Die DNSSEC-Root-Signing-Ceremony

Die Root-DNS-Zone enthält Informationen darüber, wie die Nameserver der Top-Level-Domain (TLD) abgefragt werden können (.com, .edu, .org, usw.). Sie ermöglicht Internetnutzern den Zugang zu Domainnamen in allen TLDs, auch zu ganz neuen wie .software und .bank, und wird damit zu einem integralen Bestandteil des globalen Internets.

Im Beitrag „So funktioniert DNSSEC“ haben wir erklärt, wie das Vertrauen in DNSSEC vom DS-Ressourceneintrag der übergeordneten Zone abgeleitet wird. Die Root-DNS-Zone hat jedoch keine übergeordnete Stelle, wie können wir also der Integrität und Authentizität ihrer Informationen vertrauen?

official ceremony photo.

Foto mit freundlicher Genehmigung der IANA

Das ist der Zweck der Root-Signing-Ceremony – ein strenges Verfahren zum Signieren der öffentlichen Schlüsselinformationen der Root-DNS-Zone für die nächsten Monate. Der private Signierschlüssel, der in diesem Prozess verwendet wird, ist buchstäblich der Schlüssel zum gesamten DNSSEC-geschützten Internet. Eine öffentliche, geprüfte und streng kontrollierte Zeremonie für den Zugang zu diesem Schlüssel ist notwendig, damit DNSSEC als globaler Standard Erfolg hat.

Ólafur Guðmundsson, Engineering Manager bei Cloudflare und Crypto-Officer bei ICANN, nahm an der Zeremonie im August teil. Dies sind seine Reflexionen über die Root-Signing-Ceremony.

Wo ist der Root-Signing-Key?

Es gibt zwei geografisch getrennte Standorte, an denen der Root Key-Signing-Key aufbewahrt wird: El Segundo, CA und Culpeper, VA. Beides sind sichere Einrichtungen, die redundante Kopien des Schlüssels enthalten. Die Zeremonie findet abwechselnd in El Segundo und Culpeper statt.

Zeremonienteilnehmer

  • Der Zeremonienleiter
  • Ein interner Zeuge
  • Der Credentials Safe Controller
  • Der Hardware Safe Controller
  • Crypto-Officer #1
  • Crypto-Officer #2
  • Crypto-Officer #3

Jeder dieser Teilnehmer kann nur bestimmte Teile der Zeremonie durchführen. Ihre Rollen sind so verteilt, dass die Wahrscheinlichkeit, dass eine Gruppe von Konspiratoren den Root-Signing-Key kompromittieren könnte, weniger als 1:1.000.000 beträgt, wobei eine Unehrlichkeitsrate von 5 % (ja, das steht offiziell in der Spezifikation) unter diesen Personen angenommen wird.

Diagramm: Wer hat den Schlüssel?

Die ersten vier dieser Personen sind ICANN-Mitarbeiter, während die drei Crypto-Officer vertrauenswürdige Freiwillige aus der Internet-Community sind. Verisign spielt ebenfalls eine wichtige Rolle, da sie als Root-Zonen-Verwalter für die Erstellung des Root-Zonen-Signing-Key verantwortlich sind, der während der Zeremonie signiert wird. Darüber hinaus wird das gesamte Verfahren von zwei Big-Four-Wirtschaftsprüfungsgesellschaften geprüft, die weder mit Verisign noch mit ICANN verbunden sind.

Vorbereitungen für die Zeremonie

Weltweit gibt es nur 14 Crypto-Officer (7 pro Standort), und mindestens drei von ihnen müssen an der Zeremonie teilnehmen. Der erste Schritt besteht also darin, die Crypto-Officer zu befragen, um ein zweitägiges Zeitfenster zu finden, in dem 4-5 von ihnen teilnehmen können. Wir versuchen in der Regel, einen Zeitraum zu finden, in dem mehr als die zumindest erforderlichen drei Teilnehmer verfügbar sind, da Notfälle oder Reiseprobleme zu einer Absage der Zeremonie führen können.

Die letzte Zeremonie fand am 13. August in der Einrichtung in El Segundo statt. Um in die Einrichtung zu gelangen, musste ich einen amtlichen Lichtbildausweis vorlegen und den Inhalt meiner Tasche zeigen. Im Gegenzug bekam ich einen Ausweisstreifen an mein Hemd geheftet. Dann wartete ich auf einen ICANN-Mitarbeiter, der mich hineinbegleitete. Um durch die Tür zu kommen, musste er eine Zugangskarte durchziehen und seine Hand auf einen Scanner legen.

