Da das Internet weiterhin expandiert, haben wir uns zum Ziel gesetzt, die Entwicklung und den Fortschritt eines schnelleren, sicheren und zuverlässigeren Internets für alle Benutzer voranzutreiben.
Verisign Labs
Bei Verisign Labs dient die Forschungsarbeit nicht allein im Interesse der Untersuchung, sondern auch der Entwicklung von Technologien, die eine bedeutende Rolle bei der Weiterentwicklung des Internets spielen werden. Unsere Forschungsarbeit umfasst eine Vielzahl technischer Fachgebiete und berührt sämtliche Geschäftsbereiche von Verisign.
Der Übergang zu IPv6
Wir kooperieren mit Forschern der Universität Michigan, um Einblicke in den laufenden Übergang des Internets von IPv4 zu IPv6 zu gewinnen. Wir sind der Meinung, dass die Knappheit an IPv4-Adressen maßgebliche Auswirkungen auf mehrere der gewünschten Eigenschaften des Internet haben wird.
Weitere InformationenVerisign unterstützt Forschungen an der Purdue Universität, um Trends des menschlichen Online-Verhaltens bezogen auf das Online-Identitätsmanagement innerhalb sozialer Gruppen in verschiedenen sozialen Netzwerken zu ermitteln.
Diese Projekte konzentrieren sich auf die Ermittlung aktueller Online-Verhaltensweisen zur Umgehung der Einschränkungen bestehender Technologien, um eine Vorhersage zukünftiger Trends für soziale Netzwerktechnologien zu ermöglichen.
Wir unterstützen Forschungsprojekte an der Carnegie-Mellon Universität, die eine sichere Namensarchitektur, ein stärkeres Vertrauensverhältnis zwischen Interessensgruppen und Benennungshilfen für mobile Anwender und Netzwerkdienste fördern.
Die Forscher bewerten unterschiedliche Namensarchitekturen und Möglichkeiten, um zuverlässige, sichere Namensadressen, Support für mobile Anwender und Services und Schutz vor damit verbundenen schwarzen Löchern oder Man-in-the-middle-Angriffen bereitzustellen.
Verisign fördert Forschungen an der Universität North Carolina zur automatisierten Datenanalyse und -erzeugung, die Distanzmetriken für die Darstellung der Ähnlichkeit zwischen zwei Werten oder Objekten verwenden.
In Zusammenarbeit mit Forschern der Purdue Universität untersuchen wir Erweiterungen der aktuellen, fortschrittlichen Übergriffsmeldesysteme, indem wir öffentlich zugängliche Informationen über das soziale Verhalten von Hackern nutzen.
In Zusammenarbeit mit Forschern der Purdue Universität untersuchen wir Erweiterungen der aktuellen, fortschrittlichen Übergriffsmeldesysteme, indem wir öffentlich zugängliche Informationen über das soziale Verhalten von Hackern nutzen.
Die Forscher untersuchen, wie soziale Plattformen genutzt werden können, um Trends/Ausbrüche bei der Sicherheit der eingesetzten Systeme zu erkennen. Sie nutzen kollektives Knowhow und die aktive wissensgestützte Entscheidungsfindung, um ein System für die proaktive Gefahrenerkennung zu schaffen, das sich auf das soziale Verhalten von Hackern stützt, um Bedrohungen abzuwehren, bevor diese den Endnutzer erreichen. Anstatt lediglich einen Überblick über verschiedene Methoden zu geben, dient diese Arbeit dazu, eine neue allgemeine Richtung aufzuzeigen, um Gefahren zu verstehen und das soziale Element bei den heutigen, fortschrittlichen Übergriffsmeldesystemen zu berücksichtigen.
Als globaler Registry-Betreiber für .com and .net finanzieren wir Forschungsarbeiten an der Purdue Universität, um die Nutzerpräferenzen bei der Auswahl von Domainnamen besser zu verstehen.
