Hlavný tajný kľúč Internetu vygenerujú v júni, detailný popis zabezpečenia

Organizácia Icann, Internet Corporation for Assigned Names and Numbers, v pondelok oznámila viacero detailov návrhu o pripravenom vytvorení a spôsobe ochrany a prístupu k hlavnému DNSSEC kľúču podpisujúcemu ďalšie kľúče root zóny DNS. Kľúč bude fyzicky umiestnený na území USA, používaný bude musieť byť vždy pod kontrolou viacerých osôb spomedzi celkom 21 vymenovaných nezávislých osôb.

DSL.sk, 13.4.2010

Organizácia Icann, Internet Corporation for Assigned Names and Numbers, zodpovedná za prevádzku DNS systému v pondelok oznámila viacero detailov návrhu o pripravenom vytvorení a spôsobe ochrany hlavného DNSSEC kľúča podpisujúceho ďalšie kľúče root zóny DNS.

Bezpečnostné rozšírenie DNSSEC, Domain Name System Security, v súčasnosti už reálne nasadzované v DNS umožňuje zasielanie kryptograficky podpísaných odpovedí DNS servermi, autentickosť odpovedí DNS serverov je tak overiteľná. DNSSEC tak zabráni falšovaniu DNS odpovedí a viacerým typom útokov na Internete.

Okrem overovania pravosti odpovedí DNS serverov a zabezpečovania distribúcie overiteľných DNSSEC kľúčov je DNSSEC použiteľný ale výrazne širšie, môže plniť na Internete dôležitejšiu úlohu a byť použitý aj na distribúciu iných dát súvisiacich s doménami, u ktorých je potrebné preveriť ich autentickosť. Napríklad tak môže byť použitý na distribúciu certifikátov používaných pre zabezpečovanie webových stránok alebo emailov.

DNSSEC používa samozrejme asymetrické algoritmy a je hierarchický, teda autentickosť kľúča pre doménu je overená podpisom pomocou kľúča pre doménu vyššej úrovne. Pre možnosť overenia autentickosti odpovedí pri použití DNSSEC musí DNS klient poznať jeden plne dôveryhodný kľúč na ceste od prekladanej domény po root zónu, najvhodnejším kandidátom je tak samozrejme hlavný kľúč pre root DNS zónu.

Hlavný kľúč pre root DNS zónu tak bude mimoriadne dôležitý, strata alebo pri dodržaní zásad maximálnej bezpečnosti aj prezradenie jeho privátnej časti totiž budú znamenať potrebu jeho zmeny a distribúcie pre všetkých DNS klientov podporujúcich DNSSEC iným spôsobom ako cez DNS.

Hlavný kľúč bude podľa informácií zverejnených na konci minulého roka 2048-bitovým RSA kľúčom, ktorý sa bude plánovane meniť s distribúciou jeho zmeny cez DNSSEC raz za dva až päť rokov.

Podľa pondeľňajšieho oznámenia ICANN sa v súčasnosti plánuje umiestnenie vygenerovaného kľúča v hardvérovom bezpečnostnom module, HBM, v dvoch kópiách v dvoch lokalitách prevádzkovaných ICANN, jednej v Los Angeles a jednej vo Washingtone.

V jednej lokalite budú časti hesla potrebného pre prístup k HBM a tým použitie hlavného DNSSEC kľúča uložené na celkom sedem smart kartách umiestnených v bezpečnostných schránkach v tejto lokalite. Od každej schránky bude mať kľúč iná zvolená osoba, pre použitie hlavného kľúča na vytvorenie podpisu bude potrebné použitie minimálne troch smart kariet.

Pre druhú lokalitu bude použitý rovnaký systém s inými sedem osobami.

Prístup k HBM a bezpečnostným schránkam bude zabezpečený šiestimi úrovňami fyzickej bezpečnosti, poslednou budú dva trezory iba bezpečnostnej triedy GSA 5.

Okrem toho hlavný kľúč bude mať ďalšiu zálohu, ktorá bude uložená šifrovaná. Kľúč k jej rozšifrovaniu bude rozdelený medzi sedem ľudí, ktorí budú povinní mať smart kartu s časťou kľúča uloženú v bezpečnostnej schránke v banke. Pre odšifrovanie zálohy budú potrebné smart karty minimálne piatich z týchto ľudí.

