Podpisovanie kľúčov zabezpečujúcich celý Internet odložené, nedá sa dostať do trezoru

Značky: DNSbezpečnosťInternetzaujímavosti

DSL.sk, 13.2.2020

Organizácia ICANN spravujúca koreňovú zónu DNS musela odložiť na včera plánované pravidelné podpisovanie nových tzv. zónových DNSSEC kľúčov zabezpečujúcich koreňovú zónu.

K odloženiu prišlo z kuriózneho dôvodu, keď zlyhanie zariadenia zabraňuje prístupu do jedného z bezpečných trezorov obsahujúcich materiál potrebný pre toto podpisovanie.

DNS je systémom zabezpečujúcim preklad doménových mien na IP adresy používané samotným internetovým protokolom. Pre reálnu funkčnosť Internetu je tak kľúčovým. DNSSEC je štandardom, ktorý do pôvodne nezabezpečeného systému DNS pridal kryptografické overovanie odpovedí DNS serverov.

Hlavný tzv. KSK, key signing key, kľúč pre root DNS zónu sa nachádza v HSM, hardvérovom module. Ten sa nachádza v jednom trezore v zabezpečených priestoroch, v druhom trezore sa nachádzajú potrebné karty pre využívanie HSM. ICANN má dve kópie takejto infraštruktúry, v El Segundo v Kalifornii a v Culpeper vo Virgínii.

K problému prišlo v El Segundo, oznámenie neuvádza do ktorého trezoru sa nedá dostať a o aký problém konkrétne ide. V prípade potreby je možné podpisovanie presunúť do druhej lokality.

Pomocou KSK kľúča sa pravidelne oficiálnym procesom každé tri mesiace podpisujú nové zónové kľúče pre root DNS zónu, ktoré sa následne už používajú na podpisovanie záznamov vracaných z root DNS serverov. Lokality, kde sa podpisovanie uskutočňuje, sa striedajú.

V El Segundo sa mali aktuálne podpisovať kľúče pre druhý štvrťrok tohto roka.

ICANN pre vyriešenie situácie naplánovala na zajtra opravu pokazeného zariadenia. Pokiaľ sa podarí, podpisovanie sa uskutoční v sobotu 15. februára o 19:00. Pokiaľ sa oprava nepodarí, nový termín podpisovania bude oznámený neskôr.




Najnovšie články:



Diskusia:

......... Od: zxcvbn | Pridané: 13.2.2020 10:01 Ak vas zaujima ako take podpisovanie pomocou HSM vypada, pozrite si Mr. Robot S05E05. Odpovedať Známka: 5.6 Hodnotiť:

ultraradikalny empaticizmus Od: syntaxterrorX XXX. | Pridané: 13.2.2020 10:58 Typický protekcionalizmus. Tých, čo to nezaujíma, môže byť kľudne hoc' i rádovo viac, ale hlavne že je priekazne postarané o našich ľudí! Odpovedať Známka: -2.8 Hodnotiť:

Re: ......... Od: stanofds | Pridané: 13.2.2020 12:14 S05E05 ? Odpovedať Známka: 5.0 Hodnotiť:

Re: ......... Od reg.: andin | Pridané: 13.2.2020 15:05 Seria 5, epozoda 5... ci comu nerozumies? Odpovedať Známka: 0.0 Hodnotiť:

Re: ......... Od: zxcvbn | Pridané: 13.2.2020 15:53 Yep, chyba, Mr. Robot ma iba 4 serie a hento bolo v S03E05. Odpovedať Známka: 8.0 Hodnotiť:

rusko kocner Od: zizi kedlubna | Pridané: 13.2.2020 10:24 mali zavolat Ruska s Kocnerom, vedia ako sa podpisovat Odpovedať Známka: 8.9 Hodnotiť:

Re: rusko kocner Od: 4848488484 | Pridané: 13.2.2020 15:12 Tiez ich treba odlozit do trezoru, co sa neda otvorit. Odpovedať Známka: 9.2 Hodnotiť:

redundancia Od: slecna.l | Pridané: 13.2.2020 11:08 Nemaju tych nahradnych klucov malo? V meste mame rozdistribuovanych viac klucov od bytu, a to ani nemame vypinac svetoveho internetu. Odpovedať Známka: 8.9 Hodnotiť:

Re: redundancia Od: fumbduck | Pridané: 13.2.2020 13:02 klud, jednu kopiu ma CIA a dalsiu NSA. Odpovedať Známka: 10.0 Hodnotiť:

Lokality iba v USA Od: Asdf3 | Pridané: 13.2.2020 11:17 Len mna znepokojuje to, ze lokality su len v USA? Odpovedať Známka: 5.9 Hodnotiť:

