Menu
Mobily za totality niesli značku Tesla. Boli iba pre vyvolených

Mobily za totality niesli značku T…

Mobilné telefóny oslavu...

GENERÁTOR OZÓNU pre čistenie priestoru od hlodavcov, vrátane ich odplašenia

GENERÁTOR OZÓNU pre čistenie pri…

Profesionálny generátor...

Máte záujem doviesť viac tovaru z Činy a využijete pre to lodnú dopravu ?

Máte záujem doviesť viac tovaru …

Dovoz tovaru z Číny - L...

Prečo sa slnečnica otáča za slnkom? Môže za to rast stonky a rozmnožovanie

Prečo sa slnečnica otáča za sln…

Slnečnica sa za slnkom o...

Blockchainový telefón, ktorý sa nedá odpočúvať - XPhone

Blockchainový telefón, ktorý sa …

Spoločnosť Pundi X tvrd...

Ploštice v dome ? Odpudzovače myší, kún, potkanov, mačiek, psov, vtákov, krtov, hrabošov, všetkého sa zbavte

Ploštice v dome ? Odpudzovače my…

Odpudzovače škodcov –...

Čo o vás prezradí váš vlastný webový prehliadač? Pozrite sa

Čo o vás prezradí váš vlastný…

To, že o vás prevádzko...

Česká firma dobýva Áziu potom, čo čínsky veľmajster neprekonal jej zámok

Česká firma dobýva Áziu potom, …

Slovenská patentovaná v...

Software zadarmo: oprava Windows či prevod textu do hovoreného slova

Software zadarmo: oprava Windows č…

Osvedčená sada aplikác...

Vyzerá ako z minulého storočia...

Vyzerá ako z minulého storočia..…

 ...a je veľmi drahý. ...

Prev Next
skafsqarhyazeubebgcazh-CNzh-TWhrcsdanlenettlfifrglkadeelhtiwhihuisidgaitjakolvltmkmsmtnofaplptrorusrslesswsvthtrukurvicyyi

Sedem vyvolených dostalo kľúče, ktorými možno nahodiť internet.

Na bezpečnosť celosvetovej siete bude dohliadať sedem vybraných odborníkov, ktorí v tajnom bunkri prevzali "kľúča k internetu". Je medzi nimi aj Čech Ondřej Surý. Nový štandard zabezpečenia má zabezpečiť, aby internet zostal nezávislý, ale napriek tomu dôveryhodný.

 

Začala nová éra internetu. Otec internetu Vinton Cerf označil definitívnu spustení zabezpečených DNS serverov (DNSSEC) za krok významom podobný spustenie WWW siete.

"Chceme dať užívateľom možnosť spoznať, či zdroj, na ktorý pristupujú, je dôveryhodný," zhŕňa Joe Able, riaditeľ DNS Group, dôvod na spustenie novej generácie zabezpečeného DNS. Doteraz totiž bolo až príliš jednoduché vydávať sa na internete za niekoho iného, falšovať adresy a "uniesť" návštevníka stránok do nebezpečných vôd webu (napr. phishing, DNS poisoning apod).

 


Organizácia ICANN, ktorá dohliada na najvyššej doménové priestory, počíta is eventualitou, že bude potreba DNSSEC systém obnoviť z núdzové zálohy, a dáva si záležať na bezpečnostných opatreniach.

Sedem dôveryhodných v bunkri?

Stretnutie v tajnom americkom bunkri. Prehliadka ozbrojenými strážnikmi. Identifikácia podľa očnej dúhovky. Možno to znie ako zo špionážneho filmu, ale presne tieto spojenia sa v spojení so spustením DNSSEC objavila napríklad v serióznych britských denníkoch.

Skutočnosť je podľa Ondreja Surého, ktorý bol priamo na mieste, o poznanie triezvejší. Obe sídla ICANN skrátka dodržiavajú štandardné bezpečnostné predpisy, a tie platili aj pri slávnostných ceremóniách podpisovanie koreňovej zóny.

Celý systém DNSSEC by mal fungovať úplne automaticky, a bežní používatelia si jeho funkcie pravdepodobne ani nevšimnú. Ak by ale došlo k poškodeniu (napríklad v dôsledku živelnej katastrofy či útoku), je možné hlavný kľúč DNSSEC obnoviť.

Sedem "dôveryhodných zástupcov internetovej komunity" (Trusted Community Representatives, presnejšie Recovery Key Share Holders) dostalo čipovej karty, na ktorých sú uložené fragmenty, pomocou ktorých je možné rozšifrovať zálohu KSK kľúče uloženú u ICANN.

Ak sa všetci (alebo aspoň päť zo siedmich) stretnú v USA, môžu spoločne rekonštruovať pôvodný hlavný kľúč (DNSSEC root zone key) a "reštartovať" tak zabezpečenia, či skôr obnoviť normálnu prevádzku. Je tak zabezpečené, aby žiadny jednotlivec ani organizácia nemohla túto obnovu vykonať na vlastnú päsť. Okrem toho nemožno vylúčiť ani rovinu symbolickú - ponúka sa porovnanie s českými korunovačnými klenotmi, ku ktorým má tiež kľúče sedem slovenských ústavných činiteľov.


