ICANN i VeriSign przedstawiają plan wdrożenia zabezpieczeń systemu domen

76. spotkanie Internet Engineering Task Force (IETF) w Hiroszimie stało się okazją do zaprezentowania stanu prac nad wdrożeniem protokołu DNSSEC. Zespoły ekspertów VeriSignu, ICANN-u i amerykańskiej Narodowej Agencji Telekomunikacji i Informacji (NTIA) przedstawiły zasady, według których będą generowane, przechowywane i odnawiane klucze kryptograficzne systemu nazw domen.

Decyzja o przejściu strefy root na DNSSEC jest już przesądzona. Komitet Internet Architecture Board tak pisał w liście do NTIA: „DNSSEC jest jedynym standardowym mechanizmem, który może zabezpieczyć dane DNS przed sfałszowaniem i zakłóceniem ich w czasie transmisji przez Sieć”.

Do tej pory kwestie zarządzania DNSSEC pozostawały dość niejasne – nie wiadomo było, kto będzie finalnie odpowiedzialny za zarządzanie kluczami najwyższego poziomu oraz kluczem głównym (ang. Master Key). Przez długi czas ICANN i VeriSign były przekonane, że to właśnie im powinien przypaść ten przywilej. Za VeriSignem stało doświadczenie i posiadanie całej infrastruktury technicznej, za ICANN-em zaś koncentracja kwestii związane z weryfikacją i podpisywaniem stref w jednym miejscu.

Finalnie ICANN i VeriSign zdołały osiągnąć porozumienie i przedstawiły wspólny plan podpisania strefy root. Już od 1 grudnia br. serwery DNS mają wykorzystywać DNSSEC wewnętrznie, zaś w styczniu ruszy serwowanie zabezpieczonych odpowiedzi ze strefy na cały świat – dzięki czemu w całym systemie nazw domen powstanie nieprzerwany łańcuch zaufania przy rozwiązywaniu internetowych adresów.

Root serwery będą przechodziły na system podpisanych odpowiedzi stopniowo, tak aby problem z jednym z nich nie „rozłożył” całego Internetu. Kolejno zmieniane będzie oprogramowanie resolwerów L, J, M, I, D, K – aż do A, które zostanie zmienione to na samym końcu. Inżynierowie z IETF zwrócili uwagę na to, że taki plan nie jest najlepszy – umacnia mit o tym, że serwer A jest jakiś „specjalny”. Kiedyś faktycznie pierwsze zapytania do strefy root zaczynały się od A, ale już od dawna tak nie jest. Pozostawienie A na sam koniec jest prawdopodobnie jednak przejawem ostrożności – pozwalającym na bezpieczne wycofanie podpisanych stref w razie problemów.

Całe działania wokół przygotowania kluczy otacza atmosfera sekretności. Cały proces zarządzania nimi będzie się odbywał w najbardziej strzeżonych centrach danych, należących do grupy posiadaczy kluczy. ICANN będzie miał klucz główny, do podpisywania wszystkich innych kluczy. Teraz poszukiwanych jest siedem osób, które będą ich strzegły. Obecność pięciu z nich będzie wymaganych za każdym razem, gdy będzie generowany nowy klucz główny, zaś przynajmniej trzy, przy generowaniu podpisów.

Klucz taki będzie generowany co kilka lat. Wykorzystane do tego tokeny i sprzęt trzymane są w fizycznych sejfach w ICANN-ie. Fizyczne klucze do nich są w posiadaniu kluczników, którzy przybędą z całego świata na uroczystą ceremonię wygenerowania klucza głównego.

Podobną procedurę, ale wobec klucza podpisującego strefę root, będzie wykorzystywał VeriSign. Ten klucz będzie jednak zmieniany cztery razy do roku. Aby uniknąć konieczności każdorazowego podpisywania go kluczem głównym, VeriSign otrzyma od ICANN-u zestaw gotowych podpisów. Będą one ukryte głęboko, gdzieś w bunkrach VeriSignu.

Te wszystkie wspaniałe ceremonie bezpieczeństwa nie pomogą jednak wyjaśnić jednej rzeczy – czy infrastruktura Internetu zniesie nagłe zwiększenie złożoności zapytań DNS? Problemy mogą mieć szczególnie starsze maszyny, często działające w krajach Trzeciego Świata. Większość ekspertów twierdzi, że użytkownicy nie zauważą żadnej różnicy. Pojawiają się jednak też głosy, że znacznie zwiększy to opóźnienia w rozwiązywaniu internetowych nazw. W tym wypadku, do kogo mieliby się zwrócić ISP, nękani telefonami przez swoich użytkowników?

Źródło: heise.de, ietf.org