Re: Lokality iba v USA Od: ttl | Pridané: 13.2.2020 11:37 hej len teba Odpovedať Známka: 1.5 Hodnotiť:

dva rovnaké kľúče Od: wwwwwwwwww | Pridané: 13.2.2020 12:24 Ak sa kľúč generuje v HSM a nedá sa kôli bezpečnosti exportovať, ako môžu mať druhú takúto lokalitu s HSM s rovnakým kľúčom? Odpovedať Známka: 10.0 Hodnotiť:

Re: dva rovnaké kľúče Od: qqqqqqq | Pridané: 13.2.2020 12:33 Dobra otazka, to by aj mna zaujimalo. Dufam ze sa vyjadria DSL.sk experti. Odpovedať Známka: 8.6 Hodnotiť:

Re: dva rovnaké kľúče Od: pudrenka | Pridané: 13.2.2020 18:28 Naco sem teda chodis? Odpovedať Známka: -1.4 Hodnotiť:

Re: dva rovnaké kľúče Od: qqqqqqq | Pridané: 13.2.2020 23:13 Presne kvoli tomu, co som uviedol v komentari, na ktory reagujes :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: dva rovnaké kľúče Od: pudrenka | Pridané: 14.2.2020 13:22 divne chutky teda Odpovedať Známka: 3.3 Hodnotiť:

Re: dva rovnaké kľúče Od: DSL.sk experti | Pridané: 13.2.2020 21:31 dd if=/dev/sda of=/dev/sdb sync Odpovedať Známka: 3.3 Hodnotiť:

Re: dva rovnaké kľúče Od: qqqqqqq | Pridané: 13.2.2020 23:15 dd: failed to open '/dev/sda': Permission denied Odpovedať Známka: 6.7 Hodnotiť:

ultraradikalny optimalizatorizmus Od: syntaxterrorX XXX. | Pridané: 13.2.2020 12:58 Tak uz len kvoli optimalizacii nakladov nie je nevyhnutnych superbezpecnych lokalit priekazne nikdy dost. Odpovedať Známka: 7.1 Hodnotiť:

Re: dva rovnaké kľúče Od: MarkoMarko | Pridané: 13.2.2020 13:34 Treba citat s porozumenim: "...Lokality, kde sa podpisovanie uskutočňuje, sa striedajú." Cize raz podpisu na mieste 1, potom na mieste 2, atd. Odpovedať Známka: -3.3 Hodnotiť:

Re: dva rovnaké kľúče Od: reg.: Houston | Pridané: 13.2.2020 13:42 HSM su rozne typy a rozne urovne SECURITY LEVEL. Niektore len vratia desifrovany kluc a ten sa moze pouzit (v konkretnej aplikacii), ine kluc nevracaju ale rovno vykonaju crypto operaciu a vratia vysledok. Kluce mozu byt oznacene ako exportovatelne alebo nie. Kluc nemusi byt vygenerovany priamo v HSM, moze tam byt len ulozeny. Niektore maju "synchronizaciu", pri ktorej zadas domenu a heslo a obsah sa prenesie do novej jednotky. Ine su chranene cez "WORLD KEY", ktory je zabezpeceny urcitym minimalnym poctom spravcov (resp. ich klucov) z celkoveho poctu. Pomou "WORLD KEY" a klucov spravcov vies obnovit HSM a teda vygenerovat potrebny pocet kusov. Odpovedať Známka: 10.0 Hodnotiť:

Re: dva rovnaké kľúče Od: Murkoslav | Pridané: 13.2.2020 14:52 Všetko pekné a premyslené. Len čo tie zadné vrátka ? Odpovedať Známka: 3.3 Hodnotiť:

Re: dva rovnaké kľúče Od: xlx | Pridané: 14.2.2020 12:30 ... nie je ho mozne exportovat v otvorenej forme. HSM ho teda vie odovzdat cez zabezpeceny kanal. Odpovedať Známka: 10.0 Hodnotiť:

stratili HW kľúč Od: ffdf | Pridané: 13.2.2020 12:40 od HW kľúča...to sú celí oni :-) Odpovedať Známka: 10.0 Hodnotiť:

Podpisovanie kľúčov zabezpečujúcich celý Internet odložené, nedá sa dostať do trezoru Od: Vera Pohlova | Pridané: 13.2.2020 13:44 Podla mna ten kluc stratila nejaka tetula co tam upratuje, hodila si kluc do zastery a pri fajcpauze jej niekde vypadol.. Odpovedať Známka: 8.0 Hodnotiť:

kľúče k internetu Od: sensei-san | Pridané: 13.2.2020 20:44 https://tinyurl.com/vblh4xq Odpovedať Známka: 10.0 Hodnotiť:

Re: kľúče k internetu Od: Lacog | Pridané: 14.2.2020 13:51 Dík - výnimočne som sa niečo zaujímavé dozvedel vďaka diskusii na DSL. Väčšinou sa tu prídem len zabaviť ;-) Odpovedať Známka: 10.0 Hodnotiť:

Re: kľúče k internetu Od: ffdf | Pridané: 14.2.2020 15:11 "sa sem"! Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár