neprihlásený Piatok, 18. septembra 2020, dnes má meniny Eugénia
Podpisovanie kľúčov zabezpečujúcich celý Internet odložené, nedá sa dostať do trezoru

Značky: DNSbezpečnosťInternetzaujímavosti

DSL.sk, 13.2.2020


Organizácia ICANN spravujúca koreňovú zónu DNS musela odložiť na včera plánované pravidelné podpisovanie nových tzv. zónových DNSSEC kľúčov zabezpečujúcich koreňovú zónu.

K odloženiu prišlo z kuriózneho dôvodu, keď zlyhanie zariadenia zabraňuje prístupu do jedného z bezpečných trezorov obsahujúcich materiál potrebný pre toto podpisovanie.

DNS je systémom zabezpečujúcim preklad doménových mien na IP adresy používané samotným internetovým protokolom. Pre reálnu funkčnosť Internetu je tak kľúčovým. DNSSEC je štandardom, ktorý do pôvodne nezabezpečeného systému DNS pridal kryptografické overovanie odpovedí DNS serverov.

Hlavný tzv. KSK, key signing key, kľúč pre root DNS zónu sa nachádza v HSM, hardvérovom module. Ten sa nachádza v jednom trezore v zabezpečených priestoroch, v druhom trezore sa nachádzajú potrebné karty pre využívanie HSM. ICANN má dve kópie takejto infraštruktúry, v El Segundo v Kalifornii a v Culpeper vo Virgínii.

K problému prišlo v El Segundo, oznámenie neuvádza do ktorého trezoru sa nedá dostať a o aký problém konkrétne ide. V prípade potreby je možné podpisovanie presunúť do druhej lokality.

Pomocou KSK kľúča sa pravidelne oficiálnym procesom každé tri mesiace podpisujú nové zónové kľúče pre root DNS zónu, ktoré sa následne už používajú na podpisovanie záznamov vracaných z root DNS serverov. Lokality, kde sa podpisovanie uskutočňuje, sa striedajú.

V El Segundo sa mali aktuálne podpisovať kľúče pre druhý štvrťrok tohto roka.

ICANN pre vyriešenie situácie naplánovala na zajtra opravu pokazeného zariadenia. Pokiaľ sa podarí, podpisovanie sa uskutoční v sobotu 15. februára o 19:00. Pokiaľ sa oprava nepodarí, nový termín podpisovania bude oznámený neskôr.


      Zdieľaj na Twitteri



Najnovšie články:

Veľká väčšina predaných smartfónov v našom regióne stojí do 400 dolárov
Skylink testuje viac ako desiatku nových kanálov
SpaceX odložila vypustenie ďalších 60 satelitov Starlink
Štát voľne sprístupnil kompletné osobné údaje všetkých testovaných na koronavírus na webe
Apple potvrdila použitie prvého 5-nm CPU
Trailer druhej série The Mandalorian
Vydané Gnome 3.38, prejde na nové číslovanie verzií
Vzniká x266, open source enkóder H.266
Dátové balíky pre vybrané aplikácie porušujú sieťovú neutralitu, rozhodla EÚ
Huawei chce HarmonyOS poskytnúť iným výrobcom, či ho niekto použije nejasné


Diskusia:
                               
 

Ak vas zaujima ako take podpisovanie pomocou HSM vypada, pozrite si Mr. Robot S05E05.
Odpovedať Známka: 5.6 Hodnotiť:
 

Typický protekcionalizmus. Tých, čo to nezaujíma, môže byť kľudne hoc' i rádovo viac, ale hlavne že je priekazne postarané o našich ľudí!
Odpovedať Známka: -2.8 Hodnotiť:
 

S05E05 ?
Odpovedať Známka: 5.0 Hodnotiť:
 

Seria 5, epozoda 5... ci comu nerozumies?
Odpovedať Známka: 0.0 Hodnotiť:
 

Yep, chyba, Mr. Robot ma iba 4 serie a hento bolo v S03E05.
Odpovedať Známka: 8.0 Hodnotiť:
 

mali zavolat Ruska s Kocnerom, vedia ako sa podpisovat
Odpovedať Známka: 8.9 Hodnotiť:
 