Spolu 21 ľudí majúcich kľúče umožňujúce prístup k smart kartám respektíve v prípade zálohy samotné smart karty vyberie ICANN podľa pondelkového oznámenia spomedzi nezávislých odborníkov, ktorí nebudú prepojení na ICANN, VeriSign ani americké Ministerstvo obchodu.

Hlavný kľúč Internetu bude prvýkrát vygenerovaný v júni 2010.





Najnovšie články:



Diskusia:

nic nie je tajne... Od: fotograf | Pridané: 13.4.2010 8:29 V sucasnosti sa dlhodobo nic neda utajit; je len otazne, kolko casu zaberie prelomenie ochrany. Odpovedať Známka: 8.1 Hodnotiť:

Re: nic nie je tajne... Od reg.: lubobuli | Pridané: 13.4.2010 9:03 2048 bit RSA je na sucasne pomery postacujuce a este nejaky ten rocik snad bude. Ti co teoreticky budu disponovat prostriedkami na prelomenie ochrany v buducnosti ju prelomit nebudu potrebovat, pristup budu mat inak... Popisany system je dobry, taketo systemy maju len jeden hacik - ludsky faktor, ten sa ale neda vylucit nikdy, vzhladom na potrebu kontroly nad systemom. Jedina moznost ako to prelomit je ze to niekto poserie - umyselne, neumyselne alebo pod natlakom. No a moznost "zatlacit" na 5 ludi si predsa len viem predstavit, zavisi od motivacie... Odpovedať Známka: 7.2 Hodnotiť:

Re: nic nie je tajne... Od: ---- | Pridané: 13.4.2010 9:10 Pri najhorsom to dopadne tak ako to je teraz. Odpovedať Známka: 8.5 Hodnotiť:

Re: nic nie je tajne... Od: someone | Pridané: 13.4.2010 14:31 mne to pripada ako celkom dobry vtip :-)) Ale tak ci tak, neverim ze to uz teraz neplanuju zneuzit na nejake sledovanie, ak cez to budu distribuovat kluce pre komunikaciu, tak si uz americka vlada nejaky antiteroristicky dovod najde, nazvite to paranoiou ak chcete, ale k comu speje centralny kluc ? ;-) Odpovedať Známka: 6.8 Hodnotiť:

Re: nic nie je tajne... Od reg.: Marki555 | Pridané: 13.4.2010 15:03 No zneuzit by sa urcite dal, ale netreba zabudat ze tento kluc bude pouzivany iba na PODPISOVANIE (DNS zaznamov, pripadne v buducnosti podpisovanie nejakych incyh klucov), nie na SIFROVANIE dat. Odpovedať Známka: 6.0 Hodnotiť:

Re: nic nie je tajne... Od: xoxox | Pridané: 14.4.2010 12:00 ale boli tu uz pripady vladne vynutenych falosnych certifikatov, aby mohli sniffovat a odpocuvat spojenia atd... Takze to na co sa tu naraza je ze si budu podvrhovane DNS robit tiez, ved preco nie... Odpovedať Známka: 2.5 Hodnotiť:

Re: nic nie je tajne... Od: ground | Pridané: 9.5.2010 21:15 centralny preto, ze keby ich bolo 10, tak tych ludi nieje sedem ale sedemdesiat....a kde ich chces tolkych najst?? Odpovedať Hodnotiť:

Re: nic nie je tajne... Od:       | Pridané: 13.4.2010 9:13 Heslo bude nbu123, takže to tak ľahko nezlomia... Odpovedať Známka: 1.6 Hodnotiť:

Re: nic nie je tajne... Od: _xxx | Pridané: 13.4.2010 10:34 ked chces byt vtipny, tak by si mohol vediet ze to bolo heslo nbusr123 Odpovedať Známka: 8.2 Hodnotiť:

Re: nic nie je tajne... Od: locke | Pridané: 14.4.2010 8:53 Tak tak. A najsilnejšie heslo je aj tak Chuck Norris Odpovedať Známka: 10.0 Hodnotiť:

