Skip to Content.
Sympa Menu

public-l - [DENICpublic-l] PRESSEMITTEILUNG - DENIC eG führt sichere, vertrauliche E-Mail-Kommunikation auf Basis von DANE und DNSSEC ein

public-l AT list.denic.de

Subject: Public DENIC mailinglist

List archive

[DENICpublic-l] PRESSEMITTEILUNG - DENIC eG führt sichere, vertrauliche E-Mail-Kommunikation auf Basis von DANE und DNSSEC ein


Chronological Thread 
  • From: DENIC Presse <presse AT denic.de>
  • To: Public-L <public-l AT denic.de>
  • Subject: [DENICpublic-l] PRESSEMITTEILUNG - DENIC eG führt sichere, vertrauliche E-Mail-Kommunikation auf Basis von DANE und DNSSEC ein
  • Date: Thu, 23 Oct 2014 18:12:37 +0200
  • Resent-from:

*PRESSEMITTEILUNG*

DENIC eG führt sichere, vertrauliche E-Mail-Kommunikation auf Basis von
DANE und DNSSEC ein

-------------------------------------------------------------------------------------------------------------------------------------------

Sehr geehrte Damen und Herren,

die DENIC eG hat als einer der ersten Anwender die unter der Bezeichnung
DANE bekannt gewordene Technik zur Sicherung der E-Mail-Kommunikation in
Betrieb genommen. Mit dem DANE-Verfahren, das als offener Standard in der
Internet Engineering Task Force (IETF) entwickelt wurde, kann der
Datenverkehr zwischen Mailservern sicher verschlüsselt und die Identität
der beteiligten Server verlässlich überprüft werden.

DANE kombiniert herkömmliche, mit einem Ausweis vergleichbare Zertifikate
mit dem Domain Name System (DNS), dem Adressbuch des Internet. Durch die
Sicherheitserweiterung DNSSEC im Verbund mit der Transportverschlüsselung
durch DANE wird ein Umlenken von E-Mails ebenso wirksam ausgeschlossen wie
das Abhören von Nachrichten. DANE für E-Mail ist ein wichtiger Schritt
auf dem Weg zu einer sicheren Ende-zu-Ende-Kommunikation für jedermann.

Bereits seit 2011 sichert DENIC die Länderdomain .de mit DNSSEC ab und hat
dadurch eine Voraussetzung für die praktische Nutzung von DANE geschaffen.
Für die technische Umsetzung wenden Domaininhaber sich an ihren
Internetanbieter.

--------------------------------------

Über DANE
Die DANE (DNS-Based Authentication of Named Entities) genannte Technologie
ist in der technischen Spezifikation RFC 6698 der Internet Engineering
Task Force (IETF) beschrieben. DANE ermöglicht es, sogenannte
X.509-Zertifikate im Domain Name System (DNS) zu hinterlegen.
X.509-Zertifikate dienen üblicherweise dazu, die Identität eines
Webservers (oder anderer Systeme) zu bestätigen. Durch die Verknüpfung
zwischen Zertifikaten und dem DNS entstehen neue Möglichkeiten:
1. Indem er ein Wurzelzertifikat hinterlegt, kann der Serverbetreiber
mitteilen, welche "Certificate Authority" (CA) er nutzt, also von welcher
Organisation ein für seine Server ausgestelltes Zertifikat stammen muss.
Falls eine andere CA bewusst oder aufgrund einer Manipulation ihrer
Systeme ein Zertifikat ohne echten Auftrag des Betreibers ausstellt, wird
der Endnutzer entsprechend gewarnt.

2. Bei der Verwendung selbstsignierter Zertifikate, also ohne Nutzung
von CA-Dienstleistungen, entsteht durch die Veröffentlichung im DNS ein
zweiter Kanal, sodass die nutzende Anwendung ein solches Zertifikat
überprüfen und akzeptieren kann.

3. DANE ermöglicht außerdem die Verwendung unterschiedlicher
Zertifikate (und damit unterschiedlicher kryptographischer Parameter) für
Dienste, die unter demselben Hostnamen angeboten werden (etwa E-Mail, Web
oder Instant Messaging).

DANE wird aktuell, besonders in Deutschland, zur Steuerung der
Verschlüsselung des Transportweges zwischen Mailservern eingesetzt.
Weitere Anwendungen durchlaufen gerade bei der IETF das
Standardisierungsverfahren. Dabei wird u.a. die
Ende-zu-Ende-Verschlüsselung und -signierung mit dem S/MIME-Verfahren
durch DANE erweitert.

Über DNSSEC
Das Domain Name System (DNS) verfügt in seiner ursprünglichen Form nicht
über Verfahren, mit denen die Authentizität der verteilten Information
zugesichert oder geprüft werden könnte. Auf dem Weg zwischen Nameserver
und Anwendung (Webbrowser, VoIP-Telefon …) sind Verfälschungen
grundsätzlich möglich. In den vergangenen Jahren sind verschiedenste
Angriffsmöglichkeiten beschrieben und von den Angreifern laufend
verfeinert worden. DNSSEC (kurz für DNS Security) ergänzt das DNS um
digitale Signaturen für die DNS-Daten, mit deren Hilfe sichergestellt
werden kann, dass Antworten bei der Anwendung so eintreffen, wie sie der
jeweils zuständige DNS-Administrator in seinen Nameservern vorgesehen
hat. Die Basis der DNS-Struktur ist seit 2010, die von DENIC verwaltete
.de-Domain seit 2011 mit DNSSEC gesichert.


Mit freundlichen Grüßen

Stefanie Welters
Pressereferat
--

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse AT denic.de
Fon: +49 69 27235-274
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Helga Krüger, Andreas Musielak, Carsten Schiefner, Dr. Jörg
Schweiger
Vorsitzender des Aufsichtsrats: Thomas Keller
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht
Frankfurt am Main

____________________________________
Mailinglist-Managenment:
http://mailinglists.denic.de/mailman/listinfo/public-l

  • [DENICpublic-l] PRESSEMITTEILUNG - DENIC eG führt sichere, vertrauliche E-Mail-Kommunikation auf Basis von DANE und DNSSEC ein, DENIC Presse, 10/23/2014

Archive powered by MHonArc 2.6.19.

Top of Page