DANE (DNS-based authentication of named entity)

DANE (DNS-Based Authentication of Named Entities) ist eine Technik zur Absicherung von verschlüsseltem Mail-Transport. Mit der DANE-Technik werden Schwachstellen des Secure Socket Layer (SSL)-Protokolls und des Transport Layer Security (TLS)-Protokolls, die zur Authentifizierung und Verschlüsselung von Internetverbindungen benutzt werden, beseitigt und dadurch die Sicherheit von E-Mails und der Zugriff auf Websites erhöht.


Bei DANE hinterlegt der Mail-Anbieter den digitalen Fingerabdruck des SSL-Zertifikats im DNS-System, in dem die Daten durch die Domain Name System Security Extension (DNSsec) verschlüsselt werden, die mit kryptografischen Domainnamen arbeitet. DNSsec garantiert die Authentizität des Absenders und verhindert, dass der Domainname manipuliert werden kann. Alle, an der Mail-Kommunikation beteiligte Komponenten wie Mail-Server, Resolver, E-Mail-Client und Web-Browser können damit Zertifikate auf ihre Authentizität hin überprüfen. Das bedeutet, dass vor jedem Verbindungsaufbau die Sicherheitsbedingungen geprüft werden.

Bei DANE erfolgt beim Mail-Versand zuerst eine verschlüsselte Anfrage, die vom E-Mail-Client verschlüsselt an den Mail-Server, der sie mittels DNSsec an den DNS-Server zur Authentifizierung sendet. Der DNS-Server sendet eine Prüfsumme für den öffentlichen Schlüssel an den Mail-Server, die dieser für den Mail-Transport an den empfangenden Mail-Server benötigt.

Die DANE-Technik verhindert Angriffe auf den Übertragungskanal wie Man-in-the-Middle-Angriffe (MITM). Da auch bei diesem Verfahren die Mails auf den Servern unverschlüsselt sind, müssen diese mit dem S/MIME-Algorithmus oder mit Pretty Good Privacy (PGP) verschlüsselt werden.

Informationen zum Artikel
Deutsch:
Englisch: DNS-based authentication of named entity - DANE
Veröffentlicht: 12.05.2014
Wörter: 233
Tags: #Datenschutz
Links: Angriff, Authentifizierung, Authentizität, Daten, Digital