Re: nic nie je tajne... Od reg.: Zmurko | Pridané: 14.4.2010 11:53 To ano. Lebo to MENO ti strach nedovoli napisat ako heslo :D Odpovedať Známka: 7.6 Hodnotiť:

Re: nic nie je tajne... Od: szaga2 | Pridané: 25.4.2010 8:58 Tomuto clanku nerozumiem ale poslusne hlasim ze som hlasoval v ankete!! :-))) Odpovedať Známka: 5.0 Hodnotiť:

falsovat Od: xxxxxxxxxxyy | Pridané: 13.4.2010 8:31 takze jediny kto bude moct falsovat je opat usa a fbi... Odpovedať Známka: 7.3 Hodnotiť:

Re: falsovat Od: shgdhj | Pridané: 13.4.2010 9:26 a este si zabudol cia dea epa nsa fema a god nous hu els Odpovedať Známka: 8.8 Hodnotiť:

Re: falsovat Od reg.: Zmurko | Pridané: 13.4.2010 10:15 Zabudol si na Iluminatov, Slobodomurarov, radikalne feministky, Jasterov z Pekiel a Astara Serana ;) Odpovedať Známka: 8.0 Hodnotiť:

Re: falsovat Od reg.: cinko | Pridané: 13.4.2010 10:19 a vsetci vzdy zabudate na vsemocnu zidobolsevicku sionisticku lobby ... Odpovedať Známka: 8.9 Hodnotiť:

Re: falsovat Od reg.: _fuxo | Pridané: 13.4.2010 10:26 Chucka Norrisa snad nemusim ani uvadzat, s nim uz dopredu vsetci ratame :) Odpovedať Známka: 8.7 Hodnotiť:

Re: falsovat Od: _trix | Pridané: 14.4.2010 8:57 On s Tebou vsak nerata. Odpovedať Známka: 10.0 Hodnotiť:

Re: falsovat Od: psychoooo | Pridané: 27.4.2010 12:44 preto ho treba dopredu informovať na chucknoris@*.* (chuck noris vlastní všetky domény :) Odpovedať Známka: 10.0 Hodnotiť:

Re: falsovat Od: Aštar Šeran | Pridané: 14.4.2010 8:57 Prosím používať diakritiku keď ma spomínaš, prípadne môžeš použiť poangličtenú verziu Ashtar Sheran. Ďakujem a pokoj s tebou. http://spedr.com/3u0m1 Odpovedať Známka: 2.0 Hodnotiť:

Re: falsovat Od: PTAAH | Pridané: 16.4.2010 22:55 Zas chceš čipovať ľudí Ašty? Odpovedať Známka: 10.0 Hodnotiť:

Re: falsovat Od: _xxx | Pridané: 13.4.2010 10:34 beries paranoiu v prasku? Odpovedať Známka: -0.4 Hodnotiť:

Re: falsovat Od: xxxxxxxxxxyy | Pridané: 13.4.2010 12:59 jak vies?a ty kvapalny antiparanoik chlast? Odpovedať Známka: 2.3 Hodnotiť:

Ukradnutie Od reg.: pjotor | Pridané: 13.4.2010 8:36 Ja si myslim ze ho neukradnu tak jednoducho, ak ho niekto ozaj blby neulozi do svojho pocitaca. Kluc je ulozeny bepecne v trezore takze to by ho niekto musel velmi velmi chciet a musela by to byt parta ja sposob Ocean's eleven :-) Odpovedať Známka: 5.0 Hodnotiť:

Re: Ukradnutie Od: vtg | Pridané: 13.4.2010 9:01 Radsej nech si daju pozor na Michaela Scofielda. Na tej fotke vyzera nebezpecne... Odpovedať Známka: 8.3 Hodnotiť:

Re: Ukradnutie Od: bix | Pridané: 13.4.2010 10:08 ulozeny v trezore ???? a sediva babka so zvazkom klucov ho zakazdym vytahuje a opisuje ked treba nieco overit :DDD lol! Odpovedať Známka: 5.6 Hodnotiť:

