Ceremonia de firma de la llave de la zona raíz con DNSSEC

¿Dónde está la clave para la firma de la llave de la zona raíz?

Hay dos ubicaciones geográficamente distintas que custodian la clave para la firma de la llave de la zona raíz: El Segundo (California) y Culpeper (Virginia). Ambas son instalaciones seguras, y contienen copias redundantes de la clave. La ceremonia se alterna entre las sedes de El Segundo y Culpeper.

Participantes en la ceremonia

• Administrador de la ceremonia

• Testigo interno

• Controlador de seguridad de credenciales

• Controlador de seguridad del hardware

• Oficial de criptografía n.º 1

• Oficial de criptografía n.º 2

• Oficial de criptografía n.º 3

Cada uno de estos participantes solo puede realizar ciertas partes de la ceremonia. Sus funciones se dividen de forma que se garantice una probabilidad inferior a 1:1.000.000 de que un grupo de conspiradores pueda comprometer la clave para la firma de la llave de la zona raíz, suponiendo una tasa de engaño del 5 % (sí, se indica formalmente en la especificación) entre estos individuos.

Los cuatro primeros son miembros del personal de la ICANN, mientras que los tres oficiales de criptografía son voluntarios de confianza de la comunidad de Internet. Verisign también desempeña un papel importante, ya que es responsable del mantenimiento de la zona raíz y se ocupa de generar la llave de firma de la zona raíz que se firma durante la ceremonia. Además, todo el procedimiento es auditado por dos empresas de auditoría de las Big Four que no están asociadas ni a Verisign ni a la ICANN.

Preparación de la ceremonia

Solo hay 14 oficiales de criptografía disponibles en el mundo (siete están afiliados a cada lugar), y al menos tres de ellos deben asistir a la ceremonia. Por lo tanto, el primer paso es averiguar la disponibilidad de los oficiales de criptografía para encontrar una ventana de dos días en la que 4-5 de ellos puedan asistir. Por lo general, intentamos encontrar un periodo en el que más de tres de ellos estén disponibles para evitar la cancelación de la ceremonia en caso de emergencia o imprevistos en el viaje.

La última ceremonia tuvo lugar el 13 de agosto en las instalaciones de El Segundo. Para entrar tuve que mostrar un documento de identidad emitido por el Gobierno y mostrar el contenido de mi maletín. A cambio, recibí una etiqueta de identificación que pegaron en mi camisa. Luego, esperé a que un empleado de la ICANN me acompañara al interior. Para pasar por la puerta, tuvo que pasar una tarjeta de acceso y colocar la mano en un escáner.

La primera parada fue una sala de conferencias donde se servía el almuerzo. Nos reunimos allí mientras esperábamos a que llegara el resto de los participantes de la ceremonia. Como eran oficiales de criptografía, la mayor parte de la conversación giró en torno a a los intentos de robo de la clave para la firma de la llave de la zona raíz. Pensamos que solo se tardaría media hora más o menos en hacer un agujero en la pared y salir con la caja fuerte. Sin embargo, eso podría hacer saltar los sensores sísmicos, por lo que sabríamos que la llave estaba en riesgo.

Una vez que todo el mundo se presentó, nos acompañaron a la sala de ceremonias en pequeños grupos dado que en la sala de entrada solo caben unas 8 personas. Firmamos un registro en esta sala antes de que se nos permitieran entrar en la sala principal de la ceremonia de la clave. Para acceder a la sala de entrada, un miembro del personal de la ICANN debe utilizar una tarjeta inteligente, y para acceder a la sala principal se tiene que identificar a través de un escáner de retina.

Un individuo entra en una sala con dos cajas fuertes

La sala de la ceremonia tiene una jaula en un lateral que contiene dos cajas fuertes, que almacenan todo el material sensible utilizado durante la ceremonia. La entrada a la jaula solo se puede realizar en presencia del administrador de la ceremonia y de un testigo interno, que se identificarán a través de un segundo escáner de retina y tarjetas de acceso.

Sin embargo, ni el administrador de la ceremonia ni el testigo interno pueden abrir las cajas fuertes. Para ello, necesitamos a los controladores de seguridad.

