Využití FIDO klíče GoTrust IdemKey pro digitální podpis (…např. DNSSEC)

Před několika měsíci došlo ke spuštění možnosti využití mojeID pro přístup ke službám státní správy pomocí technologie FIDO. Velká část uživatelů může za tímto účelem použít FIDO klíč integrovaný do svého operačního systému, jako např. Windows Hello případně Android klíč na telefonu nebo tabletu. Jednoznačně se jedná o nejpohodlnější cestu k elektronickým službám státu – bez nutnosti pořizovat jakékoliv zařízení (čtečky, karty) nebo instalovat něco dalšího do svých zařízení (obslužný software, potvrzovací mobilní aplikace). Pro uživatele, kteří  možnost využití systémového klíče nemají, jsme chtěli nabídnout dostupnou alternativu v podobě externího klíče použitelného přes USB nebo NFC rozhraní, a to jak v počítači tak v telefonu. K tomuto účelu byl zvolen FIDO klíč GoTrust IdemKey, který si nyní každý může velice jednoduše pořídit. Tento klíč totiž není jen FIDO klíč určený pro potvrzení autentizačních transakcí, ale může také plnit roli čipové karty pro digitální podepisování dokumentů podobně jako např. elektronický občanský průkaz, nebo může fungovat jako HSM (Hardware Security Modul) pro podepisování DNS záznamů technologií DNSSEC.

Jsme ARM pozitivní…

…, tedy zatím jen v infrastruktuře našeho .CZ DNS anycastu. Ale začněme pěkně od začátku.

V letošním roce nás čeká pravidelná obměna DNS serverů po uplynutí supportu v neveřejné lokalitě. V této naší třetí české lokalitě neběží žádný DNS stack, ale takzvané standalone DNS servery. Abychom dodrželi požadovanou redundanci, pro každé písmenko DNS anycastu (A, B a D) jsou tu v provozu dva servery. Celkem tedy šest serverů. Pokud bychom nechtěli nic měnit, obměníme prostě stejný počet serverů, provedeme instalaci a konfiguraci a jsme hotovi. Byla by však škoda nevyužít příležitost a v této lokalitě „postavit“ DNS servery trochu jinak.

Efektivnější sběr informací z DNS serverů

Od konce ledna 2021 se ze všech autoritativních DNS serverů provozovaných sdružením CZ.NIC sbírají informace o DNS transakcích (dotazech a odpovědích) s využitím nového standardního formátu Compacted-DNS (C-DNS). Jeho specifikace je obsažena v RFC 8618. Pro sběr těchto dat používáme software DNS Probe vyvinutý v Laboratořích CZ.NIC ve spolupráci s FIT VUT Brno. Završila se tím zhruba půlroční etapa přechodu od tradičního a námi dříve používaného formátu PCAP, během níž jsme testovali výkon a stabilitu DNS Probe a porovnávali výsledky získané v obou formátech.

Deset nejčtenějších článků roku 2020 aneb Co vás nejvíce zaujalo?

Už několik let si v našem internetovém zápisníku můžete přečíst pravidelnou dávku novinek a zajímavostí ze světa (českého) Internetu a internetových technologií. Nebylo tomu jinak ani v roce 2020, ve kterém vzešlo z klávesnic našich autorů celkem 52 článků. Mezi nejvyhledávanější pak patřily ty, které se věnovaly vypnutí starých ODVR a obecně oblasti DNS. V těsném závěsu pak zůstaly příspěvky zabývající se projektem Turris, infrastrukturou nebo bezpečností a s ní související osvětou. Také stojí za zmínku nový seriál Krátké vlny, který přinášel pravidelný přehled novinek z digitální džungle.

DoH na ODVR ostře a v Chrome

Od loňského května, kdy jsme oznámili spuštění experimentálního provozu DNS over HTTPS (zkráceně DoH) na našich Otevřených DNSSEC Validujících Resolverech (ODVR) byly na těchto našich resolverech odbaveny miliardy DNS dotazů. Za tu dobu ale jen neplynul čas a DNS, ale ODVR jsme kompletně přesunuli na novou anycast infrastrukturu, oddělenou od infrastruktury pro .CZ doménu. Navíc jsme průběžně optimalizovali provoz jak celého ODVR, tak již zmíněného DoH. Jeho implementace v Knot Resolveru, který naše ODVR pohání, nebyla, hlavně z počátku, úplně stabilní a jsme moc rádi, že nám naši uživatelé pomáhali s jejím laděním. Podíl DoH na celkovém provozu ODVR jen výjimečně přesahuje dvě procenta.

Šifrované DNS v Knot Resolveru: DoT a DoH

V tomto příspěvku popíšeme rozdíly mezi dvěma rozšířenými protokoly pro šifrování DNS: DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). Porovnáme technické aspekty těchto protokolů a jejich vliv na soukromí uživatelů. Představíme také novou vestavěnou podporu DoH v Knot Resolveru a vysvětlíme některá naše rozhodnutí při její implementaci.

Follow the DNS

V dnešní době již to tak „nefrčí“, ale na začátku tohoto tisíciletí přinesla sílící globalizace společně s rozmachem moderních technologií a hlavně Internetu pojem „Follow the Sun“. Pro mladší nebo starší, co to již zapomněli, ve stručnosti o co šlo. Například při provozu online služeb, které musí typicky fungovat nepřetržitě a uživatelé k nim mohou přistupovat odkudkoliv a kdykoliv, se může stát, že služba přestane fungovat nebo ji uživatel neumí použít. Kdykoliv. Jak zajistit technickou podporu takové službě, aniž byste v jednom časovém pásmu nutili pracovníky bdít, když je noc? Rozprostřete takové pracovníky po světě tak, že máte kdykoliv někoho, kdo má den (the Sun nad hlavou) a může tedy podporu online služby zajistit. A když to ten pracovník nezvládne dořešit, předá to dalšímu, který je směrem po sluníčku, aby práci dokončil. To, že se pak neměřil čas vyřešení požadavku v hodinách, ale v počtu oběhnutí požadavku kolem Země, je věc podružná.

Zranitelnost frameworku Nette se může týkat tisíců .CZ domén, odhalil DNS Crawler

Na začátku června jsme v rámci projektu ADAM spustili nástroj DNS crawler, který periodicky prochází domény druhé úrovně pod TLD .cz, sbírá data z DNS, webových a mailových serverů a umožňuje nám získaná data analyzovat. Dnes bychom vás rádi seznámili s jedním z výstupů této aktivity, která přispěje celkové bezpečnosti českého Internetu.

V .CZ DNS anycastu jsme nasadili XDP, výrazně rychleji tak odbavíme DNS provoz

Ve středu 9. 9. 2020 vydali kolegové z Laboratoří CZ.NIC novou verzi autoritativního DNS serveru Knot DNS (3.0), která přináší mimo jiné i podporu XDP. Pokusím se shrnout, jak jsme pro novou verzi připravili trochu specifické prostředí, v průběhu léta testovali a následně spustili do ostrého provozu v našeho .CZ DNS anycastu.

Novinky v Knot DNS 3.0

Open-source implementace autoritativního DNS serveru Knot DNS vyšla ve verzi 3.0. Navzdory kulatému číslu se na dosavadní funkcionalitě software nic nemění: novinek je sice o něco více než v běžné desetinkové verzi 2.9, ale jde převážně o featury, které když uživatel nezapne, bude vše fungovat jako u předchozích verzí. Migrace je tudíž jednoduchá.