Die Forscher wenden für das maschinelle Lernen verhaltensökonomische Techniken an. Durch die Kenntnis der Relevanz, Einmaligkeit und Ähnlichkeit im Kontext bei der Entscheidung für Domainnamen hilft diese Forschung, eine kognitive Landkarte und quantitative Darstellung der Nutzerpräferenzen zu erstellen. So können wir die Faktoren besser analysieren, die das Online-Kaufverhalten des Verbrauchers beeinflussen.
Diese Studie untersucht das Verhalten der aktuellen DNS-Resolver-Implementierungen, darunter unterschiedliche Versionen von BIND, Unbound, PowerDNS, djbdns und Microsoft Windows 2008.
Insbesondere haben wir untersucht, wie rekursive Namenserver unter mehreren autoritativen Servern für eine vorgebene Zone und ihre Algorithmen für erneute Übertragungen unter Belastung auswählen (d.h. Paketverlust und Verzögerung). Darüber hinaus haben wir unterschiedliche Netzwerkbedingungen simuliert, um erkennen zu können, wie unterschiedliche Latenzen den Auswahlalgorithmus des Resolver-Servers beeinflussen. Wir haben einen Paketverlust simuliert, um die Algorithmen des Resolvers für die erneute Übertragung und das Backoff zu verstehen. Diese Ergebnisse können dazu beitragen, Entscheidungen über die richtige Kombination aus Anycast- und Unicast-Namensservern zu treffen.
Wir fördern Forschungsprojekte an der Georgia Tech, um neue und fortschrittliche Techniken zu ermitteln, mit denen wir verfolgbare Erkenntnisse über Malware gewinnen und analysieren können.
Diese Forschung zielt auf die Herausforderungen der Verschleierungstechniken der Malware und ihre Abhängigkeit vom Netzwerkzugang ab, um praktische Informationen über die Funktionsweise von Malware zu erhalten. Die Forscher des Georgia Tech Information Security Center (GTISC) (Link zur Partnerseite) haben ein horizontal skalierbares, automatisiertes Malware-Analysesystem entwickelt, das die Isolierung, Hardwarevirtualisierung und Netzwerkanalyse unterstützt, um Informationen über Malware zu gewinnen.
Verisign unterstützt Forschungsarbeiten an der Georgia Tech, um ein groß angelegtes Internetüberwachungssystem zu entwickeln.
Dieses System wird ein besseres Verständnis der Bedeutung der Internetinfrastruktur bei der Begünstigung von Botnet-Angriffen wie Spam, Hosting und Denial-of-Service-Attacken ermöglichen. Bots nutzen unterschiedliche Internetprotokolle wie das Border Gateway-Protokoll (BGP) und das Domainnamenssystem (DNS), um von einem Bereich des Internets zum nächsten zu wandern. Diese Überwachungsinfrastruktur wird die Hauptkomponenten der zugrunde liegenden Infrastruktur ermitteln, insbesondere autonome Systeme, die die BGP-Agilität und Namensserver fördern, und Registrare, die die DNS-Agilität begünstigen. Infolgedessen kann dieses System zukunftsweisende Intelligenz für Reputationssysteme sowohl für die DNS-Hosting-Infrastruktur als auch für autonome Systeme bereitstellen.
Je mehr sich das Internet weiterentwickelt, desto wichtiger wird das SSL/TLS-Protokoll bei der Erstellung privater und authentifizierter End-to-End-Verbindungen und bei der Vermeidung von Manipulationen durch "hilfreiche" Proxys.
Alle Anzeichen deuten darauf hin, dass die Nutzung von SSL/TLS in den kommenden Jahren erheblich zunehmen wird. SSL/TLS dient derzeit als Zweiparteienprotokoll zwischen einem Browser und einem Webserver.
