DNSSEC kořenové zóny v době koronavirové

Tento příspěvek píšu trochu smutně se dívaje přes Internet na ceremonii podepisování klíče v americkém městečku El Segundo poblíže Los Angeles. A proč jsem smutný? Začnu od začátku.

Technologie DNSSEC přinesla do starobylého protokolu DNS zcela nové věci. Hlavní motivací bylo pochopitelně zvýšení bezpečnosti, ale taková akce s sebou vždy přináší nutnost dodržovat nějaké nové rituály. Asi jako, že přidáním zámku do vnějších dveří zvýšíte bezpečnost vašeho domu. Ale musíte se naučit pamatovat na to, že máte mít u sebe klíče, pokud znovu vycházíte. Podobně DNSSEC zavedením kryptografických klíčů vyžaduje, aby se o ně správci starali. V případě DNSSECu jsou dokonce hned dva druhy podpisových klíčů. První druh je jakýsi hlavní klíč podepisující další klíče neboli Key Signing Key (KSK). A tím druhým jsou klíče přímo podepisující zónu neboli Zone Signing Key (ZSK). Myšlenka stojící za tímto rozdělením je poměrně jednoduchá, KSK se příliš často nemění a obvykle bývá kryptograficky co nejsilnější, zatímco ZSK mohou být trochu slabší, ale zase mají výrazně kratší časovou planost.

Ne jinak tomu je u kořenové zóny DNS. Zde je situace o to pestřejší, že správa této domény je rozdělena mezi více subjektů. Co má být v zóně, určuje IANA, což je součást organizace ICANN. Samotnou zónu ovšem publikuje společnost Verisign a ta ji distribuuje jednotlivým správcům kořenových serverů. V případě DNSSECu je situace taková, že IANA spravuje KSK a Verisign si každý čtvrtrok chodí nechat podepsat nový ZSK. Tato čtvrtletní akce není jen tak jednoduchým předáváním kryptografického materiálu, ale je o poměrně komplikovanou ceremonii.

Totiž tajná část KSK je uložena ve dvou kryptovacích zařízeních (Hardware Security Module – HSM) ve dvou velmi kvalitně zabezpečených telehousech v USA. Kvůli geografické bezpečnosti je jedno z těch HSM umístěno na východním pobřeží, ve městě Culpeper ve Virginii, a druhé je právě v El Segundo v Kalifornii. Od každého HSM existuje sedm elektronických klíčů, přičemž HSM je ochotno provést podpis pouze v případě, že se sejdou alespoň tři z nich. Každý z těchto klíčů má jednoho majitele, kteří pocházejí z různých koutů světa. Říká se jim Cryptographic Officers (CO) nebo chcete-li držitelé klíče. Jsou to vysoce respektovaní lidé z komunity, která se pohybuje kolem DNS, jejich seznam naleznete zde. Těchto lidí je celkem čtrnáct, sedm pro každé pobřeží. Jak už jsem napsal, ceremonie se konají čtyřikrát ročně, pokaždé na jiném pobřeží, a každý CO má povinnost se dvakrát ročně ceremonie zúčastnit.

Když se tento podpisový mechanismus navrhoval, bylo pamatováno pochopitelně i na množnost, že nějaká globální událost znemožní CO na danou ceremonii přijet. Proto CO přímo klíče nevlastní, ale jsou uschovány ve velmi bezpečném a dvacet čtyři hodin monitorovaném sejfu. Samotné HSM je uloženo v jiném sejfu, přičemž každý z těchto sejfů pochopitelně může otevřít jiná osoba. Na začátku ceremonie jsou vždy oba sejfy odemčeny a CO otevřou svou vnitřní přihrádku, která obsahuje čipovou kartu pro odemknutí HSM. Každá čipová karta je ještě uložena ve speciálním unikátním ochranném obalu, podle kterého si CO může ověřit, že s její či jeho kartou nikdo nemanipuloval. Pokud by CO nemohli přicestovat, IANA by prostě sejf otevřela, schránky vyvrtala a mohla by provést ceremonii i bez CO. Trochu si tuto akci mohla nacvičit při předposlední ceremonii číslo 40 v El Segundo, kdy selhal elektronický zámek jednoho sejfu a bylo nutné jej odvrtat, což ovšem není jednoduché. Byla to tehdy operace na téměř dva dny.

