A Cerimônia de Assinatura da Zona Raiz do DNSSEC

Onde está a chave de assinatura da zona raiz?

Existem dois locais geograficamente distintos que protegem a chave de assinatura da zona raiz: El Segundo, CA e Culpeper, VA. Ambos são instalações seguras e contêm cópias redundantes da chave. A cerimônia é alternada entre os locais El Segundo e Culpeper.

Participantes da cerimônia

• O administrador da cerimônia

• Uma testemunha interna

• O controlador das credenciais do cofre

• O controlador do cofre para hardware

• Oficial de criptografia nº 1

• Oficial de criptografia nº 2

• Oficial de criptografia nº 3

Cada um desses participantes só pode realizar certas partes da cerimônia. Seus papéis são divididos de forma a garantir menos de 1:1 milhão de chances de que um grupo de conspiradores possa comprometer a chave de assinatura da zona raiz, assumindo uma taxa de 5% de desonestidade (sim, isso está formalmente na especificação) entre esses indivíduos.

Os primeiros quatro desses indivíduos são membros da equipe da ICANN, enquanto os três oficiais de criptografia são voluntários de confiança da comunidade da internet. A Verisign também desempenha um papel importante, pois é o mantenedor da zona raiz responsável pela geração da chave de assinatura da zona raiz que é assinada durante a cerimônia. Além disso, todo o procedimento é auditado por duas das empresas de auditoria Big Four que não estão associadas nem à Verisign nem à ICANN.

Preparativos para a cerimônia

Existem apenas 14 oficiais de criptografia disponíveis no mundo (7 são afiliados a cada local) e, pelo menos, três deles devem participar da cerimônia. Portanto, o primeiro passo é pesquisar os oficiais de criptografia para encontrar uma janela de dois dias em que 4 a 5 deles possam comparecer. Normalmente tentamos encontrar um período em que mais do que o mínimo de três estejam disponíveis, pois emergências ou problemas de viagem podem causar o cancelamento da cerimônia.

A última cerimônia aconteceu no dia 13 de agosto nas instalações de El Segundo. Para entrar na instalação, tive que mostrar um documento de identidade emitido pelo governo e mostrar o conteúdo da minha bolsa. Em seguida, recebi uma fita de identificação presa à minha camisa. Então, esperei que um funcionário da ICANN me acompanhasse para entrar. Para passar pela porta, ele teve que passar um cartão de acesso e colocar a mão em um scanner.

A primeira parada foi uma sala de conferências onde o almoço estava sendo servido. Ficamos por lá enquanto esperávamos que o resto dos participantes da cerimônia chegasse. Sendo oficiais de criptografia, a maior parte da conversa girou em torno da tentativa de roubar a chave de assinatura da zona raiz. Calculamos que levaria apenas meia hora para abrir um buraco na parede e sair com o cofre; no entanto, isso provavelmente acionaria os sensores sísmicos, então saberíamos que a chave estava comprometida.

Quando todos apareceram, fomos escoltados para a sala de cerimônias em pequenos grupos, pois a sala de entrada comporta apenas 8 pessoas. Nesta sala, assinamos um registro antes de podermos entrar na sala principal da cerimônia da chave. Para acessar a sala de entrada, um membro da equipe da ICANN precisa usar um cartão inteligente; para entrar na sala principal é necessário um exame de retina do referido funcionário.

Uma pessoa entra em uma sala com dois cofres

A sala de cerimônia tem uma gaiola na lateral que contém dois cofres. Estes cofres armazenam todo o material confidencial utilizado durante a cerimônia. Só é possível entrar na gaiola na presença do administrador da cerimônia e de uma testemunha interna. Isso é reforçado por uma segunda varredura de retina e cartões de acesso do administrador da cerimônia e da testemunha interna.