Caja fuerte de las credenciales

El controlador de la caja fuerte de credenciales abre la primera caja fuerte, y dentro encontramos varias cajas de seguridad, cada una de las cuales necesita dos llaves. El administrador de la ceremonia tiene una de esas llaves, y cada uno de los oficiales de criptografía tiene una llave para una caja diferente. Juntos (y en presencia del testigo interno y del controlador de la caja fuerte de credenciales), el administrador de la ceremonia y los oficiales de criptografía abren tres cajas de seguridad.

Cada caja de seguridad contiene una tarjeta de operador y una tarjeta de permisos de seguridad para el HMS, de lo que hablaremos en el siguiente apartado. Se necesitan tres tarjetas de operador para desbloquear el HSM, por lo que deben asistir a la ceremonia tres oficiales de criptografía. Las tarjetas de permisos de seguridad solo se utilizan cuando necesitamos transferir la clave para la firma de la llave de la zona raíz, así que solemos dejarlas en la caja de seguridad.

Ambas tarjetas se guardan dentro de fundas de plástico envueltas en bolsas a prueba de falsificaciones (la mayor parte de la ceremonia gira en torno a la detección de fraudes, por si no te habías dado cuenta). Estas tarjetas permanecen en la caja fuerte cuando no se utilizan, lo que significa que la última vez que alguien las tocó fue en la anterior ceremonia de firma de la llave de la zona raíz. Las bolsas a prueba de falsificaciones ayudan a garantizar que no han sido alteradas entre ceremonias.

Las fundas de plástico también son muy importantes, ya que alguien descubrió que era posible falsificar las tarjetas pinchando la bolsa a prueba de falsificaciones con agujas, algo que podría pasar desapercibido al inspeccionar la bolsa. Este es un buen ejemplo de cómo los procedimientos de seguridad en torno a la ceremonia evolucionan constantemente.

La caja fuerte del hardware

A continuación, el controlador de la caja fuerte entra en la sala de seguridad y abre la segunda caja fuerte, que contiene un módulo de seguridad de hardware (HSM) a prueba de falsificaciones. El HSM es un dispositivo informático físico diseñado específicamente para trabajar con material criptográfico sensible. Puedes pensar en ello como una caja de seguridad digital con la clave para la firma de la llave de la zona raíz. Solo se puede acceder con las tres tarjetas de operador que cogimos de la caja fuerte de las credenciales.

El HSM no puede funcionar sin una interfaz externa, por lo que la caja fuerte de hardware también contiene un portátil especial que puede enviar comandos al HSM. Este portátil no tiene batería, ni disco duro, ni siquiera una batería de reserva para el reloj, por lo que no puede almacenar el estado una vez desenchufado. El objetivo es eliminar cualquier posibilidad de que la clave para la firma de la llave de la zona raíz salga del HSM una vez finalizada la ceremonia.

Ahora tenemos el hardware para realizar la ceremonia de firma de la llave de la zona raíz. Observa que se requiere la presencia de los 7 participantes para acceder físicamente a los materiales de la ceremonia. De nuevo, la idea es minimizar el riesgo de conspiradores malintencionados, separando el acceso al HSM del acceso a las tarjetas de operador que activan el HSM.

De esta caja fuerte también se saca un USB, que contiene los registros de cada una de las ceremonias anteriores, y un DVD utilizado para arrancar el ordenador portátil (ambos en sus propias bolsas a prueba de falsificaciones).

Configuración del equipo

Ahora estamos preparados para realizar la ceremonia de firma de la llave de la zona raíz propiamente dicha. Todo el material se coloca en una mesa a la vista de todos los asistentes, así como la cámara que se utiliza para auditar los procedimientos.

Uno a uno, cada uno de los tres oficiales de criptografía es llamado a la mesa y se le pide que entregue la tarjeta de operador HSM que sacó de su caja de seguridad. Antes de hacerlo, comprueban que la bolsa de seguridad está en las mismas condiciones que cuando la colocaron en la caja de seguridad al final de la ceremonia anterior. Una vez que la entregan, solo el administrador de la ceremonia puede tocar la tarjeta.

