Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Bouw je eigen PQC-testbed voor DNSSEC met de open-sourcesoftware PATAD

Samen met SURF bouwden we een testbed voor gezamenlijk gebruik

Gloeiende futuristische CPU processor

De oorspronkelijke blog is Engelstalig, dit is de Nederlandse vertaling ervan.

Auteurs: Caspar Schutijser (SIDN Labs), Elmer Lastdrager (SIDN Labs), Ralph Koning (SIDN Labs en Universiteit van Amsterdam), Joeri de Ruiter (SURF)

Afgelopen december introduceerden we ons testbed voor empirisch onderzoek naar de impact van post-kwantum cryptografische algoritmen op DNSSEC, dat deel uitmaakt van ons onderzoeksproject Post-quantum Algorithm Testing and Analysis for the DNS (PATAD). We zijn blij om aan te kondigen dat we het testbed nu als open-sourcesoftware hebben vrijgegeven. In deze blog vertellen we over de vooruitgang die we de afgelopen maanden hebben geboekt en gaan we dieper in op de verschillende onderdelen van het PATAD-testbed.

Post-kwantum cryptografie en het DNS: hoe zat het ook alweer?

Ons werk speelt zich af op het snijvlak van 2 technologieën: post-kwantum cryptografie (PQC) en DNSSEC, de beveiligde versie van het Domain Name System (DNS).

PQC is cryptografie die draait op traditionele computers, maar waarbij in het ontwerp rekening is gehouden met de mogelijkheden van een kwantumcomputer. Dit is van belang omdat het onze digitale infrastructuur beschermt tegen krachtige toekomstige kwantumcomputers die in staat zijn om de huidige cryptografische algoritmen te kraken. Het is nog de vraag of het überhaupt mogelijk is om zo'n kwantumcomputer te bouwen, maar veel experts achten het steeds waarschijnlijker.

DNSSEC is een protocol dat zorgdraagt voor de authenticatie en integriteit van het DNS door gebruik te maken van cryptografische algoritmen, zoals algoritmen op basis van Elliptic-Curve Cryptography (ECC). Het is echter niet ondenkbaar dat de 'traditionele' cryptografie waarop we voor DNSSEC en tal van andere toepassingen vertrouwen, gekraakt zou kunnen worden door een kwantumcomputer die krachtig genoeg is. We zullen de huidige DNSSEC-algoritmen daarom moeten vervangen door PQC-algoritmen. Met die vervangingen moeten we nu aan de slag, want we weten dat er meerdere jaren overheen gaan voordat nieuwe DNSSEC-algoritmen zijn geïmplementeerd.

Het probleem: te weinig zicht op de impact van PQC op DNSSEC

Het probleem is dat we nog onvoldoende helder hebben welke impact PQC op DNSSEC heeft. Het ontbreekt ons bijvoorbeeld aan inzicht in wat voor soort engineering en standaardisatie nodig is om PQC-algoritmen in DNSSEC op te nemen. Ook weten we nog niet wat de impact van zulke algoritmen zal zijn op de performance en schaalbaarheid van DNSSEC, bijvoorbeeld wat betreft de grootte van handtekeningen en sleutels.

Het oplossen van dit probleem is een actief onderzoeksgebied, zoals we in samenwerking met anderen hebben geïllustreerd in onze Internet Draft Research Agenda for a Post-Quantum DNSSEC. Om die reden hebben we een testbed ontwikkeld waarin het probleem proefondervindelijk kan worden aangepakt. Dit testbed is onderdeel van ons onderzoeksproject Post-quantum Algorithm Testing and Analysis for the DNS (PATAD).

Overzicht van het PATAD-testbed

Met het PATAD-testbed willen we onderzoekers en DNS-operators in staat stellen om op programmatische wijze gedistribueerde DNS-topologieën na te bootsen en te evalueren hoe DNSSEC met PQC functioneert. Een doorsnee topologie bestaat uit een aantal autoritatieve DNS-servers met verschillende met DNSSEC ondertekende zones, zoals een rootzone, 1 of meer topleveldomeinen (TLD's) en secondleveldomeinen. Daarnaast bevat zo'n topologie 1 of meer met DNSSEC validerende resolvers en een paar clients (stub resolvers).

Conceptueel gezien bestaat het PATAD-testbed uit 2 hoofdonderdelen: (1) DNS(SEC)-software met ondersteuning voor post-kwantum algoritmen, en (2) een infrastructuur die ons op een gemakkelijke manier topologieën laat configureren. Laten we beide onderdelen eens nader bekijken.

