DNS Security Extensions

1999-04-01

IETF släppte under mars RFC 2535 som innefattar tillägg till DNS för att skydda mot modifiering av DNS-data och garantera äktheten i DNS-data. Tilläggen går under benämningen DNS Security Extension och kommer att kräva anpassade DNS servers & applikationer för att nyttja tilläggen fullt ut. Tekniken baseras på digitala signaturer. DNS Security Extensions medför en del trevliga följdeffekter, den intressantaste kanske är möjligheten till lagring och distribution av certifikat.

Varför nu detta? DNS-frågor som ställs idag hanterar svaren utan några direkta kontroller. En DNS-fråga på vilken IP-adress som www.banken.se har, är ganska lätt att manipulera. Regeln är egentligen, att den som snabbast besvarar en DNS-fråga vinner. Oavsett vem som svarar. Ni kan själva gissa resten.

Behovet av att garantera äktheten i DNS och skydda mot modifiering av DNS är en av de viktigaste hörnstenarna just nu, för att säkra användningen av Internet. Det har arbetats en del med tillägg till DNS för att åstadkomma detta, men utan större gehör. Den standard som blev tillgänglig i och med RFC2535, kan vara lösningen på problemet. Min egen tolkning, är oerhört svart eller vit. Antingen kommer DNS Security Extension att förändra hela Internet-världens användning av DNS, eller så händer det absolut ingenting. Givetvis hoppas jag på att DNS Security Extension blir lika självklart som DNS i sig självt.

DNS Security Extension baseras på digital certifikat för att hantera äkthet och förhindra modifiering. De digitala certifikaten bygger på två delar, dels en sorts checksumma (Message Digest) dels en asymmetrisk kryptering. Tekniken som förordas är RSA/MD5. Tekniken ställer krav på att det finns en infrastruktur för distribution av publika nycklar, certifikat. DNS Security Extension innehåller delar för att hantera distribution av certifikat.

Behovet av en infrastruktur för distribution av certifikat har länge varit en stötesten för att få fart på elektronisk handel. Verisign’s koncept för certifikathantering har hittills varit den väg som många har valt för att hantera och distribuera certifikat. Kostnaden för detta har hittills av många “förståsigpåare” ansetts som allt för hög. Kanske kan den positiva bieffekten av att DNS Security Extension kan hantera distribution av certfikat lyfta fram andra alternativ. Alternativ som vilar på världen största distribuerade databas, DNS.

© 1999 Thomas Nilsson, Certezza AB