Die erste Station war ein Konferenzraum, in dem gerade das Mittagessen serviert wurde. Dort mischten wir uns unter die Gäste, während wir darauf warteten, dass die übrigen Teilnehmer der Zeremonie eintrafen. Da es sich um Crypto-Officers handelte, drehte sich der Großteil des Smalltalks um den Versuch, den Root-Signing-Key zu stehlen. Wir rechneten damit, dass es nur etwa eine halbe Stunde dauern würde, ein Loch in die Wand zu sprengen und mit dem Tresor hinauszugehen; das würde jedoch wahrscheinlich die seismischen Sensoren auslösen, so dass wir wüssten, dass der Schlüssel gefährdet war.

Nachdem alle eingetroffen waren, wurden wir in kleinen Gruppen in den Zeremonienraum geführt, da der Eingangsraum nur etwa 8 Personen fasst. In diesem Raum unterschreiben wir ein Protokoll, bevor wir in den Hauptraum der Zeremonie gelassen werden. Um den Eingangsraum zu betreten, muss ein ICANN-Mitarbeiter eine Chipkarte benutzen; um den Hauptraum zu betreten, ist ein Netzhautscan des Mitarbeiters erforderlich.

Ein Typ geht in einen Raum mit zwei Tresoren...

Der Zeremonienraum hat seitlich einen Kerker, in dem sich zwei Tresore befinden. In diesen Tresoren wird das gesamte empfindliche Material aufbewahrt, das während der Zeremonie verwendet wird. Der Kerker kann nur im Beisein des Zeremonienleiter (Ceremony Administrator) und eines internen Zeugen (Internal Witness) betreten werden. Dies wird durch einen zweiten Netzhautscan (Retinascan) und die Zugangskarten des Zeremonienleiters und des internen Zeugen durchgesetzt.

Diagramm: Ein Mann betritt einen Raum mit zwei Tresoren.

Allerdings können weder der Zeremonienmeister noch der interne Zeuge die Tresore tatsächlich öffnen. Dazu benötigen wir die Safe-Controllers

Der Tresor mit den Anmeldedaten (Credentials Safe)

Der Credentials Safe-Controller öffnet den ersten Tresor, und im Inneren befinden sich mehrere Schließfächer, für die jeweils zwei Schlüssel benötigt werden. Der Zeremonienmeister hat einen dieser Schlüssel, und jeder der Crypto-Officer hat einen Schlüssel für eine andere Box. Der Zeremonienmeister und die Crypto-Officer öffnen gemeinsam (und in Anwesenheit des internen Zeugen und des Kontrolleurs für den Tresor mit den Anmeldedaten) drei Schließfächer.

Diagramm des Tresors mit den Anmeldedaten

Jedes Schließfach enthält eine Bedienerkarte und eine Sicherheitsberechtigungskarte für das Hardware-Sicherheitsmodul (HSM), das wir im nächsten Abschnitt näher betrachten werden. Für die Freischaltung des HSM sind drei Betreiberkarten erforderlich, weshalb drei Crypto-Officers an der Zeremonie teilnehmen müssen. Die Sicherheitsberechtigungskarten werden nur verwendet, wenn wir den Root-Signing-Key übertragen müssen, also lassen wir sie normalerweise im Schließfach.

Beide Karten werden in Plastikhüllen aufbewahrt, die in manipulationssichere Beutel eingewickelt sind (falls Sie es noch nicht bemerkt haben: beim Großteil der Zeremonie geht es darum, Regelverstöße aufzudecken). Diese Karten bleiben im Tresor, wenn sie nicht benutzt werden, was bedeutet, dass sie das letzte Mal bei der vorherigen Root-Signing-Ceremony angefasst wurden. Die manipulationssicheren Beutel helfen sicherzustellen, dass sie in der Zwischenzeit nicht verändert wurden.

Die Plastikhüllen sind ebenfalls sehr wichtig, da jemand herausgefunden hat, dass es möglich ist, die Karten zu manipulieren, indem man Nadeln durch die manipulationssichere Tasche sticht, was bei der Kontrolle des Beutels nicht unbedingt auffällt. Dies ist ein gutes Beispiel dafür, wie sich die Sicherheitsverfahren rund um die Zeremonie ständig weiterentwickeln.

manipulationssicherer Beutel

Der Hardware-Tresor

Der Hardware Safe Controller betritt dann den Tresorraum und öffnet den zweiten Tresor, der ein manipulationssicheres Hardware-Sicherheitsmodul (Hardware Security Module – HSM) enthält. Das HSM ist ein physisches Datenverarbeitungsgerät, das speziell für die Arbeit mit sensiblem kryptografischem Material entwickelt wurde. Man kann es sich als eine Art digitales Schließfach für den Root-Signing-Key vorstellen. Er kann nur mit den drei Betreiberkarten betreten werden, die wir aus dem Tresor mit den Anmeldedaten geholt haben.