El administrador de la ceremonia arranca el portátil desde un DVD e inicializa el USB que registra los registros de la ceremonia. Recuerda que el ordenador portátil no tiene batería de reserva para el reloj, lo que significa que hay que ajustar la hora manualmente desde un reloj de pared especial en la sala de ceremonias. Es el mismo reloj que se utilizó desde la primera ceremonia, hace cinco años, y está completamente aislado del resto del mundo. Tiene una ligera desviación, pero no pasa nada, ya que solo se utiliza para el registro.

Mesa de la ceremonia, antes de montar el material

A continuación, el administrador de la ceremonia tiene que activar el HSM colocando en la máquina las tres tarjetas de operador que han entregado los oficiales de criptografía. A continuación, el HSM se conecta al portátil mediante un cable ethernet. El administrador de la ceremonia tiene ahora acceso a la llave para la firma de la zona raíz.

Firma de la llave de la zona raíz de DNS

Hay dos ubicaciones geográficamente distintas que custodian la clave para la firma de la llave de la zona raíz: El Segundo (California) y Culpeper (Virginia). Ambas son instalaciones seguras, y contienen copias redundantes de la clave. La ceremonia se alterna entre las sedes de El Segundo y Culpeper.

El sistema del portátil/HSM no tiene conexión, lo que significa que está físicamente aislado de cualquier red informática potencialmente insegura (por ejemplo, Internet). La única forma de trasladar la información del mundo exterior al portátil/HSM es mediante una unidad USB. En consecuencia, la solicitud de la firma de la llave se carga en el ordenador portátil a través del USB. Para garantizar que se está firmando la llave correcta, se usa una función hash PGP de la petición de firma de la llave, y Verisign verifica que es idéntica a la que ellos proporcionaron.

Finalmente, el administrador de la ceremonia puede firmar la petición de firma de la llave (KSR) con la clave para la firma de la llave privada. Escribe "Y" en la línea de comandos y, con esto, la parte compleja de la ceremonia se ha completado. El resultado es una colección de firmas digitales, también conocida en DNSSEC como registro RRSIG, que analizaremos en un momento.

Ten en cuenta que la KSR contiene en realidad un conjunto de llaves de firma de la zona que se rotan cada 15-16 días. Hay suficientes llaves en el paquete para que duren hasta la próxima ceremonia de firma de la llave de la zona raíz dentro de tres meses.

Registro público

Los auditores registran todos los detalles, por pequeños que sean, y se graban en vídeo, convirtiendo toda la ceremonia en un asunto público. Esto es crucial para que toda la red pública de Internet protegida por DNSSEC confíe en las firmas de los servidores de nombres raíz.

Este vídeo se transmite en directo durante la ceremonia, y pudimos hacer un seguimiento de cuántas personas estaban viendo la ceremonia en tiempo real. Esta vez se registró un número récord de espectadores, posiblemente porque se promocionó mejor que otras ceremonias anteriores. Incluso pudimos hacer que un participante retransmitiera las preguntas del público a través del chat. Estábamos muy contentos con todo esta interacción.

Al final de la ceremonia, se imprimen los registros y se entregan a cualquier persona de la sala que quiera una copia. Verisign recibe una copia del conjunto de claves firmadas en una memoria USB, y utilizará estos conjuntos de DNSKEY firmados en la zona raíz durante el cuarto trimestre de este año. Todos los materiales se vuelven a meter en bolsas a prueba de falsificaciones y se colocan en sus respectivas cajas fuertes.

¡Veamos esas llaves firmadas!

Hay dos ubicaciones geográficamente distintas que custodian la clave para la firma de la llave de la zona raíz: El Segundo (California) y Culpeper (Virginia). Ambas son instalaciones seguras, y contienen copias redundantes de la clave. La ceremonia se alterna entre las sedes de El Segundo y Culpeper.

dig . dnskey +dnssec

Este comando solicita los registros dnskey a los servidores de nombres de la zona raíz del DNS. La parte interesante de la respuesta debería ser algo parecido a lo siguiente:

. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0= . 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb . 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==

El primer registro es la contrapartida pública de la clave privada de firma en el HSM, el segundo es la clave para la firma de la llave de la zona proporcionada por Verisign, y el tercer registro RRSIG es el que creamos durante la ceremonia de firma de la llave de la zona raíz. Sin esto último, el sistema DNSSEC mundial no funcionaría.