No entanto, nem o administrador da cerimônia nem a testemunha interna podem realmente abrir os cofres. Para isso, precisamos dos controladores do cofre

As credenciais do cofre

O controlador das credenciais do cofre abre o primeiro cofre e dentro encontramos vários cofres, cada um exigindo duas chaves. O administrador da cerimônia tem uma dessas chaves, e cada um dos oficiais de criptografia tem uma chave para uma caixa diferente. Juntos (e na presença da testemunha interna e do controlador das credenciais do cofre), o administrador da cerimônia e os oficiais de criptografia abrem três cofres.

Cada cofre contém um cartão de operador e um cartão de permissões de segurança para o Módulo de segurança de hardware (HSM), que discutiremos na próxima seção. Três cartões de operador são necessários para desbloquear o HSM, e é por isso que três oficiais de criptografia devem participar da cerimônia. Os cartões de permissões de segurança são usados apenas quando precisamos transferir a chave de assinatura da zona raiz, por isso geralmente os deixamos no cofre.

Ambos os cartões são armazenados dentro de caixas plásticas envoltas em bolsas invioláveis (como você já percebeu, a maior parte da cerimônia gira em torno da detecção de falhas). Estes cartões permanecem no cofre quando não estão em uso, o que significa que a última vez que alguém os tocou foi na Cerimônia de Assinatura da Zona Raiz anterior. As bolsas invioláveis ajudam a garantir que eles não tenham sido alterados nesse ínterim.

Os estojos de plástico também são muito importantes, pois alguém descobriu que era possível manipular os cartões enfiando agulhas na bolsa inviolável, o que não seria necessariamente perceptível ao inspecionar a bolsa. Este é um bom exemplo de como os procedimentos de segurança em torno da cerimônia estão em constante evolução.

O cofre para hardware

O controlador do cofre para hardware entra então na sala cofre e abre o segundo cofre, que contém um módulo de segurança de hardware à prova de adulteração (HSM). O HSM é um dispositivo físico de computação projetado especificamente para trabalhar com material criptográfico confidencial. Você pode pensar nisso como uma caixa de bloqueio digital para a chave de assinatura da zona raiz. Ele só pode ser acessado com os três cartões de operador que coletamos no cofre de credenciais.

O HSM não pode ser operado sem uma interface externa, portanto, o cofre para hardware também contém um notebook especial que pode enviar comandos para o HSM. Este notebook não tem bateria, disco rígido , nem mesmo uma bateria de backup do relógio e, portanto, não pode armazenar o estado depois de desconectado. O objetivo é eliminar qualquer possibilidade de a chave de assinatura da zona raiz deixar o HSM após o término da cerimônia.

Agora temos o hardware para realizar a Cerimônia de Assinatura da Zona Raiz. Observe que a presença de todos os 7 participantes é necessária para acessar fisicamente os materiais na cerimônia. Novamente, a ideia é minimizar o risco de conspiradores maliciosos separando o acesso ao HSM do acesso aos cartões de operador que ativam o HSM.

Um USB contendo registros de cada uma das cerimônias anteriores e um DVD usado para inicializar o notebook (ambos em suas próprias bolsas invioláveis) também são removidos deste cofre.

Instalação do equipamento

Agora estamos prontos para realizar a verdadeira Cerimônia de Assinatura da Zona Raiz. Todo o equipamento está disposto sobre uma mesa, à vista de todos os presentes, assim como a câmera utilizada para auditar os procedimentos.

Um a um, cada um dos três oficiais de criptografia é chamado à mesa e solicitado que entregue o cartão de operador do HSM que tiraram de seu cofre. Antes de fazer isso, eles verificam que a bolsa inviolável está nas mesmas condições que quando a colocaram no cofre no final da cerimônia anterior. Somente o administrador da cerimônia pode tocar o cartão, após ter sido entregue.