Wir kooperieren mit der Stanford Universität an diesem Projekt, um die Möglichkeit zu untersuchen, SSL/TLS auf ein Dreiparteienprotokoll anzuwenden, wobei die dritte Partei ein DNS-Server (vorzugsweise ein DNSSEC-Server) ist. Zum gegenwärtigen Zeitpunkt wird der DNS-Server verwendet, um die IP-Adresse des Webservers aufzulösen. Er spielt jedoch keine weitere Rolle beim Aufbau einer sicheren Sitzung mit dem Server. Das Hauptziel dieses Projekts besteht darin, zu beweisen, dass das Protokoll durch Erweiterung von SSL/TLS um DNS als dritte Partei noch effizienter und in einigen Fällen sogar sicherer gemacht werden kann.
Aktuelle Standard-Hardwaredesigns besitzen zahlreiche Kerne, die bei verminderter Frequenz arbeiten.
Die bisherigen Ökosysteme von Tools zur Freisetzung des Leistungspotenzials der Hardware haben Lücken entstehen lassen. Es müssen Softwareumgebungen entwickelt werden, die sich mit diesen Lücken beschäftigen und die Breite und Tiefe der Hardware erschließen. Dieses Projekt untersucht die AMP-Designalternative als Möglichkeit, die höchstmögliche Leistung aus der Hardware zu gewinnen.
Der DNSSEC Debugger als webbasiertes Tool gewährleistet, dass die "Vertrauenskette" für einen bestimmten DNSSEC-fähigen Domainnamen intakt bleibt.
Das Tool zeigt eine schrittweise Validierung eines vorgegebenen Domainnamens und hebt die ermittelten Probleme hervor.
Um das Tool einzusetzen, besuchen Sie bitte zunächst http://dnssec-debugger.verisignlabs.com und geben Sie den zu testenden Domainnamen ein. Das Tool beginnt mit der Abfrage eines Root-Namensservers. Anschließend folgt es den Verweisen auf den autorativen Namensserver und validiert dabei die DNSSEC-Schlüssel und Signaturen. Jeder Schritt dieses Vorgangs zeigt entweder einen guten (grünen), warnenden (gelben) oder fehlerhaften (roten) Statuscode an. Um eine ausführlichere Erklärung zu erhalten, können Sie Ihre Maus über die Warn- und Fehlersymbole bewegen. Drücken Sie die Plus- (+) und Minus (-)-Tasten, um das Debugging zu erhöhen oder zu vermindern. Auf der höchsten Debugging-Ebene können Sie die vollständigen, reinen DNS-Meldungen für fast alle Abfragen sehen.
Im Folgenden sehen Sie eine Beispielausgabe des Tools für die Domain whitehouse.gov:
Wir arbeiten mit Forschern der Universität Michigan zusammen, um Einblicke in den laufenden Übergang des Internets von IPv4 zu IPv6 zu gewinnen.
Wir schätzen, dass IANA die letzten /8s innerhalb des nächsten Jahres zuweisen wird. Die ersten RIR werden kurze Zeit später sämtliche IPv4-Kapazität erschöpfen. Aus diesem Grund glauben wir, dass die Knappheit an IPv4-Adressen als Folge der so genannten "IPv4-Erschöpfung" große Auswirkungen auf die wünschenswerten Eigenschaften des Internet haben wird. Zu diesen beeinträchtigten Eigenschaften gehören unter anderem: Support für Heterogenität und Offenheit, Sicherheit, Skalierbarkeit, Zuverlässigkeit, Verfügbarkeit, Gleichzeitigkeit und Transparenz. Um die Auswirkungen der Knappheit dieser gewünschten Eigenschaften zu verstehen, beabsichtigen wir, jene Techniken und Methoden zu untersuchen, mit denen Adressen zugewiesen und diese Ressourcen anschließend genutzt werden. Da keine vollständig erstellten Knappheitsmodelle für IPv4-Adressen bestehen, gehen wir davon aus, dass mehrere interessante Phänomene untersucht werden müssen: Übergangsrate zu IPv6, erhöhte Nutzung von NAT’ing, feineres Routing, Freigabe und Blockrückforderung sowie wie marktbasierte Adresszuweisung. Aus Gründen der Lenkbarkeit konzentriert sich dieser Vorschlag auf die Messung des Übergangs vom IPv4- zum IPv6-Raum. Wir werden uns insbesondere mit Fragen beschäftigen, die uns einen Einblick in die Übernahmeraten und möglichen Nutzungsmuster im IPv6 geben. Dies ist nicht nur aus der Modellierungs- und Charakterisierungsperspektive interessant, sondern wir glauben auch, dass diese Arbeit eine beträchtliche Auswirkung auf diese Vorgänge haben wird und dabei hilft, sowohl Inkonsistenzen zu ermitteln als auch Kapazitäten zu planen und zu optimieren.