Jistě vás napadne, co se tedy dělo právě teď, v době koronavirové krize, kdy není možné cestovat. IANA provedla dvě opatření. Ačkoliv ceremonie číslo 41 měla být na východním pobřeží, byla uspořádána k Kalifornii, protože tam ICANN/IANA sídlí a jejich zaměstnanci tam mohli přijet automobily a nemuseli létat. A protože se IANA chtěla vyhnout dalšímu vrtání, rozhodla se, že požádá čtyři CO, aby jim poslali své klíče ke schránkám v sejfu poštou. Tak mohla proběhnout ceremonie bez CO. Vše je pochopitelně opět velice detailně zachyceno na kamerách a kdokoliv si můžete celou ceremonii zkontrolovat.

No a proč ten můj mírný smutek? Dostalo se mi velké cti, že jsem byl vybrán, abych byl jedním z oněch CO. Právě v průběhu ceremonie 41 mi měl být ve Virginii předán klíč, což jsem pochopitelně vnímal jako obrovské ocenění jak mé práce, tak i celého našeho sdružení. Jak to bude do budoucna, je pochopitelně ještě nejasné. Je možné, že systém ceremonií podepisování kořenové zóny projde velkou revizí, aby byla odstraněna nutnost cestování. Uvidíme, tento virus už konec konců změnil nejednu ceremonii.

Autor:

Komentáře (23)

  1. Danny říká:

    A (ty fyzicke) klice se zamky se ted vymeni, kdyz tyto sly od CO postou? :-) Paranoik samozrejme nyni muze namitnout, ze behem (na kamerach nenaznamenane) postovni prepravy hypoteticky mohlo dojit ke kompromitaci techto (fyzickych) klicu od trezorovych prihradek.

  2. Ondřej Filip říká:

    Ty klíče byly v též v zabalené v sáčcích indikujících poškození (tamper evident bag), ale námitka je na místě. To se teď bude řešit. Je jasné, že důvěryhodnost procesu je teď nižší. Byl to prostě kompromis.

    • Danny říká:

      Taky necekam odpoved hned :-) Kompromis je jasnej. Bude zajimave sledovat, kam se  nakonec cely ten proces po techto zkusenostech posune.

  3. Kateřina říká:

    Gratuluji k CO a děkuji za sdílení, je to velice hezky článek.

  4. petr_p říká:

    Pokud IANA může čipové karty „ukrást“ a podepsat ZSK bez přítomnosti CO, znamená to tedy, že těch 7 elektronických klíčů na čipových kartách je použitelných bez hesla a celá bezpečnost podpisu ZSK stojí jen na fyzické bezpečnosti trezoru, nikoliv na znalosti tajemství CO? Je-li tomu tak, pak se celý proces neliší od stovky let používaných metod, jako je třeba odemykání korunovačních klenotů na Pražském hradě. Jediné vylepšení je, že jednotlivé klíče by nemělo být možné zkopírovat.

    • Ondřej Filip říká:

      Výraz „ukrást“ není tak úplně na místě. Prostě byla do procesu přidána pojistka pro případ podobné události. Zneužití klíče bez souhlasu komunity a CO by bylo rozpoznatelné a ve svém důsledku by snížilo důvěryhodnost správy kořenové zóny, což by se obrátilo proti ICANN/IANA.

  5. AlS říká:

    Pěkné divadélko se zaplacenými výlety po světě z peněz od držitelů domén? Proč děláte z lidí blbce, pane Filip? Klíče omezenou platnost fakt nemají. Mohly se používat klidně dál. Navíc ZSK je dnes stejně silný jako KSK. A tedy ani argument kryptograficky slabšího KSK neobstojí.

    • Ondřej Filip říká:

      Ano, celý ICANN je placen z peněz držitelů domén, dlužno podotknout, že povětšinou .com.

      V čem dělám z lidí blbce nevím, to nemohu komentovat.

      A k platnosti klíčů jsem se vyjadřoval už v komentáři na Lupe.

  6. Xaver říká:

    Etýda z kategorie kterak si obhájit přemrštěné náklady. Udělat tohle český stát pro svoje domény, tak celý český internet plní články na téma jak je to předražené řešení. Stejně jako se nadávalo na dálniční známky.

    • Ondřej Filip říká:

      Dobrý den, nijak nerozporuji, že to je poměrně nákladný proces, ale je to takový proces, na kterém se mezinárodní komunita shodla. Pochopte, že jde o o jedinečnou databázi, kam ukládají své záznamy (a které důvěřují) všechny státy světa a důvěryhodnost procesu je nejdůležitější.

  7. viktor říká:

    My, uživatelé Turris MOX jsme rovněž smutní. Software je nedotažený. Wifi chronicky nestabilní. Co namísto výletů po světě lépe hlídat svá podřízená pracoviště?