Onderdeel 1: DNS(SEC)-software met ondersteuning voor post-kwantum algoritmen

Allereerst hebben we software nodig die zowel zonebestanden kan ondertekenen als DNSSEC-handtekeningen kan valideren. Voor ons testbed hebben we gekozen voor het programma PowerDNS, omdat PowerDNS voor de uitvoering van beide taken met dezelfde codebase werkt. Dat betekent dat als we in PowerDNS ondersteuning voor PQC-algoritmen toevoegen, die algoritmen worden ondersteund in alle onderdelen die nodig zijn om een DNS-infrastructuur te draaien die gebruikt kan worden om de algoritmen te evalueren.

Tot nu toe hebben we 3 PQC-algoritmen in PowerDNS geïntegreerd: Falcon-512, MAYO (parameterset 2) en SQISign (parameterset NIST-I). Deze algoritmen maken deel uit van het evaluatie- en standaardisatieprogramma voor PQC-algoritmen van het National Institute of Standards and Technology (NIST). Falcon is al geselecteerd voor standaardisatie. Dat wil zeggen dat het Falcon-algoritme de strenge toetsing van NIST en cryptografen heeft doorstaan en dat er voldoende vertrouwen is in de veiligheid ervan. MAYO and SQISign bevinden zich daarentegen nog steeds in de eerste ronde van de competitie voor nieuwe systemen voor digitale handtekeningen. Dat houdt in dat deze algoritmen nog maar net bij de competitie zijn aangemeld, nog niet even grondig zijn onderzocht en dat het vertrouwen in hun veiligheid vooralsnog beperkt is.

We hebben algoritmen geïntegreerd zodra ze voldeden aan de strenge eisen van DNSSEC. Falcon beschikt bijvoorbeeld over snelle validatie, het niet-gestandaardiseerde MAYO kan bogen op kleine handtekeningen en een goede performance en het niet-gestandaardiseerde SQISign wordt gekenmerkt door kleine handtekeningen en kleine publieke sleutels.

Onderdeel 2: infrastructuur voor het programmatisch bouwen van topologieën

Voor het testen van post-kwantum DNSSEC is het noodzakelijk om ter ondersteuning van post-kwantum algoritmen wijzigingen in de DNS(SEC)-software aan te brengen, maar dat is niet de enige vereiste. We hebben ook een infrastructuur nodig waarmee het makkelijk is om de DNS-onderdelen te configureren en op een reproduceerbare manier verschillende topologieën te bouwen. Daarvoor hanteren we een aanpak op basis van containers. Dit houdt in dat elk experiment op ons testbed bestaat uit een topologie van containers, die stuk voor stuk lijken op echte autoritatieve nameservers en recursieve nameservers.

In Figuur 1 zie je een voorbeeld van een experiment. In dit experiment wordt de nagebootste rootzone ondertekend met SQISign, terwijl het .nl-domein en het secondleveldomein example.nl worden ondertekend met MAYO. Elk van deze PATAD-onderdelen draait in zijn eigen container, mogelijk op een andere server.

Schematische weergave van een voorbeeld van een experiment op het PATAD-testbed.
https://images.ctfassets.net/yj8364fopk6s/XknUIaHB9NBKA3h5Ghp7G/ade9574300e846ddcb82b3d6f0c6c6f8/Example_of_an_PATAD_experiment.png

Figuur 1: voorbeeld van een experiment. Alle onderdelen zijn met elkaar verbonden via een virtueel netwerk. De topologie bevat recursieve resolvers (links) en autoritatieve nameservers (rechts) die PQC ondersteunen, evenals een knooppunt dat experimenten kan uitvoeren.

De op containers gebaseerde aanpak voldoet aan onze eisen omdat we op die manier alleen configuratiebestanden nodig hebben om topologieën te specificeren en daarmee te experimenteren, zoals te zien is in Figuur 2. Hierdoor kunnen gebruikers snel hun eigen, op hun experimenten afgestemde testbed implementeren. Daarnaast maken containers het mogelijk om experimenten consistent te reproduceren. Gebruikers kunnen bijvoorbeeld gemakkelijk de configuratie van een bepaalde topologie delen, zodat anderen dezelfde experimenten kunnen uitvoeren. Door voor deze scriptmatige aanpak te kiezen, bouwen we het testbed bovendien niet alleen maar voor onszelf, op een stuk hardware dat alleen voor ons toegankelijk is. We geven juist ook anderen de kans om eenvoudig een DNSSEC-testbed met PQC op te zetten, dat ze kunnen draaien in een datacenter of op hun eigen machines.

