 |  |  |
 |
Afstudeeropdracht: Een secure resolver voor DNSDeze afstudeeropdracht heeft tot doel te komen tot een betrouwbare implementatie van DNSSEC op Linux, FreeBSD en OpenBSD. Daarbij willen we proberen een stuk peer-review of een dergelijk versoepelend mechanisme in te bouwen voor de validatie van root keys. 
Als goede systemen gekenmerkt worden doordat ze vrijwel onmerkbaar een belangrijke rol spelen, dan is het Domain Name System zeker goed te noemen, want dankzij redundantie en gebruik van UDP is het ongelofelijk snel en betrouwebaar, terwijl het toch telkens weer moet zoeken in een wereldwijd gedistribueerde database. DNS is belangrijk omdat erzonder geen URLs met fatsoenlijke hostnamen zouden kunnen bestaan. En toch is juist dat systeem zo lek als een zeef. Om iemand te overtuigen dat een zojuist opgevraagde hostnaam op een fake computer draait hoef je alleen maar sneller antwoord te geven dan de eigenlijke DNS-server. Deze kraaktechniek heet DNS spoofing, en je houdt je hart vast als je bedenkt dat moderne netwerktechnieken als kabel en etherLAN een open invitatie bieden aan dit misbruik. Er is al lang een oplossing voor dit probleem bekend, en dat is het digitaal ondertekenen van de DNS-data, in een systeem dat als DNSSEC bekend staat. En hoewel servers als bind9 en Nominum CNS zo langzamerhand wel klaar zijn voor DNSSEC, zijn er nog helemaal geen resolvers voor ingebouwd in operating systemen. Een misstand die we in deze opdracht willen oplossen, tenminste voor Linux en voor *BSD systemen. Naast de ontwerpcomponent die automatisch is in een opdracht rond DNS, zoeken we ook in de crypto-hoek naar creatieve oplossingen. De huidige aanname van een centraal gecoordineerd vertrouwenscentrum voor DNSSEC komt niet goed van de grond, en we zouden graag een alternatief zien ontstaan in de hoek van peer-review, soortgelijk aan de werking van PGP. Werken aan DNSSEC is werken aan cryptografie. En het is werken binnen een complexe netwerkarchitectuur. We zoeken voor deze opdracht dan ook een student die zich al enigszins thuisvoelt in deze gebieden, of die voldoende achtergrond heeft om het zich snel eigen te maken. Denk je dat je binnen dat profiel past, neem dan vooral eens contact op met de begeleiders voor een kennismakingsgesprek. Hoewel je op de UT zult werken, is dit op papier een externe opdracht. De
opdrachtgever is namelijk OpenFortress Digital signatures, een UT-spinoff
die is ontstaan vanuit de CADTES groep. Je zult verder in contact staan
met NLNetLabs, die wereldwijd een voortrekkersrol spelen met hun DNSSEC-registry voor Meer lezen?http://openfortress.nl/doc/essay/DNSsec -- Dichttimmeren van DNS met DNSSEChttp://secreg.nlnetlabs.nl -- NLNetLabs' DNSSEC registry http://www.nlnetlabs.nl/dnssec -- DNSSEC kennisbasis http://www.nlnetlabs.nl/nsd -- Root key name server, nu nog zonder DNSSEC Begeleiding?
|
 |  |