In Zusammenarbeit mit den Forschern der UCLA wollen wir die Stabilität des DNS-Services als Ganzes verstanden wissen, indem wir die Interdependenz unterschiedlicher Zonen messen.
Diese Interdependenz kann durch eine große Anzahl autorativer DNS-Server, die am gleichen Standort (z.B. entweder im gleichen geografischen Gebiet oder im gleichen ISP-Netzwerk) aufgestellt werden, oder allgemeiner durch den zunehmenden Trend eingeführt werden, DNS-Server auszulagern. Dies hat zur Konzentration der DNS-Services auf eine große Anzahl Zonen bei einigen wenigen DNS-Serviceanbietern geführt. Daher kann ein einziger Ausfall die DNS-Server für zahlreiche Domains potenziell lahmlegen.
Ist es möglich, Blacklist-Techniken für Domainnamen zu entwickeln, die für böswillige Aktivitäten basierend auf DSN-Abfragemuster verwendet werden?
Wir untersuchen Domainnamen, die bekannt dafür sind, Phishing-Attacken, Spam und Malware-bezogene Aktivitäten zu benutzen, um zu ermitteln, ob diese anhand der DNS-Abfragemuster identifiziert werden können. Bisher haben wir herausgefunden, dass böswillige Domainnamen mehr Variationen in den Netzwerken, die die Domains aufrufen, zeigen. Außerdem haben wir festgestelt, dass diese Domains nach ihrer ersten Registrierungszeit schneller populär werden. Wir stellten außerdem fest, dass böswillige Domains unterschiedliche Cluster in Bezug auf die Netzwerke aufweisen, die diese Domains aufrufen. Die unterschiedlichen räumlichen und zeitlichen Eigenschaften dieser Domains und deren Tendenz, ein ähnliches Aufrufverhalten zu zeigen, lassen vermuten, dass effektivere und schnellere Blacklist-Techniken entwickelt werden können, die auf diesen unterschiedlichen Aufrufmustern basieren.
Verisign Labs hat das DNSSEC Interoperability Lab in Dulles, VA eingerichtet, um die Kompatibilität von IT-Lösungen mit unserer DNSSEC-Implementierung für die .com und .net TLDs zu testen.
DNSSEC ergänzt neue Sicherheitsmerkmale beim DNS-Protokoll, die Angriffe wie Cache-Poisoning verhindern. Da sich DNSSEC-Pakete in Größe und Struktur von herkömmlichen DNS-Paketen unterscheiden, können ggf. einige IT-Infrastrukturkomponenten wie Router und Firewalls DNSSEC-Anfragen und -antworten nicht korrekt bearbeiten und so Fehler in der Internetinfrastruktur und in den IT-Umgebungen des Unternehmens verursachen.
Das Interoperability Lab besteht aus einer Standalone-Umgebung mit einer Suite von über 8000 Testfällen für die unterschiedlichsten möglichen Fehler. Das Interoperability Lab ist ein kostenloser Service, den Verisign Labs der Community zum Testen einer Vielzahl von IT-Systemen anbietet. Wenn Sie weitere Informationen wünschen, kontaktieren Sie uns unter dnssec@verisign.com.
Ein Tool für die Visualisierung von Datenverkehrsmustern zwischen DNS-Clients und -Servern, einschließlich Beispieldaten von den Root-Namensservern.
