PGP-Schlüssel einfach und sicher verteilen

Abstract

Die PGP-Schlüsselserver waren eine Ad-hoc-Lösung der PGP-Benutzer der ersten Stunde. Das Verfahren ist kompliziert und bietet unnötig Angriffsfläche. OPENPGPKEYS, ein RFC kurz vor der Verabschiedung, hat das Zeug, diesen Anachronismus durch ein einfaches uns sicheres Verteilverfahren zu ersetzen. In meinem Post gehe ich auf die Vor- und Nachteile ein …

Continue reading

Einen TLSA-Record für DANE mit BIND 9 publizieren

Abstract

DANE-Sicherheit ist derzeit in aller Munde. Mittels DANE (DNS[SEC]-based Authentiction of Named Entities) können SSL/TLS-Zertifikate abgesichert werden. In diesem Artikel geht es um die DNS-Server-Seite von DANE, das Publizieren eines TLSA-Records.

DANE-Sicherheit ist derzeit in aller Munde. Mittels DANE (DNS[SEC]-based Authentiction of Named Entities …

Continue reading

DNSSEC für Mailserver richtig einrichten

Abstract

Die Grundlage für DANE over SMTP ist ein DNSSEC-fähiger Resolver. Davon gibt es einige brauchbare, aber es gibt ein paar Stolperfallen zu beachten, damit der Resolver auch wirklich vertrauenswürdige Informationen liefert.

E-Mail ohne DNS ist kaum vorstellbar. Nahezu alle E-Mail-Routing-Entscheidungen basieren auf Informationen, die der Mailserver durch DNS-Abfragen erlangt …

Continue reading

BIND 9.10 – Eintauchen in DNSSEC

Abstract

BIND 9.10 ist die neue Version des BIND-9-DNS-Servers von ISC. Von BIND 9.10 ist in dieser Woche die erste Beta-Version erschienen. In loser Folge werde ich hier die Neuerungen in BIND 9.10 vorstellen. BIND 9.10 enthält ein neues Kommandozeilenwerkzeug zum Prüfen von DNSSEC-Installationen. Dieses Tool …

Continue reading

DNS-Fragment-Angriffe – Zeit für DNSSEC

Abstract

Ein neuer Angriff auf das DNS ermöglicht Angreifern, die im Sommer 2008 hinzugefügten Verbesserungen einer damals bekannt gewordenen Schwachstelle zu umgehen. Ein Angreifer kann so DNS-Cache-Einträge mit relativ wenig Aufwand fälschen. In meinem Artikel gehe ich auf die Hintergründe und das aktuelle Bedrohungspotential ein.

DNS-Fragment-Angriffe

Der ein oder andere …

Continue reading