Network Application Security Using The Domain Name System

by Simon Josefsson, initiated June 2000.

Abstract:

A major problem for a distributed security system is the management of cryptographic keys. Public key techniques are often used to overcome many of the problems. However, successful use of public key techniques in large systems such as the Internet requires a certificate directory, that is, a mechanism to locate and retrieve the public keys. In this thesis we explore how a common name lookup mechanism, the Domain Name System (DNS), can be used to provide this functionality. We show how the idea can be implemented in a secure mail application together with S/MIME. We compare the DNS lookup mechanism with traditional Directory Access Protocol based systems and identify weaknesses and strenghts. We also discuss and suggest a solution to privacy threats that arise because of recent security additions to the DNS, namely Secure DNS.


The report in various formats:

Presentation in various formats:

Raw network dumps as referenced in the report (for Ethereal):


Säkerhet för nätverksapplikationer med Domännamnssystemet

av Simon Josefsson, påbörjat Juni 2000.

Sammanfattning:

Vid design av säkra distribuerade system är hanteringen av kryptografiska nycklar ett grundläggande problem. Publik-nyckel (PK) teknologi används ofta för att lösa många av dessa problem. För att PK-teknik ska vara praktiskt tillämpbart i stora system som t.ex. Internet krävs en certifikatsbibliotekstjänst som används för att lokalisera och hämta publika nycklar. Den här rapporten beskriver hur den vanliga namnuppslagningstjänsten, Domännamnssystemet (DNS), kan användas för att lösa det problemet. Vi visar hur DNS kan användas för att åstadkomma säker epost tillsammans med S/MIME. Vi jämför DNS med den traditionella bibliotekstjänsten som är baserad på Directory Access Protocol och identifierar fördelar och nackdelar. Avslutningsvis diskuterar vi, och föreslår en lösning på, hot mot personlig integritet; hot som är en följd av en nyligen förslagen säkerhetsutökning till DNS (som kallas Secure DNS).