    • Ondřej Filip říká:

      Dobrý den, je mi známo, že stabilita WIFI u SDIO kartičky je horší v některých konfiguracích. Kolegové z Turrisu to řeší. S důvěrou se na ně obraťte. Pokud je to pro Vás nepoužitelné, prostě zboží reklamujte. Kde je systém Turrisu nedotažený si rád poslechnu. Návrhy na zlepšení prosím pište buď na fórum Turrisu nebo mně do e-mailu. Díky.

  8. NONES říká:

    Copak Viktor, ale Viktor :-)

  9. viktor říká:

    Na fórum Turrisu zjevně cenu psát nemá. Dotaz z 23.března dosud podpoře ani nestál za odpověď.
    https://forum.turris.cz/t/known-issues-with-sdio-wi-fi-module/10535/23

    A takových problémů, kde podpora zarytě mlčí je víc.
    https://forum.turris.cz/t/mox-changing-mac/12301/15

    Řeč je o produktu, který prodáváte pod názvem Turris MOX. A vláken, kde se na fóru ani nedočkáte reakce je hromada.
    https://forum.turris.cz/t/looping-foris-in-ap-mode-on-mox-hbk-branch/12736
    https://forum.turris.cz/t/parameter-local-domain-not-set-by-foris/12490
    https://forum.turris.cz/t/irrecoverable-error-on-first-time-setup/10983
    https://forum.turris.cz/t/bug-mox-booted-over-ftfp-problem/12108
    https://forum.turris.cz/t/foris-storage-error-since-to-4-0-2/11745
    https://forum.turris.cz/c/sw/sw-bug/10

    Nebo jste pane Filip měl na mysli jiné fórum? Smutek z pohledu uživatele je na místě! Nicméně za Vaši radu děkuji. Reklamací jde problémy s Vaším nekvalitním software skutečně vyřešit.

    • Michal Hrusecky říká:

      Dobry den,

      bohuzel jsou na foru i vlakna bez odpovedi. A ne vsechna vlakna na foru se dockaji odpovedi primo od nas. Ale pokud se objevi dobry namet a rozhori se u nej zajimava diskuze, nasi pozornosti neunikne. Forum je hlavne nastroj, kde si nasi uzivatele mohou vymenit rady a napady mezi sebou. Radi si navzajem, vymysli, co by se dalo zlepsit a do techto diskusi se zapojujeme i my. A casto se stava, ze i chyby nareportovane na foru nekdo z nas nebo komunity vezme, doplni o relevantni informace a nareportuje do GitLabu ci na podporu.

  10. viktor říká:

    Skvělá rada, ale fórum podpory nefunguje. Nikdo tam neodpovídá.

  11. Aleš říká:

    A používá se Debian Stretch v neaktualizované verzi z 11.března 2018. Bezpečnost na prvním místě! :D

    • Ondřej Filip říká:

      Je to image pro notebook, který dělá konzoli tomu HSM a je off-line. Pokud v tomto spatřujete nějaký bezpečnostní problém, prosím napište hned kolegům z IANA. Budou Vám jistě za takové hlášení vděční.

  12. Eman říká:

    Kolegové z Turrisu to řeší a nebo jenom pasivně čekají, až to za ně někdo jiný v OpenWrt upstreamu vyřeší? Nazývejme věci pravým jménem. Můžete konkrétně uvést, jak to řeší?

  13. Eman říká:

    Odkaz na binární soubor, ke kterému ani není v diskuzi publikován kontrolní součet. Explicitně položenému dotazu navzdory. Samotné „řešení“ je popsané jenom úkrok zpět ke starší verzi souboru. Odkazovaný diskuzní příspěvek je skoro čtyři měsíce starý. Od té doby tedy nejsou žádné novější informace? Začlenění do oficiální distribuce bez nutnosti nesystémového přepisu knihoven je možné očekávat přibližně kdy?

    • Michal Hrusecky říká:

      Dobry den,

      hash jsem doplnil, aby to nekoho neodrazovalo od vyzkouseni. Za posledni dobu jsme zkouseli jina reseni, ale zatim se zadne z nich neukazalo byt tim pravym. Cili na problemu stale pracujeme, ale bohuzel stale nemame nic lepsiho nez zminovany workaround. Zacleneni workaroundu do distribuce muze uspisit zpetna vazba na navrhnuty workaround. Zatim nevime, jestli pomuze lidem, kteri si na problemy s WiFi stezuji nejvice.

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

This site uses Akismet to reduce spam. Learn how your comment data is processed.