Re: Ukradnutie Od: Bengal | Pridané: 13.4.2010 16:27 ...ze by na overenie stacil verejny kluc?? To sa nam zasa vyrojilo odbornikov na PKI.... Odpovedať Známka: 10.0 Hodnotiť:

Re: Ukradnutie Od: prdlajs | Pridané: 13.4.2010 18:40 Na overenie musi byt pritomny Chuck Norris s PDAckom, ktore vie tlacit vo velkom kancli cez Wifi. Odpovedať Známka: 6.2 Hodnotiť:

IT Crowd Od: iso | Pridané: 13.4.2010 8:47 This is the Internet! Schvalila im to rada starsich. A nech to nezabudnu demagnetizovat... Odpovedať Známka: 8.3 Hodnotiť:

Re: IT Crowd Od: Deafboy2v1 | Pridané: 13.4.2010 11:39 Wait! The elders of the internet.... KNOW ABOUT ME?!? Odpovedať Známka: 7.1 Hodnotiť:

Prison Break Od: Paranoik | Pridané: 13.4.2010 9:03 Vidí tam niekto okrem mňa podobnosť s prison break? :) Odpovedať Známka: -3.5 Hodnotiť:

Re: Prison Break Od: dkshjk | Pridané: 13.4.2010 9:28 nikto Odpovedať Známka: 8.1 Hodnotiť:

Re: Prison Break Od: inetMark1 | Pridané: 13.4.2010 20:41 Ano. Na titulnej stranke je ten obrazok z Prison Break. Odpovedať Známka: 5.6 Hodnotiť:

internet Od reg.: MCGiany | Pridané: 13.4.2010 9:13 This Jen, is the internet. Odpovedať Známka: 8.5 Hodnotiť:

odpoved Od: sizej | Pridané: 13.4.2010 9:33 nie, áno Odpovedať Známka: 9.1 Hodnotiť:

Re: odpoved Od: rms_ | Pridané: 13.4.2010 10:01 roflmao, to by sa mohlo stat jedine na Slovensku :D Odpovedať Známka: 9.4 Hodnotiť:

titulok?! Od: nez | Pridané: 13.4.2010 9:54 Pre druhú lokalitu bude použitý rovnaký systém s inými sedem osobami. -- s inymi siedmimi osobami. Odpovedať Známka: -2.3 Hodnotiť:

jedneho pozname Od reg.: 1000Sk | Pridané: 13.4.2010 10:04 Takže jeden človek už je známy Chuck Norris. Ešte dvoch a všetkých troch odstrániť (aj keď Chucka sa asi nepodarí) a môžme ísť podpisovať. Odpovedať Známka: 6.7 Hodnotiť:

dovera Od: bix | Pridané: 13.4.2010 10:15 nj,, zase krocik k tomu aby zacali ludia viac verit internetu a zverili mu svoj zivot :)) na slovicku tajny som sa zasmial, hlavne ked si clovek predstavi ako na druhej strane caka dlhy zoznam vladnych institucii a cyberagentov, ktory dostanu tento kluc ako pracovnu pomocku Odpovedať Známka: 8.3 Hodnotiť:

paranojici Od: nou | Pridané: 13.4.2010 10:38 preco si kazdy mysli ze sa s tymto klucom nieco bude skryvat. nie vsetko je verejne. co sa s tymto klucom bude robit je overovanie toho ze ked vam DNS sever vrati ze www.google.sk je adresa IP 75.32.11.56 tak aby ste si to mohli overit a nemohli vam podvrhnut inu IP. Odpovedať Známka: 7.8 Hodnotiť:

Re: paranojici Od: hdhhdhdh | Pridané: 13.4.2010 12:42 ved hej ... je blbost davat tajne veci na verejnu siet ... stale nechapem preco na tajne a citlive dokumenty si nenakodili nejaky iny protokol nez http, https, ftp,sftp a ine ... a pospajali do vlastnej novej siete ....oddelenej od internetu .. nieco ako narody vladny intranet fungujuci na inmom principe nez TCP/IP inak dlho som nic nepocul o internete2 co vyvyjaju sudruhovia z berkely Odpovedať Známka: 6.0 Hodnotiť:

Re: paranojici Od: Bengal | Pridané: 13.4.2010 16:28 trocha odveci prispovek, nezda sa? Jeden o koze a druhy o suske... Odpovedať Známka: -7.1 Hodnotiť:

Pravopisna chybicka Od: karol š. | Pridané: 13.4.2010 10:42 s inými sedem osobami... s inými SIEDMYMI osobami... (7.p.mn.č.) Odpovedať Známka: -6.7 Hodnotiť:

Re: Pravopisna chybicka Od: prpr | Pridané: 14.4.2010 21:20 6. pad mnozneho cisla;) Odpovedať Hodnotiť:

Re: Pravopisna chybicka Od: Muflon | Pridané: 27.4.2010 21:54 Vy ste obaja pravopisne chybicky.... ked uz tam SIEDMIMI HORAMI nie? Odpovedať Hodnotiť:

bla bla Od: karolkok | Pridané: 13.4.2010 11:30 to budu kluce od Zionu? Zase dojdu agenti? No zbohom. Pan Anderson zase bude lietat :-d Odpovedať Známka: 8.8 Hodnotiť:

BUCTE RADI Od: Bucte radi | Pridané: 13.4.2010 12:18 Bucte radi, ze internet spravuje USA a nie dajaky Iran ci Cina. To by bola polka stranok zablokovana. Odpovedať Známka: -3.3 Hodnotiť:

Re: BUCTE RADI Od reg.: diosko | Pridané: 13.4.2010 12:45 "Prast ako uhod"... preco si nemam mysliet, ze aj teraz nie je polka stranok zablokovana? Odpovedať Známka: 8.2 Hodnotiť:

anketa Od reg.: Sherpa | Pridané: 13.4.2010 15:12 v ankete este chyba moznost: Nie, Áno Odpovedať Známka: 7.1 Hodnotiť:

Re: anketa Od: aleluja | Pridané: 13.4.2010 16:42 Nie, Nie. Odpovedať Známka: -5.7 Hodnotiť:

Re: anketa Od reg.: foobar0 | Pridané: 13.4.2010 18:17 Druhá otázka začína "Ak áno", takže tam nič nechýba. Odpovedať Známka: -3.8 Hodnotiť:

Re: anketa Od reg.: Sherpa | Pridané: 13.4.2010 18:43 Nobody Likes a Smartass Odpovedať Známka: 7.5 Hodnotiť:

Keyss Od: Maslo glajer | Pridané: 13.4.2010 17:16 Je to kluč klúčov....Lord of the key:D Odpovedať Známka: 8.3 Hodnotiť:

Re: Keyss Od: fitfirit | Pridané: 13.4.2010 23:53 tak presne toto mi prislo na um;) si ma predbehol..este by sa to dalo prirovnat aj k matrixu, toho kluciara :D Odpovedať Známka: 6.0 Hodnotiť:

klucik Od: klucik | Pridané: 13.4.2010 17:57 Kluc bude strazeny 21 ludmi. To je zaujimave cislo ako v hre Oko bere, len aby to tak nedopadlo aj s tym klucom ze ten 21. ho bere a zabudne vratit :D Odpovedať Známka: 6.7 Hodnotiť:

Re: klucik Od: aleluja | Pridané: 13.4.2010 19:50 1+2+3+4+5+6=21 21. storocie 21 grmaov vazi dusa FTP 2021 vypnu v Mexiku analogovu TV 2021 bude sudny den podla Terminatora (Skynet) A mnoho mnoho dalsich :) 21 je velmi zaujimave cislo Odpovedať Známka: 5.7 Hodnotiť:

the key Od: bozzin | Pridané: 13.4.2010 18:25 a ked ho budu chciet vytlacit na papier vo velkom kancli? Odpovedať Známka: 3.3 Hodnotiť:

Re: the key Od: sizej | Pridané: 13.4.2010 18:39 /me slaps bozzin Odpovedať Známka: 2.0 Hodnotiť:

Re: the key Od: prdlajs | Pridané: 13.4.2010 18:43 Tak jedine s PDAckom cez wifi, inak sa nenavratne poskodi. Odpovedať Známka: 6.7 Hodnotiť:

blbost Od: hahiho | Pridané: 13.4.2010 21:17 viem ze to sluzi pre zvysenie bezpecnosti ktora je potrebna ale moc to smrdi centralizaciou a o tom internet nie je. a inak som zvedavy kolko budu pytat za tie podpisy :D Odpovedať Známka: 7.8 Hodnotiť:

skoda Od: hahiho | Pridané: 13.4.2010 21:25 skoda ze nie som odbornik, by som chcel mat taku smart kartu :D som zvedavy po kolko pojdu na ebay :D Odpovedať Známka: 10.0 Hodnotiť:

aj tak unikne Od: hykyr | Pridané: 14.4.2010 9:24 aj tak do mesiaca unikne a bude dostupny na wikileaks Odpovedať Známka: 4.3 Hodnotiť:

aj tak Od: je najlepsie | Pridané: 14.4.2010 9:38 toto: s inými sedem osobami Odpovedať Hodnotiť:

Ľudský faktor Od: Eric | Pridané: 14.4.2010 19:05 Ako bolo spomenuté vyššie ľudský faktor, stačí ako ho budú vytvárať aby bol niekto napichnutý a má ho okamžite :) Odpovedať Hodnotiť:

5znakov Od: Meno môže mať dĺžku maximálne 32 | Pridané: 15.4.2010 20:21 Kluc skopcia do wordu, ten zraruju s heslom INTERNET123 :) Odpovedať Známka: -5.0 Hodnotiť:

Re: 5znakov Od reg.: __Ondrej | Pridané: 15.4.2010 20:57 Že do wordu. Ty si odkiaľ prišiel? Z kancelárie? Quest: Získaj kľúč a odomkni internet. Odpovedať Známka: 6.0 Hodnotiť:

Nezasvätený Od: TomX | Pridané: 17.4.2010 11:53 Mohol by mi a celkovo nám nezasväteným niekto vysvetliť o čom to vlastne je? Chýba problém, vidno iba riešenie :) Vďaka. Odpovedať Hodnotiť:

Re: Nezasvätený Od: Balongo | Pridané: 18.4.2010 12:37 "Bezpečnostné rozšírenie DNSSEC, Domain Name System Security, v súčasnosti už reálne nasadzované v DNS umožňuje zasielanie kryptograficky podpísaných odpovedí DNS servermi, autentickosť odpovedí DNS serverov je tak overiteľná. DNSSEC tak zabráni falšovaniu DNS odpovedí a viacerým typom útokov na Internete." Doteraz, ked si sa spytat, "Aku IP adresu ma www.dsl.sk?" a dosla ti odpoved, tak si nemal istotu, ze ta IP je spravna, ze ju niekto nepodhodil, nepozmenil... Podpisovanie DNS odpovedi by to malo ako-tak zlepsit, t.j. ak ti dojde nepodpisana odpoved na tvoju ziadost, vies, ze to moze, ale aj nemusi byt spravna odpoved. Cely problem je v tom, aby moja.tatrabanka.sk viedlo naozaj do banky a nie k phisherom/pharmerom do ciny... Odpovedať Hodnotiť:

root CA Od: noo | Pridané: 26.4.2010 21:57 No urcite root certifikat ktory overuje doveryhodnost intermediate a dalsich vydavajucich CA pre pouzivanie v systemoch je kriticky, ale nie je klucom k rozisifrovaniu dat ktore su kryptovane klucmi vydanymi nizsie. Je to "len" o tom ci su tie kluce doveryhodne. Okradnutim tohto kluca by umoznil utocnikom vytvorit vlastne CA a certifikaty ktore by boli doveryhodne a tak podvrhovat identitu zo vsetkym co to prinasa. Teda takto to aspon vidim ja s mojimi vseobecnymi znalostami o PKI. Odpovedať Hodnotiť:

KLUC NETU Od: Gutenberg | Pridané: 27.4.2010 16:41 Hlavny kluc netu vlastni samotny chuck norris, ziadne dodatocne bezpecnostne opatrenia si to nevyzaduje. Odpovedať Hodnotiť:

Pridať komentár