Seminar Encaya Grundlagen: TLS, PKI, DANE-Ansatz, DNSSEC, Trust-Modelle

Inhaltsverzeichnis

• Abstract
• Zielbild und Einsatzszenarien
• TLS und PKI: Vertrauensketten, Root Stores, typische Schwächen
• DANE-Ansatz und DNSSEC: Prinzipien und Sicherheitsannahmen
• Encaya: Architekturidee, Komponentenrollen, Datenflüsse
• Bedrohungsmodell und typische Angriffe
• Ergebnisartefakte und Transfer

Abstract

Das Seminar vermittelt die fachlichen Grundlagen, um Encaya im Sicherheits- und Betriebsmodell einzuordnen. Im Mittelpunkt stehen TLS-Vertrauen, klassische PKI, DANE-Grundprinzipien, DNSSEC-Validierung, sowie die Rolle von Encaya als Kompatibilitätsschicht. Praxisanteile klären typische Fehlerbilder und Entscheidungsfragen für Deployment und Governance.

Zielbild und Einsatzszenarien

Zielbild: Reduktion von Abhängigkeiten vom klassischen CA-Ökosystem für definierte Namensräume und kontrollierte Erweiterung der Vertrauensprüfung in TLS-Clients.

Typische Einsatzszenarien:

• Ergänzung des TLS-Vertrauensmodells für spezielle Zonen oder interne Namensräume
• Interoperabilität für Clients, die keine DANE-Validierung durchführen
• Governance-getriebene Einschränkung der Zertifikatsakzeptanz (z. B. nur definierte TLDs)

TLS und PKI

Kerninhalte

• TLS-Handshake und Rolle von Serverzertifikaten
• Kettenbildung: Leaf, Intermediate, Root
• Root Store als Single-Point-of-Trust
• Häufige Schwächen:
  • zu große Root-CA-Mengen
  • Fehl- oder Missausstellung
  • uneinheitliche Name-Constraints-Unterstützung
  • Trust-Store-Drift in heterogenen Clients

Step-by-step: Zertifikatskette analysieren

• TLS-Verbindung zu einem Test-Endpoint herstellen.
• Zertifikatskette exportieren.
• Subject, Issuer, SAN, EKU prüfen.
• Chain-Path validieren.
• Entscheidung dokumentieren: „Warum wird vertraut?“ und „welche Annahmen sind notwendig?“.

DANE-Ansatz und DNSSEC

Kerninhalte

• DANE-Grundidee: Bindung von TLS-Zertifikaten an DNS-basierte Vertrauensdaten
• DNSSEC als Integritäts- und Authentizitätsschicht für DNS-Antworten
• Sicherheitsannahmen: Validierungspfad, Trust Anchors, Resolver-Position
• Praktischer Unterschied: „Trust über CA“ vs „Trust über Namensraum“

Step-by-step: DANE-Logik als Entscheidungsbaum

• Identität des Namensraums festlegen.
• DNSSEC-Validierungspfad definieren.
• Prüfen, ob TLSA-ähnliche Bindungsdaten vorhanden sind.
• Abgleich: Zertifikatsmaterial vs Bindungsdaten.
• Ergebnis: akzeptieren, ablehnen, oder „unsicher“.

Encaya: Architekturidee, Komponentenrollen, Datenflüsse

Kerngedanken

• Encaya als Layer, der DANE-ähnliche Validierung für Clients nutzbar macht
• Typische Rollen:
  • Name-Resolution-Komponente (DNS-Brücke oder Resolver-Kette)
  • Encaya-Service als Auskunfts- und Synthese-Schicht
  • Client als Konsument über kompatible Mechanismen

Step-by-step: Datenflussmodell zeichnen

• Client-Anfragepfad (TLS-Handshake) skizzieren.
• Stelle identifizieren, an der Zertifikatsinformation benötigt wird.
• Encaya-Interaktionspunkt markieren.
• DNS/Namecoin-Zugriffspfad darstellen.
• Vertrauensgrenzen einzeichnen: „trusted path“ vs „untrusted path“.

Bedrohungsmodell und typische Angriffe

• MITM entlang nicht abgesicherter Transportpfade
• Manipulation von Namensauflösung ohne DNSSEC-Validierung
• Risiken durch weiterhin vertrauenswürdige öffentliche CAs im Client
• Privacy: Metadatenleaks bei unverschlüsselter Metakommunikation

Ergebnisartefakte und Transfer

• Glossar: TLS, PKI, DNSSEC, DANE, Trust Anchor
• Checkliste: Einsatzentscheidung Encaya
• Template: Threat Model Light (Assets, Angreifer, Pfade, Kontrollen)