features für sich alleine alle probleme löst. domains sind dnssec signiert mit tlsa record, dkim und dmarc.

    verhindert wird sehr viel technologie von leuten wie dem autor. dinge werden schlecht geredet und leuten wird angst gemacht, sie einzusetzen.

  12. Re: Guter Artikel und sauber erklärte Kritik

    Autor: invalid 30.06.15 - 14:59

    bjs schrieb:
    --------------------------------------------------------------------------------
    > @invalid
    > "Complexity kills Security" das sind gleiche sinnfreie sprüche wie KISS und
    > "es gibt kein 100% fehlerfreies system". das sind allgemeinplätze, die
    > leider zu oft falsche auf alles drüber gestülpt werden. die welt IST
    > kompliziert. somit können probleme ebenso kompliziert sein und deren
    > lösungen auch. und ja, es gibt wirklich sichere systeme. sie sind nur nicht
    > praktikabel.

    Die Welt mag so kompliziert sein wie sie ist. Sicherheit zu bauen heißt die Sicherheitsfunktionen minimalistisch auf das Kernproblem zu fokusieren. Die Komplexität kann gerne statt finden aber nicht in der Sicherheitsimplementierung. Das geht, denn die Sicherheitsaufgabe ist auch minimalistisch. Alles andere kann man dahinter ohne diesen Fokus implementieren.

    Dieser Krampf unnötiger Komplexität wird von Standardisierungsgruppen und interessierten Gruppen erzeugt. Die einen wollen komplexe Dinge die sie beherrschen und andere nicht um daraus einen wirtschaftlichen Vorteil zu ziehen. Die Anderen (NSA und Co) wollen die Sicherheit schwächen. Ein gutes Beispiel für unnötige Komplexität ist IPSec. Es würde mich sehr wundern wenn das Zufall ist.

  13. Re: Guter Artikel und sauber erklärte Kritik

    Autor: Anonymer Nutzer 30.06.15 - 15:03

    dnssec ist keineswegs kompliziert. und es macht genau eines: es authentifiziert dns anworten.

  14. Re: Guter Artikel und sauber erklärte Kritik

    Autor: invalid 30.06.15 - 15:08

    Ob die DNSSEC Implementierung kompliziert ist kann ich nicht wirklich sagen.

    Der Weg zu einer per DNSSEC abgesicherten Domain ist es mit Sicherheit. Darum findet es nicht statt!

  15. Re: Guter Artikel und sauber erklärte Kritik

    Autor: Anonymer Nutzer 30.06.15 - 15:13

    @invalid
    also schon mal gemacht, oder?

  16. Re: Guter Artikel und sauber erklärte Kritik

    Autor: Wechselgänger 30.06.15 - 15:38

    invalid schrieb:
    --------------------------------------------------------------------------------
    > Wechselgänger schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Kritik: DNSSEC verschlüsselt nicht
    > > Antwort: Warum auch? Die übermittelten Daten sind öffentlich und nicht
    > > persönlich. ....
    > Nein, das sind sie natürlich nicht. Die Daten sind höchst privat. Die DNS
    > Zugriffe verraten welche Sites besucht werden von dem der die DNS Anfrage
    > stellt. Das ist in der Regel einem Zugang oder einer Person zuzuordnen!

    Schön, daß du meinen nächsten Satz nicht mit zitiert hast. Der geht genau darauf ein.


    > > Kritik: Viele Parteien müssen mitspielen
    > > (Das ist dem Autoren so wichtig, daß er diesen Punkt mehrfach in
    > > verschiedenen Formulierungen bringt.)
    > Complexity kills Security. Es gibt keine wirklich sicheren komplexen
    > Systeme!

    Dann sind alle Rechner per Definition unsicher. Hast du eine Ahnung, wie komplex eine aktuelle CPU ist?


    > > Kritik: Man braucht einen lokalen Resolver, der ist aber nicht
    > verbreitet
    > > und bekommt nicht immer Antwort
    > > Henne-Ei-Problem.
    > Nein, es ist eine Scheinsicherheit in der die Leute sich wiegen und das ist
    > möglicherweise gewollt (von einigen). Praktisch lässt sich DNSSEC damit
    > wohl ziemlich leicht unterdrücken.

    Und wieder: Du läßt einfach mein eigentliches Argument weg.

    > > Kritik: Luftschloss DANE, weil DNSSEC nicht verbreitet
    > > Das Argument des Autoren ist ein Zirkelschluss.
    > Nein. Man kann kein festes Gebäude auf einem Sumpf bauen. Und man kann kein
    > sicheres System auf einer unsicheren Basis errichten!

