IETF släppte under mars RFC 2535 som innefattar tillägg
till DNS för att skydda mot modifiering av DNS-data och garantera
äktheten i DNS-data. Tilläggen går under benämningen DNS Security
Extension och kommer att kräva anpassade DNS servers &
applikationer för att nyttja tilläggen fullt ut. Tekniken baseras
på digitala signaturer. DNS Security Extensions medför en del
trevliga följdeffekter, den intressantaste kanske är möjligheten
till lagring och distribution av certifikat.
Varför nu detta? DNS-frågor som ställs idag hanterar svaren utan
några direkta kontroller. En DNS-fråga på vilken IP-adress som
www.banken.se har, är ganska lätt att manipulera. Regeln är
egentligen, att den som snabbast besvarar en DNS-fråga vinner.
Oavsett vem som svarar. Ni kan själva gissa resten.
Behovet av att garantera äktheten i DNS och skydda mot modifiering
av DNS är en av de viktigaste hörnstenarna just nu, för att säkra
användningen av Internet. Det har arbetats en del med tillägg till
DNS för att åstadkomma detta, men utan större gehör. Den standard
som blev tillgänglig i och med RFC2535, kan vara lösningen på
problemet. Min egen tolkning, är oerhört svart eller vit. Antingen
kommer DNS Security Extension att förändra hela Internet-världens
användning av DNS, eller så händer det absolut ingenting. Givetvis
hoppas jag på att DNS Security Extension blir lika självklart som
DNS i sig självt.
DNS Security Extension baseras på digital certifikat för att
hantera äkthet och förhindra modifiering. De digitala certifikaten
bygger på två delar, dels en sorts checksumma (Message Digest) dels
en asymmetrisk kryptering. Tekniken som förordas är RSA/MD5.
Tekniken ställer krav på att det finns en infrastruktur för
distribution av publika nycklar, certifikat. DNS Security Extension
innehåller delar för att hantera distribution av certifikat.
Behovet av en infrastruktur för distribution av certifikat har
länge varit en stötesten för att få fart på elektronisk handel.
Verisign's koncept för certifikathantering har hittills varit den
väg som många har valt för att hantera och distribuera certifikat.
Kostnaden för detta har hittills av många "förståsigpåare" ansetts
som allt för hög. Kanske kan den positiva bieffekten av att DNS
Security Extension kan hantera distribution av certfikat lyfta fram
andra alternativ. Alternativ som vilar på världen största
distribuerade databas, DNS.
© 1999 Thomas Nilsson, Certezza AB