Kto drží "kľúča k internetu"?

Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Veľká Británia), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)

Českú republiku, respektíve strednú Európu, zastupuje Ondřej Surý, vedúci Laboratórií CZ.NIC, združenia spravujúceho doménu. Sk. CZ.NIC presadzuje štandard DNSSEC už niekoľko rokov, a venuje sa mu pravidelne na svojom blogu.

Standard DNSSEC je teda od podpísania tzv koreňovej zóny pripravený na nasadenie do ostrej prevádzky. Domény, ktoré budú s jeho pomocou zabezpečené, môžu dať svojim návštevníkom istotu, že si prezerajú skutočne požadovaný obsah, a nie obsah podstrčený nejakým podvodným DNS serverom (napríklad falošnými stránkami banky).

Podľa odhadov, ktoré cituje BBC, je až 8% internetového prevádzky nejakým spôsobom podvodného, a práve nový systém by mal tieto nešváry (DNS únosy, DNS poisoning, phishing) postupne redukovať.

Prečo tak zložito?

Samotná procedúra podpisovanie trvala niečo okolo šiestich hodín. Prečo nestačí skrátka vygenerovať kľúč a niekam ho schovať? Nie všetkým je totiž príjemné, že by všetko mala mať pod palcom inštitúcie z USA. Preto sa celý proces čo možno najviac otvoril a pozvaní boli zástupcovia internetovej komunity z celého sveta.

Aj vďaka nim mohol vzniknúť silný podpis "koreňovej zóny", a pre prípadného útočníka je tak prakticky nemožné podvrhnout alebo napodobniť DNSSEC podpis, teda vydávať sa za cudzie doménu. Keby ale niekto disponoval celým kľúčom, mohol by teoreticky napodobniť podpis domény. Preto je dôležité, aby neboli kľúče úplne dostupné jednotlivcom, ale pre každú manipuláciu s nimi (aj "len" obnovu zálohy) bolo potrebných minimálne päť zo siedmich spomínaných držiteľov záložných kariet.

Čiech s kľúčom k internetu: net bude bezpečnejšie

Opýtali sme sa Ondreja Surého, vedúceho Laboratórií CZ.NIC, jedného z 21 TCR ("dôveryhodných zástupcov komunity") a držiteľa jednej zo siedmich záložných kariet, na podrobnosti týkajúce DNSSEC a súvisiacich opatrení.


Koľko je celkom tých "dôveryhodných osôb"?

Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pre každú lokalitu (Culpeper, VA a El Segundo, CA), ktorí majú kľúče k bezpečnostnej schránke v trezore.

Čo je to za kľúče na oných kartách, ktoré drží TCR (Vy a šesť ďalších), ak čomu môžu byť tieto kľúče použité?

Držitelia kariet sa volajú RKSH (Recovery Key Share Holder). Na kartách je časť kľúča symetrické šifry, ktorá je používaná na zakódovanie dát vnútri HSM modulu (HSM - Hardware Security Module). Tieto kľúče (minimálne 5 kariet zo 7) môžu byť použité spoločne so zálohou KSK kľúča pre obnovenie prevádzky v ďalšom nezávislom HSM modulu, a to v prípade, že by došlo k zničeniu všetkých štyroch ďalších HSM (HSM, ktorý používa ICANN) v oboch lokalitách ICANN.

V akom prípade by tieto karty mohli byť použité?

V prípade, že by došlo k znefunkčnění všetkých aktívnych HSM modulov (celkom 4).

A k čomu by slúžili?
Spoločne so zálohou KSK kľúča by boli použité na obnovenie regulérneho prevádzky podpise koreňovej zóny.

Prečo bolo zvolené takéto riešenie, ktoré trochu pripomína Pána prsteňov?
Tento postup bol zvolený preto, aby sa zvýšila dôvera v celý proces podpísania koreňovej zóny. Tým, že boli do procesu podpisu koreňovej zóny prizvaní zástupcovia internetovej komunity, bola zabezpečená vyššia kontrola celého procesu podpisu koreňovej zóny.

Čo je tzv pravý KSK kľúč a aký je dôvod jeho existencie?

"Pravý KSK kľúč" je možno trochu zavádzajúce označenie, ktoré bolo zvolené pre odlíšenie od KSK kľúča, ktorý bol používaný v testovacej prevádzke. KSK kľúč je vstupný bod do hierarchie dôvery, ktorú DNSSEC vytvára v DNS stromu. Jeho výmena v prípade kompromitácia je veľmi náročná a preto je potrebné najvyšší stupeň ochrany, ktorý je na úrovni ochrany koreňových certifikátov certifikačných autorít.

Aké sú hlavné zmeny pre bežného užívateľa?

Podpis koreňovej zóny nepredstavuje pre koncového užívateľa žiadnu zmenu. Tento krok má zásadný význam pre bezpečnosť systému doménových mien (DNS), ktorý je takou chrbticou celého internetu.

Naposledy zmenenéštvrtok, 14 jún 2012 23:04
Pre písanie komentárov sa prihláste
návrat hore