    Ok, da du anscheinend mit "Zirkelschluss" nichts anfangen kannst: Es geht dem Autoren darum, zu beweisen, daß DNSSEC tot ist. Als ein Argument wird DANE ins Spiel gebracht und abgefertigt, weil DNSSEC ja tot ist.
    Also: Der Autor argumentiert seine Behauptung, in dem er seine Behauptung als gegeben voraussetzt.
    "DNSSEC ist tot weil DANE ja nicht funktioniert weil DNSSEC tot ist".
    Eben: Zirkelschluss.


    > > Kritik: Key Pinning und Certificate Transparency machen doch schon, was
    > > DNSSEC will
    > > Über beide Techniken weiß ich zu wenig, um darüber urteilen zu können.
    > TLS ist meiner Meinung nach genauso Müll. Weil es hunderte CAs gibt die
    > jede für jeden (falsche) Zertifikate ausstellen können. Allerdings erlaubt
    > das Pinning von Zertifikaten eben diese Schwäche zu beheben. Leider wird
    > das kaum eingesetzt. Da fragt man sich glatt warum und wer dies
    > verhindert.

    Vielleicht derselbe, der dafür verantwortlich ist, daß DNSSEC kaum eingesetzt wird... :rolleyes:


    > > Kritik: unsichere Schlüssel bei Zone Signing Keys
    > > Das ist nicht mal ein Argument gegen DNSSEC, weil der Autor ja selber
    > > zugibt, daß sicherere Schlüssel möglich sind.
    > Sicherer (RSA) Schlüssel machen die Datenfelder länger (denke ich).
    > Nebenbei die Technik DNSCurve (siehe Artikel Link) ist sehr viel
    > vielversprechender als ein herumdoktern an DNSSEC. Meiner Meinung nach auch
    > TLS als Absicherung überlegen.

    Du machst anscheinend denselben Fehler wie der Autor: Du scheinst DNSSEC als Alternative zu TLS zu sehen. Das ist es aber ganz explizit nicht. TLS und DNSSEC ergänzen sich.

    Und was DNSCurve angeht, so zeigt mir ein kurzer Blick in die Wikipedia, das hier der Trustanker fehlt bzw. nicht klar definiert ist. Damit hat DNSCurve eines der Probleme, an denen TLS krankt und die von DNSSEC zumindest abgemildert werden. (Ja, auch DNSSEC braucht natürlich einen Trustanker, das Zertifikat der root-Domain.)


    > > Kritik: Reflection-Angriffe
    > > Hier läßt der Autor ja durchblicken, daß diese kein grundsätzliches
    > Problem
    > > von DNSSEC sind. Natürlich nicht, das Problem liegt ja eher im
    > > UDP-Protokoll (das P bei UDP steht garantiert für Protokoll, so daß die
    > > Bezeichung reduntant ist, oder?).
    > Möglicherweise, aber in der Praxis ein eher nicht lösbares Problem. UDP
    > existiert und wird für DNS verwendet. Wenn man das für DNSSEC nicht wollte
    > hätte man eine andere Spec schreiben müssen.

    Auch für DNS ohne SEC wird UDP verwendet. Die Lücken von UDP sind also in jedem Fall relevant.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Quentic GmbH, Berlin
  2. DEKRA SE, Stuttgart
  3. Bundeskriminalamt, Meckenheim
  4. Adecco Personaldienstleistungen GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 1,07€
  3. 4,98€
  4. (-8%) 45,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

  1. Playstation 5: Skizzen zeigen möglicherweise Dualshock 5
    Playstation 5
    Skizzen zeigen möglicherweise Dualshock 5

    Sony hat neue Funktionen des Gamepads für die Playstation 5 bereits bestätigt. Nun zeigen Skizzen des japanischen Patentamts, dass der nächste Dualshock möglicherweise fast genauso aussieht wie der Controller der PS4.

  2. Smartphone: Fairphone 3 bei Vodafone erhältlich
    Smartphone
    Fairphone 3 bei Vodafone erhältlich

    Mit Vodafone hat das niederländische Unternehmen Fairphone einen Vertrieb für sein nachhaltigeres Smartphone Fairphone 3 gefunden. Ab heute bietet der Netzanbieter das Gerät an, Interessenten können es mit oder ohne Vertrag bekommen.

  3. Spielestreaming: Wie archiviert man Games ohne Datenträger?
    Spielestreaming
    Wie archiviert man Games ohne Datenträger?

    Falls sich Stadia und das Streaming von Games durchsetzen, gibt es eine Herausforderung für die Bewahrer des digitalen Erbes: Wie kann man etwas sammeln, wenn man nichts mehr hat, das man ins Regal stellen oder auf einer Festplatte speichern kann?


  1. 12:45

  2. 12:25

  3. 12:05

  4. 11:50

  5. 11:39

  6. 11:22

  7. 11:07

  8. 10:52