Hlavní navigace

Názory k článku DNSSEC kořenové zóny v době koronavirové

  • Článek je starý, nové názory již nelze přidávat.
  • 27. 4. 2020 13:36

    AlS

    Již vygenerované DNSSEC klíče, narozdíl od například SSL certifikátů vnitřně časově omezenou platnost nemají. Zmíněné časové omezení je ryze administrativní úkon. Nabízí se otázka, proč se nepokračovalo ve využívání již vygenerovaných ZSK. Takové krizové rozhodnutí bylo možné přijmout administrativně od stolu bez nutnosti cestovat.

    Systém by se rozhodně nezhroutil, pokud by se ty starší ZSK prostě jenom dále aktivně využívali. Riziko kompromitace obsahu zóny je zde minimální - obsah kořenové zóny jest veřejný. Oba klíče (KSK i ZSK) jsou již navíc několik let o stejné síle - 2048 bitů. Neplatí tedy ani teze autora článku, že ZSK je kryptograficky slabší. Použitý algoritmus RSASHA256 je z kryptografického hlediska dostatečně robusní. Prolomitelnost 2048-bitového RSA je v rovině ryze akademické a ZSK je v tomto konkrétním případě ohrožen stejně jako KSK.

    Navíc pokud IANA může čipové karty ukrást a podepsat ZSK bez přítomnosti CO, znamená to tedy, že těch 7 elektronických klíčů na čipových kartách je použitelných bez hesla a celá bezpečnost podpisu ZSK stojí jen na fyzické bezpečnosti trezoru, nikoliv na znalosti tajemství na straně CO. Celý proces podpisu ZSK se tak nijak neliší od stovky let používaných metod, jako je třeba odemykání korunovačních klenotů na Pražském hradě, přičemž se ty fyzické klíče ještě potenciálně zkompromitovaly tím, že se šli pozemní poštou.

  • 27. 4. 2020 17:12

    Ondřej Filip

    Dobrý den,
    zareaguji jen velmi stručně. Podotýkám, že můj příspěvek byl původně pouze stručná glosa na blog CZ.NICu, neměl to být vyčerpávající popis celé problematiky.

    Klíče platnost pochopitelně nemají, ale Verisign si odnáší RRSIG, který platnost klíče omezuje. A tedy pokud by ceremonie neproběhla, DNSSEC by nefungoval. Tedy od stolu to nejde.

    Důvodů k oddělení KSK a ZSK a k různým délkách jejich platností (nebo používání chcete-li) je více. V případě mezinárodní kořenové zóny jsou i některé politické. Ale dlouhodobé používaní ZSK se příliš nedoporučuje i z bezpečnostních důvodů. KSK je obvykle off-line a jeho kompromitace by měla být značně obtížná. Naopak ZSK se používá denně a je tedy více méně on-line a proto je u něj pravděpodobnost kompromitace výrazně vyšší. Proto se taky rychleji rotuje.

    IANA od začátku myslela na možnost katastrofy a tak si ponechala tuto krajní možnost vrtání sejfu. Sejfy jsou ve velice kvalitně střežených objektech a vše je neustále monitorováno. Myslím, že odemykání korunovačních klenotů je něco jiného a i ten proces je jinak nastaven. Totiž pokud neodemknete klenoty do nějaké doby, nic moc se asi nestane. V případě podepisování kořenové zóny je to něco jiného. Každopádně lze zpětně zjistit, zdali bylo s klíči manipulováno a to je další z úloh CO.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).