Tiez ich treba odlozit do trezoru, co sa neda otvorit.
Odpovedať Známka: 9.2 Hodnotiť:
 

Nemaju tych nahradnych klucov malo? V meste mame rozdistribuovanych viac klucov od bytu, a to ani nemame vypinac svetoveho internetu.
Odpovedať Známka: 8.9 Hodnotiť:
 

klud, jednu kopiu ma CIA a dalsiu NSA.
Odpovedať Známka: 10.0 Hodnotiť:
 

Len mna znepokojuje to, ze lokality su len v USA?
Odpovedať Známka: 5.9 Hodnotiť:
 

hej len teba
Odpovedať Známka: 1.5 Hodnotiť:
 

Ak sa kľúč generuje v HSM a nedá sa kôli bezpečnosti exportovať, ako môžu mať druhú takúto lokalitu s HSM s rovnakým kľúčom?
Odpovedať Známka: 10.0 Hodnotiť:
 

Dobra otazka, to by aj mna zaujimalo. Dufam ze sa vyjadria DSL.sk experti.
Odpovedať Známka: 8.6 Hodnotiť:
 

Naco sem teda chodis?
Odpovedať Známka: -1.4 Hodnotiť:
 

Presne kvoli tomu, co som uviedol v komentari, na ktory reagujes :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

divne chutky teda
Odpovedať Známka: 3.3 Hodnotiť:
 

dd if=/dev/sda of=/dev/sdb
sync

Odpovedať Známka: 3.3 Hodnotiť:
 

dd: failed to open '/dev/sda': Permission denied
Odpovedať Známka: 6.7 Hodnotiť:
 

Tak uz len kvoli optimalizacii nakladov nie je nevyhnutnych superbezpecnych lokalit priekazne nikdy dost.
Odpovedať Známka: 7.1 Hodnotiť:
 

Treba citat s porozumenim:

"...Lokality, kde sa podpisovanie uskutočňuje, sa striedajú."

Cize raz podpisu na mieste 1, potom na mieste 2, atd.
Odpovedať Známka: -3.3 Hodnotiť:
 

HSM su rozne typy a rozne urovne SECURITY LEVEL. Niektore len vratia desifrovany kluc a ten sa moze pouzit (v konkretnej aplikacii), ine kluc nevracaju ale rovno vykonaju crypto operaciu a vratia vysledok. Kluce mozu byt oznacene ako exportovatelne alebo nie. Kluc nemusi byt vygenerovany priamo v HSM, moze tam byt len ulozeny.

Niektore maju "synchronizaciu", pri ktorej zadas domenu a heslo a obsah sa prenesie do novej jednotky.

Ine su chranene cez "WORLD KEY", ktory je zabezpeceny urcitym minimalnym poctom spravcov (resp. ich klucov) z celkoveho poctu. Pomou "WORLD KEY" a klucov spravcov vies obnovit HSM a teda vygenerovat potrebny pocet kusov.
Odpovedať Známka: 10.0 Hodnotiť:
 

Všetko pekné a premyslené. Len čo tie zadné vrátka ?
Odpovedať Známka: 3.3 Hodnotiť:
 

... nie je ho mozne exportovat v otvorenej forme. HSM ho teda vie odovzdat cez zabezpeceny kanal.
Odpovedať Známka: 10.0 Hodnotiť:
 

od HW kľúča...to sú celí oni :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

Podla mna ten kluc stratila nejaka tetula co tam upratuje, hodila si kluc do zastery a pri fajcpauze jej niekde vypadol..
Odpovedať Známka: 8.0 Hodnotiť:
 

https://tinyurl.com/vblh4xq
Odpovedať Známka: 10.0 Hodnotiť:
 

Dík - výnimočne som sa niečo zaujímavé dozvedel vďaka diskusii na DSL. Väčšinou sa tu prídem len zabaviť ;-)
Odpovedať Známka: 10.0 Hodnotiť:
 

"sa sem"!
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár