Hlavní navigace

DNSSEC kořenové zóny v době koronavirové

Autor: CZ.NIC
Tento příspěvek píšu trochu smutně se dívaje přes internet na ceremonii podepisování klíče v americkém městečku El Segundo poblíže Los Angeles. A proč jsem smutný? Začnu od začátku.
Ondřej Filip
Doba čtení: 4 minuty

Sdílet

Technologie DNSSEC přinesla do starobylého protokolu DNS zcela nové věci. Hlavní motivací bylo pochopitelně zvýšení bezpečnosti, ale taková akce s sebou pochopitelně vždy přináší nutnost dodržovat nějaké nové rituály. Asi jako že přidáním zámku do vnějších dveří pochopitelně zvýšíte bezpečnost vašeho domu. Ale musíte se prostě naučit pamatovat na to, že máte mít u sebe klíče, pokud znovu vycházíte. Podobně DNSSEC zavedením kryptografických klíčů vyžaduje, aby se o ně správci starali. V případě DNSSECu jsou dokonce hned dva druhy podpisových klíčů. První druh je jakýsi hlavní klíč podepisující další klíče, neboli Key Signing Key (KSK). A tím druhým jsou klíče přímo podepisující zónu, neboli Zone Signing Key (ZSK). Myšlenka stojící za tímto rozdělením je poměrně jednoduchá, KSK se příliš často nemění a obvykle bývá kryptograficky co nejsilnější, zatímco ZSK mohou být trochu slabší, ale zase mají výrazně kratší časovou planost.

Nejinak tomu je u kořenové zóny DNS. Zde je situace pestřejší o to, že správa této domény je rozdělena mezi více subjektů. Co má být v zóně, určuje IANA, což je součást organizace ICANN. Samotnou zónu ovšem publikuje společnost Verisign a ta ji distribuuje jednotlivým správcům kořenových serverů. V případě DNSSECu je situace taková, že IANA spravuje KSK a Verisign si každý čtvrtrok chodí nechat podepsat nový ZSK. Tato čtvrtletní akce není jen tak jednoduchým předáváním kryptografického materiálu, ale je o poměrně komplikovanou ceremonii.

Totiž tajná část KSK je uložena ve dvou kryptovacích zařízeních (Hardware Security Module – HSM) ve dvou velmi kvalitně zabezpečených telehousech v USA. Kvůli geografické bezpečnosti je jedno z těch HSM umístěno na východním pobřeží, ve městě Culpeper ve Virginii, a druhé je právě v El Segundo v Kalifornii. Od každého HSM existuje sedm elektronických klíčů, přičemž HSM je ochotno provést podpis pouze v případě, že se sejdou alespoň tři z nich. Každý z těchto klíčů má jednoho majitele, kteří pochází z různých koutů světa. Říká se jim Cryptographic Officers (CO), nebo chcete-li držitelé klíče. Jsou to vysoce respektovaní lidé z komunity, která se pohybuje kolem DNS, jejich seznam naleznete zde. Těchto lidí je tedy čtrnáct, sedm pro každé pobřeží. Jak už jsem napsal, ceremonie se konají čtyřikrát ročně, pokaždé na jiném pobřeží, a každý CO má povinnost se dvakrát ročně ceremonie zúčastnit.

Když se tento podpisový mechanismus navrhoval, bylo pamatováno pochopitelně i na možnost, že nějaká globální událost znemožní CO na danou ceremonii cestovat. Proto CO přímo klíče nevlastní, ale jsou uschovány ve velmi bezpečném a dvacet čtyři hodin monitorovaném sejfu. Samotné HSM je uloženo v jiném sejfu, přičemž každý z těchto sejfů pochopitelně může otevřít jiná osoba. Na začátku ceremonie jsou vždy oba sejfy odemčeny a CO otevřou svou vnitřní přihrádku, která obsahuje čipovou kartu pro odemknutí HSM. Každá čipová karta je ještě uložena ve speciálním unikátním ochranném obalu, podle kterého si CO může ověřit, že s její či jeho kartou nikdo nemanipuloval. Pokud by CO nemohli přicestovat, IANA by prostě sejf otevřela, schránky vyvrtala a mohla by provést ceremonii i bez CO. Trochu si tuto akci mohla nacvičit při předposlední ceremonii číslo 40 v El Segundo, kdy selhal elektronický zámek jednoho sejfu a bylo nutné jej odvrtat, což ovšem není jednoduché. Byla to tehdy operace na téměř dva dny.

Jistě vás napadne, co se tedy dělo právě teď, v době koronavirové krize, kdy není možné cestovat. IANA provedla dvě opatření. Ačkoliv ceremonie číslo 41 měla být na východním pobřeží, byla uspořádána k Kalifornii, protože tam ICANN/IANA sídlí a jejich zaměstnanci tam mohli přijet automobily a nemuseli létat. A protože se IANA chtěla vyhnout dalšímu vrtání, rozhodla se, že požádá čtyři CO, aby jim poslali své klíče ke schránkám v sejfu poštou. Tak mohla proběhnout ceremonie bez CO. Vše je pochopitelně opět velice detailně zachyceno na kamerách a kdokoliv si můžete celou ceremonii zkontrolovat.

tip Majerik MM_K

No a proč ten můj mírný smutek? Dostalo se mi velké cti, že jsem byl vybrán, abych byl jedním z oněch CO. Právě v průběhu ceremonie 41 mi měl být ve Virginii předán klíč, což jsem pochopitelně vnímal jako obrovské ocenění jak mé práce, tak i celého našeho sdružení. Jak to bude do budoucna, je pochopitelně ještě nejasné. Je možné, že systém ceremonií podepisování kořenové zóny projde velkou revizí, aby byla odstraněna nutnost cestování. Uvidíme, tento virus už konec konců změnil nejednu ceremonii.

Text původně vyšel na blogu CZ.NIC.