Das Tool zur Visualisierung der DNS-Client/Server-Affinität gibt neue Einblicke in die Komplexität des DNS-Datenverkehrs. Innerhalb dieser OpenGL-gestützten Anwendung werden DNS-Clients als Punkte unterschiedlicher Größe und Farbe dargestellt. Server werden im dreidimensionalen Raum platziert. Jedes Mal, wenn ein Client eine DNS-Abfrage an einen bestimmten Server sendet, nähert er sich ein bisschen weiter an diesen Server an. Die Eindeutigkeit einer Domainnamens-Registrierung wird durch die Unicode-Darstellung bestimmt.
Die Visualisierung ist sinnvoll, um zu verstehen, wie sich Clients verhalten, wenn sie unter mehreren autoritativen Namensservern, wie zum Beispiel den 13 Root-Namenservern, auswählen. Viele Clients zeigen keine starke Affinität und wandern nicht näher an einen bestimmten Server heran. Andere Clients wiederum scheinen einen bestimmten Server deutlich zu bevorzugen.
Das Tool ist auch für die Visualisierung des BGP-Routing-Verhaltens innerhalb eines Anycast-Clusters nützlich. Die Beispieldaten für A-root am 9. Februar 2010 zeigen, wie Clients von einem Anycast-Knoten zu einem anderen migrieren, während Routes zurückgezogen und mit der Zeit ersetzt werden.
Der Quellcode für das Visualisierungstool befindet sich auf dem Verisign Labs Subversion-Server. Dieser ist über einen Webbrowser oder einen Subversion-Client zugänglich.
Der 45nm auf 32nm Die Shrink der Intel Xeon Produktreihe “Westmere” führt AES-NI SIMD-Klassenanweisungen ein, die benutzt werden können, um die Leistung kryptografischer Vorgänge deutlich zu beschleunigen.
Die AES-NI “kombinatorische Logik” ersetzt die softwarebasierte Tabellenabfrage des FIPS 197 AES symmetrischen Verschlüsselungsstandards. Dieses Projekt baut auf die Anweisungen AESENC, AESENCLAST, AESDEC, AESDECLAST, CLMUL, AESIMC und AESKEYGENASSIST auf, um 10 (128 Bit), 12 (192 Bit) und 14 (256 Bit) Runden auszuführen. Das Projekt prüft weiterhin die Beständigkeit des Angriffsschutzes des Nebenkanals und die Möglichkeit, die Bausteine zu verwenden, um Elliptic, ECHO, SHAVITE-3, usw. zu beschleunigen. Zu den zusätzlichen Designpunkten gehören unter anderem die Verwendung kombinatorischer Logikvorgänge mit einer Pipeline für andere Anwendungen, die volle Festplattenverschlüsselung und die Interoperabilität mit anderen Projekten wie zum Beispiel OpenSSL. Wenn AES-NI eine beständige kryptografische Leistung im Netzwerk-Haltzyklus des Computers einführt, wie kann und sollte dies die Interneterfahrung des Verbrauchers verändern? Können diese Anweisungen teure kryptografische Co-Prozessorkarten ersetzen? Diese Forschungsarbeit wird bei Einführung der Intel “Sandy Bridge” AVX CPU neu durchgeführt, um neu implementierte Hardwarefunktionen zu testen.
Bedeutende Fortschritte bei der GPU (Grafikprozessor)-Technologie können von Verisign genutzt werden, um unsere Leistungen zu verbessern.
Auch wenn die neu eingeführten Geräte den gleichen Namen wie ihre Vorgänger haben, wurden die Anzahl der Threads und die vernetzten Hardwarestrukturen mit der Einführung der Ganzzahlfähigkeit enorm verbessert. Wie sehen die Ganzzahl- und Fließkommaeigenschaften der neuen Geräte aus? Können sie in hoch verfügbare Architekturen integriert werden? Kann ein Client-Server-ähnliches Rechenmodell mithilfe eines GPU erfolgreich auf einem Server implementiert werden? Wie unterscheidet sich die Programmierung in OpenCL gegenüber derjenigen in CUDA?