Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika

DNSSEC je u nás a v pěti dalších zemích sice úspěšně zavedený, ale z hierarchického hlediska trochu svérázným způsobem. Stavbě, která měla představovat bezpečné útočiště, chybí totiž střecha, respektive podpis kořenové zóny.

V našem posledním rozhovoru jste říkal, že absence podpisu kořenové domény nemusí být vždy nutně na závadu. Pokud se dejme tomu zeptáme na domény v podepsané zóně .CZ, tak za předpokladu správné konfigurace DNS server přesně ví, jakou odpověď očekává a bez podpisu nadřazené kořenové zóny se obejde. Kdy a proč se tedy absence podpisu v kořenové zóně stává problémem?

Ondřej Filip: Princip technologie DNSSEC přirozeně využívá stejnou hierarchii jako samotný protokol DNS. Tedy v případě DNS získávám informaci o jméně www.lupa.cz tak, že se nejprve DNS server (obvykle součást služby ISP) zeptá kořenových serverů (dotaz do kořenové zóny). Ti mi odpoví, že neví, ale že .cz spravují DNS servery CZ.NICu. Ti mi zase odpoví, že doménu lupa.cz obhospodařují servery IInfa a teprve od nich získám odpověď, že www.lupa.cz je vlastně stana.iinfo.cz a to má IP 89.250.252.123­. Pokud si do této anabáze zapojíme ještě DNSSEC, dostanu při tom mém dotazování od kořenové zóny údaje, podle nichž dokážu ověřit, že odpověď serverů CZ.NICu je podepsána těmi správnými klíči a zase analogicky od serverů CZ.NICu se dozvím údaje pro ověření odpovědi od serverů IInfa.

Tento model má dvě zajímavé věci. Předně nikde není řečeno, jak ověřím, odpověď od kořenových serverů. Zde je odpověď jednoduchá, předpokládáme, že klíče pro odpovědi kořenové zóny by byly staticky uloženy v konfiguraci serveru. Analogicky jsou dneska v konfiguraci „zadrátovány“ IP adresy kořenových serverů. Druhá věc je závažnější, problém kořenové zóny je, že v současnosti podepsaná není. To tedy v praxi znamená, že ověřování například ve zmíněné doméně nejvyšší úrovně (TLD) .cz probíhá tak, že server má uloženy klíče pro doménu .cz.

Ondřej Filip

• Vystudoval Matematicko-fyzikální fakultu Univerzity Karlovy v Praze – obor Informatika.
• Během studia začal pracovat ve společnosti IPEX a.s., kde později působil jako technický ředitel a člen představenstva.
• Od prosince roku 2004 je výkonným ředitelem sdružení.
• Vedle výkonu své funkce v CZ.NIC působí v představenstvu sdružení NIX.CZ (Neutral Internet Exchange) a zároveň je aktivním členem rady ccNSO (Country Code Names Supporting Organisation) v rámci organizace ICANN (Internet Corporation for Assigned Names and Numbers).

Kolik domén nejvyšší úrovně je vlastně dnes podepsaných a co brání v podepisování dalších (nejen národních)?

O.F.: V současnosti je podepsaných sedm TLD – .se, .br, .pr, .bg, .cz, .museum a .gov. Pokud tedy chceme ověřovat odpovědi od všech, musíme mít v konfiguraci sedm různých sad klíčů. Vzhledem k tomu, že rodina podepsaných TLD se patrně bude neustále rozšiřovat a datum podpisu kořenové zóny zatím není stanoveno, bude aktualizování klíčů problematické. Není v silách všech administrátorů kontrolovat příbytky podepsaných TLD a ani u stávajících sledovat rotace klíčů. Proto bylo nutné najít dočasné řešení, než bude kořenová zóna podepsána.

Pokud se nepletu, tento problém se již několik subjektů pokoušelo obejít.

O.F.: Jedno řešení už nějakou chvíli existuje a jmenuje se DLV – DNSSEC Lookaside Validation. Je to řešení tak trochu šité na míru démonu BIND a je v současnosti provozované společností Internet System Consortium – autory BIND. Řešení spočívá v tom, že všechny klíče jsou shromážděny na jedno místo, do jednoho úložiště a toto úložiště je pak podepsáno jedním klíčem od ISC. Technicky tedy poměrně přímočaré řešení, vlastně to elegantně obchází podpis kořenové zóny, protože pak administrátorům stačí znát opět pouze jeden klíč. Do DLV je dokonce možné poslat klíče domén i nižších úrovní než jen TLD. Nicméně, toto řešení má drobné problémy. Především je určitou nevýhodou provázanost s démonem BIND. Druhým problémem je důvěryhodnost samotného ISC. ISC je společnost, která má značné renomé, jde o správce kořenového serveru F, ale rozhodně není vnímána jako zcela neutrální. Někteří správci TLD se tedy rozhodli své klíče do DLV neposlat.

Naděje se dnes upírají jinam, kam a proč? Je řešení, se kterým přichází IANA skutečně skutečně tak geniální?

Druhé řešení, jak obejít podpis kořenové zóny, se jmenuje ITAR – Interim Trust Anchor Repository. S tímto řešením přišla organizace, která je zcela důvěryhodná ve světě správy kořenové zóny. Jde o organizaci IANA, která se právě o vznik a změny v TLD stará. Je tak trochu technickou součástí organizace ICANN. ITAR je technologicky postaven zcela neutrálně, není svázán s žádnou konkrétní implementací. IANA má důvěru TLD správců, protože jí posílají žádosti o změny již dlouhá léta. V důsledku je řešení podobné DLV, akorát je zaměřené pouze na TLD. Všichni provozovatele TLD s DNSSEC své klíče do ITAR zaslali. Proto je tento krok tak významný. Nyní je možné stáhnout bezpečně údaje potřebné k validaci všech domén s DNSSEC se znalostí pouze jednoho ověřujícího klíče. IANA poměrně jasné a čitelně definovala podmínky provozování. Vnik ITAR je jasný signál pro všechny TLD, které se zavedením DNSSEC čekali až na podpis kořenové zóny. Někteří také ITAR uvítali.

Proč ještě vlastně není kořen podepsaný, zdá se, že je to v zájmu prakticky všech?

O.F.: Ačkoliv DNSSEC je spíše technický problém, na mezinárodní scéně se z toho bohužel stal problém politický. Správa kořenové zóny je zatím stále pod kontrolou americké administrativy a některé státy nechtějí, aby vláda USA měla v ruce i DNSSEC klíče. Bohužel tato debata má v sobě více emocí než racionálních argumentů. Svou psychologickou roli v tom možná hraje i terminologie – „klíč od mezinárodní zóny“ zní pro mnohé zástupce států jako solidní politické téma. Pravda je taková, že DNSSEC podpis současné mechanismy správy kořenové zóny příliš nemění. Vliv USA na proces to nijak neposiluje ani neoslabuje. Nicméně toto je hlavní důvod absence podpisu kořenové zóny. Vláda USA, respektive NTIA pod DOC nedávno vypsala žádost o komentování podpisu kořenové zóny. CZ.NIC přirozeně vyslovil názor. Více naleznete například v mém prosincovém spotu na blogu CZ.NIC.

Děkuji za rozhovor.