Diagramm des Hardware-Tresors

Da das HSM nicht ohne eine externe Schnittstelle betrieben werden kann, enthält der Hardware-Tresor auch einen speziellen Laptop, der Befehle an das HSM senden kann. Dieser Laptop hat keinen Akku, keine Festplatte und nicht einmal eine Pufferbatterie für die Uhr und kann daher keinen Zustand speichern, wenn er vom Stromnetz getrennt ist. Ziel ist es, die Möglichkeit auszuschließen, dass der Root-Signing-Key das HSM nach Abschluss der Zeremonie verlässt.

Wir haben jetzt die Hardware, um die Root-Signing-Ceremony (Zeremonie zur Signierung des Roots) durchzuführen. Beachten Sie, dass die Anwesenheit aller 7 Teilnehmer erforderlich ist, um physischen Zugang zu den Materialien für die Zeremonie zu erhalten. Auch hier geht es darum, das Risiko böswilliger Konspiratoren zu minimieren, indem der Zugriff auf das HSM vom Zugriff auf die Bedienerkarten, die das HSM aktivieren, getrennt wird.

Ein USB-Stick mit den Protokollen aller vorangegangenen Ceremonies und eine DVD, die zum Booten des Laptops verwendet wurde (beide in eigenen manipulationssicheren Beuteln), werden ebenfalls aus diesem Safe entnommen.

Einrichtung der Ausrüstung

Wir sind nun bereit, die eigentliche Root-Signing-Ceremony durchzuführen. Die gesamte Ausrüstung liegt auf einem Tisch, der von allen Anwesenden eingesehen werden kann, ebenso wie die Kamera, mit der der Prozess aufgezeichnet wird.

Einer nach dem anderen wird jeder der drei Crypto-Officers an den Tisch gerufen und aufgefordert, die HSM-Betreiberkarte auszuhändigen, die er aus seinem Bankschließfach genommen hat. Zuvor vergewissern sie sich, dass sich der manipulationssichere Beutel in demselben Zustand befindet, in dem sie ihn am Ende der letzten Zeremonie in das Schließfach gelegt haben. Nach der Übergabe darf nur der Zeremonienleiter die Karte berühren.

Diagramm Einrichtung der Ausrüstung

Der Zeremonienleiter bootet den Laptop von einer DVD und initialisiert den USB-Stick, der die Protokolle der Zeremonie aufzeichnet. Denken Sie daran, dass der Laptop keine Batteriesicherung für die Uhr hat, d. h. die Zeit muss manuell über eine spezielle Wanduhr im Zeremonienraum eingestellt werden. Es ist dieselbe Uhr, die seit der ersten Zeremonie vor fünf Jahren verwendet wird, und sie ist völlig isoliert vom Rest der Welt. Sie ist leicht abgewichen, aber das ist in Ordnung, da sie nur zu Protokollierungszwecken verwendet wird.

Root-Signing-Ceremony

Zeremonie-Tisch, vor dem Aufbau der Ausrüstung

Als Nächstes muss der Zeremonienleiter das HSM aktivieren, indem er die drei von den Krypto-Beamten eingesammelten Bedienerkarten in das Gerät einlegt. Dann wird das HSM über ein Ethernet-Kabel mit dem Laptop verbunden. Der Zeremonienleiter hat nun Zugriff auf den Root-Signaturschlüssel.

Signieren der Root-DNS-Keys

Es gibt zwei geografisch getrennte Standorte, an denen der Root Key-Signing-Key aufbewahrt wird: El Segundo, CA und Culpeper, VA. Beides sind sichere Einrichtungen, die redundante Kopien des Schlüssels enthalten. Die Zeremonie findet abwechselnd in El Segundo und Culpeper statt.

Diagramm zum Signieren der Root-DNS-Keys

Das Laptop/HSM-System ist mit einer Luftschleuse versehen, d. h. es ist physisch von allen potenziell unsicheren Computernetzen (z. B. dem Internet) isoliert. Die einzige Möglichkeit, Informationen aus der Außenwelt auf den Laptop/HSM zu übertragen, ist ein USB-Laufwerk. Dementsprechend wird der Antrag auf Schlüsselsignierung (Key-Signing Request – KSR) über USB auf den Laptop geladen. Um sicherzustellen, dass der richtige Schlüssel signiert wird, wird ein PGP-Hash des Antrags auf Schlüsselsignierung berechnet, und Verisign überprüft, ob er mit dem von ihnen bereitgestellten identisch ist.