O administrador da cerimônia inicializa o notebook a partir de um DVD e inicializa o USB que grava os registros da cerimônia. Lembre-se de que o notebook não tem bateria de backup do relógio, o que significa que a hora precisa ser ajustada manualmente a partir de um relógio de parede especial na sala da cerimônia. É o mesmo relógio usado desde a primeira cerimônia, cinco anos atrás e está completamente isolado do resto do mundo. Ele está um pouco desatualizado, mas tudo bem, pois é usado apenas para fins de registro.

Mesa de cerimônia, antes da instalação do equipamento

Em seguida, o administrador da cerimônia precisa ativar o HSM colocando os três cartões de operador coletados dos oficiais de criptografia na máquina. Em seguida, o HSM é conectado ao notebook via cabo ethernet. O administrador da cerimônia tem agora acesso à chave de assinatura da zona raiz.

Assinatura das chaves da zona raiz do DNS

Existem dois locais geograficamente distintos que protegem a chave de assinatura da zona raiz: El Segundo, CA e Culpeper, VA. Ambos são instalações seguras e contêm cópias redundantes da chave. A cerimônia é alternada entre os locais El Segundo e Culpeper.

O sistema air-gapped do notebook/HSM, significa que ele está fisicamente isolado de qualquer rede de computadores potencialmente insegura (por exemplo, a internet). A única maneira de mover informações do mundo exterior para o notebook/HSM é através de uma unidade USB. Assim, a solicitação de assinatura de chave é carregada no notebook via USB. Para garantir que a chave correta seja assinada, um hash PGP da solicitação de assinatura de chave é calculado e a Verisign verifica se é idêntico ao fornecido.

Finalmente, o administrador da cerimônia pode assinar o KSR com a chave de assinatura de chave privada. Ele digita “Y” em um prompt de comando e a parte importante da cerimônia está completa. O resultado é uma coleção de assinaturas digitais, também conhecida no DNSSEC como registro RRSIG, que exploraremos em breve.

Observe que o KSR realmente contém um pacote de chaves de assinatura de zona que são alternadas a cada 15-16 dias. Há chaves suficientes no pacote para durar até a próxima Cerimônia de Assinatura da Zona Raiz, daqui a três meses.

Registro Público

Cada pequeno detalhe é registrado por auditores e filmado, tornando toda a cerimônia uma questão de registro público. Isso é crucial para que toda a internet protegida por DNSSEC confie nas assinaturas dos nameservers de raiz.

Este vídeo é transmitido ao vivo durante a cerimônia e pudemos acompanhar quantas pessoas estavam assistindo à cerimônia em tempo real. Tivemos um número recorde de espectadores desta vez, provavelmente devido à melhor publicidade do que as cerimônias anteriores. Conseguimos até que um participante retransmitisse perguntas da plateia via chat. Ficamos muito felizes com todo esse engajamento.

No final da cerimônia, os registros são impressos e entregues a qualquer pessoa na sala que queira uma cópia. A Verisign recebe uma cópia do conjunto de chaves assinadas em um pendrive e usará esses RRsets DNSKEY assinados na zona raiz durante o quarto trimestre deste ano. Todos os materiais são colocados de volta em bolsas invioláveis e colocados em seus respectivos cofres.

Vamos ver essas chaves assinadas!

Existem dois locais geograficamente distintos que protegem a chave de assinatura da zona raiz: El Segundo, CA e Culpeper, VA. Ambos são instalações seguras e contêm cópias redundantes da chave. A cerimônia é alternada entre os locais El Segundo e Culpeper.

dig . dnskey +dnssec

Isso solicita os registros dnskey dos nameservers de raiz do DNS. A parte interessante da resposta deve ser algo como o seguinte:

. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0= . 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb . 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==

O primeiro registro é a contrapartida pública da chave de assinatura privada no HSM, o segundo é a chave de assinatura de zona fornecida pela Verisign e o terceiro registro RRSIG é o que criamos durante a Cerimônia de Assinatura da Zona Raiz. Sem este último, o sistema DNSSEC mundial não funcionaria.