Schematisch overzicht van de containers voor het PATAD-testbed
https://images.ctfassets.net/yj8364fopk6s/AJYoAmRk9qCDFgMYzF9Op/a30030b92cd410a8d220371e1893eb74/Schematic_overview_of_the_containers_for_the_PATAD_testbed.png

Figuur 2: een schematisch overzicht van hoe we containers bouwen voor het PATAD-testbed met behulp van configuratiebestanden en een build container.

Een multisite testbed samen met SURF

Om onze aanpak te valideren, bouwden we in samenwerking met SURF een gezamenlijk testbed. We gebruikten de onderdelen van het PATAD-testbed om verspreid over de netwerken van SIDN Labs en SURF een topologie op te zetten. Bij SIDN Labs beheren we de autoritatieve nameservers voor de root- en TLD-zones, terwijl SURF een resolver en een autoritatieve nameserver voor de secondleveldomeinen beheert. Deze opzet komt overeen met de DNS-diensten die momenteel door beide organisaties worden aangeboden (behalve dat SIDN geen rootserver beheert).

Het doel van deze gezamenlijke opzet is om te fungeren als een realistische infrastructuur waarop we experimenten kunnen uitvoeren met behulp van productie-achtige zones en queryloads. In deze experimenten kunnen we verschillende (post-kwantum) cryptografische algoritmen gebruiken en vergelijken hoe ze zouden presteren en wat hun impact op de systemen zou zijn. Door gebruik te maken van containers kunnen we onze experimenten in deze multi-domein opzet gemakkelijk bijwerken en reproduceren.

Volgende stappen

In de komende maanden gaan we metingen uitvoeren met het PQC-algoritme MAYO, zowel op ons lokale PATAD-testbed bij SIDN Labs als op het multisite testbed, in samenwerking met SURF. We zullen onze resultaten delen via technische rapporten of papers die we op deze site zullen publiceren. Het idee is dat onze metingen een antwoord kunnen geven op een aantal van de vragen die wij en onze partners hebben gesteld in onze Internet Draft Research Agenda for a Post-Quantum DNSSEC.

Verder gaan we ons verdiepen in manieren om te schakelen tussen generieke en hardware-specifieke implementaties van hetzelfde PQC-algoritme. Dergelijke geoptimaliseerde implementaties maken gebruik van specifieke CPU-instructies (zoals AVX2), wat betere prestaties oplevert.

Tot slot zijn we van plan om samen te werken met universiteiten en studenten gebruik te laten maken van ons testbed om hun eigen metingen uit te voeren.

Haal de code en zet je eigen testbed op

De broncode van PATAD is nu beschikbaar op GitHub.

Het gedeelte met de software bevindt zich in deze repository. Hiertoe behoren ook de aanpassingen in PowerDNS waarmee de PQC-algoritmen Falcon, MAYO en SQISign worden ondersteund. Deze vallen onder dezelfde licentie als PowerDNS, namelijk GNU General Public License, version 2.

Onze tools voor de infrastructuur zijn verdeeld over 3 repository's:

  • pqc-auth-powerdns: voor het bouwen van een Docker-container voor PowerDNS Authoritative met ondersteuning voor de PQC-algoritmen Falcon, MAYO en SQISign.

  • pqc-resolver-powerdns: voor het bouwen van een Docker-container voor PowerDNS Recursor met ondersteuning van dezelfde 3 PQC-algoritmen.

  • pqc-dnssec-testbed: bevat scripts en andere bestanden om eenvoudig een voorbeeldtopologie op te zetten.

Verder publiceren we pre-build Docker-afbeeldingen voor de PowerDNS authoritative en PowerDNS recursor.

Het werk in de bovenstaande repository's valt onder de permissieve BSD-3 licentie.

We verwelkomen gebruik en bijdragen door anderen, ook door jou!

Sluit je aan bij PATAD!

We zouden graag zien dat je ons testbed gebruikt om je eigen metingen uit te voeren (wel fijn als je ons even vermeldt). Bijdragen zijn welkom en als je andere DNS-implementaties met PQC weet (of er zelf een onderhoudt), overweeg dan om deze beschikbaar te maken als onderdeel voor het PATAD-testbed. Wij helpen je graag verder!

Als je vragen hebt of wilt laten zien hoe jij ons testbed gebruikt, kun je contact met ons opnemen via sidnlabs@sidn.nl.

Artikel door:

Casper Schutijser

Caspar Schutijser

Research engineer

Elmer Lastdrager

Elmer Lastdrager

Research engineer

Portretfoto Ralph Koning

Ralph Koning

Research engineer

Dit draagt bij aan duurzaamheidsdoel(en):

  • 9. Industrie, innovatie en infrastructuur
  • 17. Partnerschap om doelstellingen te bereiken
Lees hier meer over de Duurzame Ontwikkelingsdoelstellingen.