Schließlich kann der Zeremonienmeister die KSR mit dem privaten Schlüssel signieren, der den Schlüssel signiert. Er gibt „Y“ in eine Befehlszeile ein, und der dramatische Teil der Zeremonie ist beendet. Das Ergebnis ist eine Sammlung digitaler Signaturen, die in DNSSEC als RRSIG-Datensatz bekannt ist und auf die wir gleich noch eingehen werden.

Beachten Sie, dass die KSR ein Bündel von Zonensignaturschlüsseln enthält, die alle 15-16 Tage ausgetauscht werden. Die Schlüssel in diesem Paket reichen bis zur nächsten Root-Signing-Ceremony in drei Monaten.

Öffentliches Verzeichnis

Jedes noch so kleine Detail wird von Auditoren dokumentiert und auf Video aufgezeichnet. Damit wird die gesamte Zeremonie zu einer öffentlichen Angelegenheit. Dies ist entscheidend, wenn das gesamte DNSSEC-geschützte Internet den Signaturen der Root-Nameserver vertrauen soll.

Dieses Video wird während der Zeremonie live gestreamt. Wir konnten so in Echtzeit beobachten, wie viele Menschen die Zeremonie verfolgten. Dieses Mal hatten wir eine rekordverdächtige Anzahl von Zuschauern. Vermutlich lag das an einer besseren Öffentlichkeitsarbeit als bei früheren Zeremonien. Es war sogar möglich, dass Fragen der Zuseher von einem Teilnehmer über den Chatroom weitergeleitet werden konnten. Über dieses rege Engagement und die aktive Teilnahme haben wir uns sehr gefreut.

Protokolle

Am Ende der Zeremonie werden die Protokolle ausgedruckt und an alle Anwesenden verteilt, die ein Exemplar haben möchten. Verisign erhält eine Kopie des signierten Schlüsselsatzes auf einem USB-Stick und wird diese signierten DNSKEY RRsets in der Root-Zone im vierten Quartal dieses Jahres verwenden. Alle Materialien werden wieder in manipulationssichere Beutel verpackt und in die entsprechenden Tresore gelegt.

Her mit den signierten Schlüsseln!

Es gibt zwei geografisch getrennte Standorte, an denen der Root Key-Signing-Key aufbewahrt wird: El Segundo, CA und Culpeper, VA. Beides sind sichere Einrichtungen, die redundante Kopien des Schlüssels enthalten. Die Zeremonie findet abwechselnd in El Segundo und Culpeper statt.

graben. dnskey +dnssec

Damit werden die dnskey-Einträge von den Root-DNS-Nameservern angefordert. Der interessante Teil der Antwort sollte etwa wie folgt aussehen:

. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0= . 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb . 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==

Der erste Datensatz ist das öffentliche Gegenstück zum privaten Schlüssel zur Schlüsselsignierung im HSM, der zweite ist der von Verisign bereitgestellte Zonensignierschlüssel und der dritte RRSIG-Datensatz ist das, was wir während der Root-Signing-Ceremony erstellt haben. Ohne den letzteren würde das weltweite DNSSEC-System nicht funktionieren.

Zusammenfassung

Die Root-Signing-Ceremony macht die Root-DNS-Namensserver zu einem Vertrauensanker. Das Vertrauen wird nicht von einer übergeordneten Zone abgeleitet, sondern es wird vorausgesetzt. Die gesamte Zeremonie dient dazu, dieses Vertrauen zu stärken. Wir erkennen ein sehr menschliches Element in den Bestrebungen zur Sicherung des Internets: Der Grund, warum man den Root-DNS-Servern vertrauen kann, ist, dass man den Menschen vertrauen kann, die sie signieren. Und der Grund, warum Sie den Signatoren vertrauen können, liegt in den strengen Protokollen, die sie dabei befolgen. Darum geht es bei der Root-Signing-Ceremony.

Die Einrichtung von Cloudflare ist ganz leicht



Richten Sie eine Domain in weniger als 5 Minuten ein. Behalten Sie Ihren Hosting-Anbieter. Keine Codeänderungen erforderlich.


Millionen von Internetwebsites vertrauen auf uns