Menu
Ultrazvuk nám píska do uší, následky len tušíme. Ne-počujeme ho v kancelárii aj v obchode

Ultrazvuk nám píska do uší, následk…

Mnohí z nás, bez toho by ...

Základňové stanice mobilnej siete (BTS) a informácie o bunkách v SR.

Základňové stanice mobilnej siete (…

Základňové stanice (z ang...

Komunikácia mobilného telefónu. Ako funguje?

Komunikácia mobilného telefónu. Ako…

Komunikácia mobilného t...

GSM handover or handoff

GSM handover or handoff

GSM handover or handoff...

GSM Audio kodek / Vokodér

GSM Audio kodek / Vokodér

 GSM Audio kodek / Voko...

Logické a fyzické GSM kanály

Logické a fyzické GSM kanály

Logické a fyzické GSM kan...

Kontrola GSM výkonu a energetická trieda

Kontrola GSM výkonu a energetická t…

Kontrola GSM výkonu a en...

GSM frekvencie a frekvenčné pásma

GSM frekvencie a frekvenčné pásma

GSM frekvencie a frekvenč...

Účinná metóda proti odpočúvaniu - signál vytvorí šum, ktorý zabráni nahrávaniu hovorov.

Účinná metóda proti odpočúvaniu - s…

Výskumníci z Univerzity I...

Rámcová štruktúra GSM

Rámcová štruktúra GSM

Rámcová štruktúra GSM- R...

Prev Next
Slovak Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian Persian Polish Portuguese Romanian Russian Serbian Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish

Sedem vyvolených dostalo kľúče, ktorými možno nahodiť internet.

Na bezpečnosť celosvetovej siete bude dohliadať sedem vybraných odborníkov, ktorí v tajnom bunkri prevzali "kľúča k internetu". Je medzi nimi aj Čech Ondřej Surý. Nový štandard zabezpečenia má zabezpečiť, aby internet zostal nezávislý, ale napriek tomu dôveryhodný.

 

Začala nová éra internetu. Otec internetu Vinton Cerf označil definitívnu spustení zabezpečených DNS serverov (DNSSEC) za krok významom podobný spustenie WWW siete.

"Chceme dať užívateľom možnosť spoznať, či zdroj, na ktorý pristupujú, je dôveryhodný," zhŕňa Joe Able, riaditeľ DNS Group, dôvod na spustenie novej generácie zabezpečeného DNS. Doteraz totiž bolo až príliš jednoduché vydávať sa na internete za niekoho iného, falšovať adresy a "uniesť" návštevníka stránok do nebezpečných vôd webu (napr. phishing, DNS poisoning apod).

 


Organizácia ICANN, ktorá dohliada na najvyššej doménové priestory, počíta is eventualitou, že bude potreba DNSSEC systém obnoviť z núdzové zálohy, a dáva si záležať na bezpečnostných opatreniach.

Sedem dôveryhodných v bunkri?

Stretnutie v tajnom americkom bunkri. Prehliadka ozbrojenými strážnikmi. Identifikácia podľa očnej dúhovky. Možno to znie ako zo špionážneho filmu, ale presne tieto spojenia sa v spojení so spustením DNSSEC objavila napríklad v serióznych britských denníkoch.

Skutočnosť je podľa Ondreja Surého, ktorý bol priamo na mieste, o poznanie triezvejší. Obe sídla ICANN skrátka dodržiavajú štandardné bezpečnostné predpisy, a tie platili aj pri slávnostných ceremóniách podpisovanie koreňovej zóny.

Celý systém DNSSEC by mal fungovať úplne automaticky, a bežní používatelia si jeho funkcie pravdepodobne ani nevšimnú. Ak by ale došlo k poškodeniu (napríklad v dôsledku živelnej katastrofy či útoku), je možné hlavný kľúč DNSSEC obnoviť.

Sedem "dôveryhodných zástupcov internetovej komunity" (Trusted Community Representatives, presnejšie Recovery Key Share Holders) dostalo čipovej karty, na ktorých sú uložené fragmenty, pomocou ktorých je možné rozšifrovať zálohu KSK kľúče uloženú u ICANN.

Ak sa všetci (alebo aspoň päť zo siedmich) stretnú v USA, môžu spoločne rekonštruovať pôvodný hlavný kľúč (DNSSEC root zone key) a "reštartovať" tak zabezpečenia, či skôr obnoviť normálnu prevádzku. Je tak zabezpečené, aby žiadny jednotlivec ani organizácia nemohla túto obnovu vykonať na vlastnú päsť. Okrem toho nemožno vylúčiť ani rovinu symbolickú - ponúka sa porovnanie s českými korunovačnými klenotmi, ku ktorým má tiež kľúče sedem slovenských ústavných činiteľov.


Kto drží "kľúča k internetu"?

Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Veľká Británia), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)

Českú republiku, respektíve strednú Európu, zastupuje Ondřej Surý, vedúci Laboratórií CZ.NIC, združenia spravujúceho doménu. Sk. CZ.NIC presadzuje štandard DNSSEC už niekoľko rokov, a venuje sa mu pravidelne na svojom blogu.

Standard DNSSEC je teda od podpísania tzv koreňovej zóny pripravený na nasadenie do ostrej prevádzky. Domény, ktoré budú s jeho pomocou zabezpečené, môžu dať svojim návštevníkom istotu, že si prezerajú skutočne požadovaný obsah, a nie obsah podstrčený nejakým podvodným DNS serverom (napríklad falošnými stránkami banky).

Podľa odhadov, ktoré cituje BBC, je až 8% internetového prevádzky nejakým spôsobom podvodného, a práve nový systém by mal tieto nešváry (DNS únosy, DNS poisoning, phishing) postupne redukovať.

Prečo tak zložito?

Samotná procedúra podpisovanie trvala niečo okolo šiestich hodín. Prečo nestačí skrátka vygenerovať kľúč a niekam ho schovať? Nie všetkým je totiž príjemné, že by všetko mala mať pod palcom inštitúcie z USA. Preto sa celý proces čo možno najviac otvoril a pozvaní boli zástupcovia internetovej komunity z celého sveta.

Aj vďaka nim mohol vzniknúť silný podpis "koreňovej zóny", a pre prípadného útočníka je tak prakticky nemožné podvrhnout alebo napodobniť DNSSEC podpis, teda vydávať sa za cudzie doménu. Keby ale niekto disponoval celým kľúčom, mohol by teoreticky napodobniť podpis domény. Preto je dôležité, aby neboli kľúče úplne dostupné jednotlivcom, ale pre každú manipuláciu s nimi (aj "len" obnovu zálohy) bolo potrebných minimálne päť zo siedmich spomínaných držiteľov záložných kariet.

Čiech s kľúčom k internetu: net bude bezpečnejšie

Opýtali sme sa Ondreja Surého, vedúceho Laboratórií CZ.NIC, jedného z 21 TCR ("dôveryhodných zástupcov komunity") a držiteľa jednej zo siedmich záložných kariet, na podrobnosti týkajúce DNSSEC a súvisiacich opatrení.


Koľko je celkom tých "dôveryhodných osôb"?

Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pre každú lokalitu (Culpeper, VA a El Segundo, CA), ktorí majú kľúče k bezpečnostnej schránke v trezore.

Čo je to za kľúče na oných kartách, ktoré drží TCR (Vy a šesť ďalších), ak čomu môžu byť tieto kľúče použité?

Držitelia kariet sa volajú RKSH (Recovery Key Share Holder). Na kartách je časť kľúča symetrické šifry, ktorá je používaná na zakódovanie dát vnútri HSM modulu (HSM - Hardware Security Module). Tieto kľúče (minimálne 5 kariet zo 7) môžu byť použité spoločne so zálohou KSK kľúča pre obnovenie prevádzky v ďalšom nezávislom HSM modulu, a to v prípade, že by došlo k zničeniu všetkých štyroch ďalších HSM (HSM, ktorý používa ICANN) v oboch lokalitách ICANN.

V akom prípade by tieto karty mohli byť použité?

V prípade, že by došlo k znefunkčnění všetkých aktívnych HSM modulov (celkom 4).

A k čomu by slúžili?
Spoločne so zálohou KSK kľúča by boli použité na obnovenie regulérneho prevádzky podpise koreňovej zóny.

Prečo bolo zvolené takéto riešenie, ktoré trochu pripomína Pána prsteňov?
Tento postup bol zvolený preto, aby sa zvýšila dôvera v celý proces podpísania koreňovej zóny. Tým, že boli do procesu podpisu koreňovej zóny prizvaní zástupcovia internetovej komunity, bola zabezpečená vyššia kontrola celého procesu podpisu koreňovej zóny.

Čo je tzv pravý KSK kľúč a aký je dôvod jeho existencie?

"Pravý KSK kľúč" je možno trochu zavádzajúce označenie, ktoré bolo zvolené pre odlíšenie od KSK kľúča, ktorý bol používaný v testovacej prevádzke. KSK kľúč je vstupný bod do hierarchie dôvery, ktorú DNSSEC vytvára v DNS stromu. Jeho výmena v prípade kompromitácia je veľmi náročná a preto je potrebné najvyšší stupeň ochrany, ktorý je na úrovni ochrany koreňových certifikátov certifikačných autorít.

Aké sú hlavné zmeny pre bežného užívateľa?

Podpis koreňovej zóny nepredstavuje pre koncového užívateľa žiadnu zmenu. Tento krok má zásadný význam pre bezpečnosť systému doménových mien (DNS), ktorý je takou chrbticou celého internetu.

Naposledy zmenenéštvrtok, 14 jún 2012 23:04
Pre písanie komentárov sa prihláste
návrat hore