Menu
Čo o vás prezradí váš vlastný webový prehliadač? Pozrite sa

Čo o vás prezradí váš vlastný…

To, že o vás prevádzko...

Česká firma dobýva Áziu potom, čo čínsky veľmajster neprekonal jej zámok

Česká firma dobýva Áziu potom, …

Slovenská patentovaná v...

Software zadarmo: oprava Windows či prevod textu do hovoreného slova

Software zadarmo: oprava Windows č…

Osvedčená sada aplikác...

Vyzerá ako z minulého storočia...

Vyzerá ako z minulého storočia..…

 ...a je veľmi drahý. ...

OS na desktope? Vyskúšajte Android Oreo na počítači

OS na desktope? Vyskúšajte Androi…

Mobilný OS na desktope? ...

Zbrane budúcej vojny: elektromagnetickí "ničitelia počítačov"

Zbrane budúcej vojny: elektromagne…

Elektromagnetické pulz...

Čo si odniesol z návodu ISIS pre bezpečnú komunikáciu na internete

Čo si odniesol z návodu ISIS pre …

23. 11. 2015V reakcii na ...

Ktoré frekvencia používajú českí mobilní operátori?

Ktoré frekvencia používajú čes…

Zaujímate sa o konfigu...

NSA chcela zaviesť malware na Google Play a následne sledovať používateľa

NSA chcela zaviesť malware na Goog…

Malware, teda aplikáci...

NSA dokáže odpočúvať telefonáty aj z lietadla

NSA dokáže odpočúvať telefoná…

Pred odpočúvaním úd...

Prev Next
skafsqarhyazeubebgcazh-CNzh-TWhrcsdanlenettlfifrglkadeelhtiwhihuisidgaitjakolvltmkmsmtnofaplptrorusrslesswsvthtrukurvicyyi

Sedem vyvolených dostalo kľúče, ktorými možno nahodiť internet.

Na bezpečnosť celosvetovej siete bude dohliadať sedem vybraných odborníkov, ktorí v tajnom bunkri prevzali "kľúča k internetu". Je medzi nimi aj Čech Ondřej Surý. Nový štandard zabezpečenia má zabezpečiť, aby internet zostal nezávislý, ale napriek tomu dôveryhodný.

 

Začala nová éra internetu. Otec internetu Vinton Cerf označil definitívnu spustení zabezpečených DNS serverov (DNSSEC) za krok významom podobný spustenie WWW siete.

"Chceme dať užívateľom možnosť spoznať, či zdroj, na ktorý pristupujú, je dôveryhodný," zhŕňa Joe Able, riaditeľ DNS Group, dôvod na spustenie novej generácie zabezpečeného DNS. Doteraz totiž bolo až príliš jednoduché vydávať sa na internete za niekoho iného, falšovať adresy a "uniesť" návštevníka stránok do nebezpečných vôd webu (napr. phishing, DNS poisoning apod).

 


Organizácia ICANN, ktorá dohliada na najvyššej doménové priestory, počíta is eventualitou, že bude potreba DNSSEC systém obnoviť z núdzové zálohy, a dáva si záležať na bezpečnostných opatreniach.

Sedem dôveryhodných v bunkri?

Stretnutie v tajnom americkom bunkri. Prehliadka ozbrojenými strážnikmi. Identifikácia podľa očnej dúhovky. Možno to znie ako zo špionážneho filmu, ale presne tieto spojenia sa v spojení so spustením DNSSEC objavila napríklad v serióznych britských denníkoch.

Skutočnosť je podľa Ondreja Surého, ktorý bol priamo na mieste, o poznanie triezvejší. Obe sídla ICANN skrátka dodržiavajú štandardné bezpečnostné predpisy, a tie platili aj pri slávnostných ceremóniách podpisovanie koreňovej zóny.

Celý systém DNSSEC by mal fungovať úplne automaticky, a bežní používatelia si jeho funkcie pravdepodobne ani nevšimnú. Ak by ale došlo k poškodeniu (napríklad v dôsledku živelnej katastrofy či útoku), je možné hlavný kľúč DNSSEC obnoviť.

Sedem "dôveryhodných zástupcov internetovej komunity" (Trusted Community Representatives, presnejšie Recovery Key Share Holders) dostalo čipovej karty, na ktorých sú uložené fragmenty, pomocou ktorých je možné rozšifrovať zálohu KSK kľúče uloženú u ICANN.

Ak sa všetci (alebo aspoň päť zo siedmich) stretnú v USA, môžu spoločne rekonštruovať pôvodný hlavný kľúč (DNSSEC root zone key) a "reštartovať" tak zabezpečenia, či skôr obnoviť normálnu prevádzku. Je tak zabezpečené, aby žiadny jednotlivec ani organizácia nemohla túto obnovu vykonať na vlastnú päsť. Okrem toho nemožno vylúčiť ani rovinu symbolickú - ponúka sa porovnanie s českými korunovačnými klenotmi, ku ktorým má tiež kľúče sedem slovenských ústavných činiteľov.


Kto drží "kľúča k internetu"?

Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Veľká Británia), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)

Českú republiku, respektíve strednú Európu, zastupuje Ondřej Surý, vedúci Laboratórií CZ.NIC, združenia spravujúceho doménu. Sk. CZ.NIC presadzuje štandard DNSSEC už niekoľko rokov, a venuje sa mu pravidelne na svojom blogu.

Standard DNSSEC je teda od podpísania tzv koreňovej zóny pripravený na nasadenie do ostrej prevádzky. Domény, ktoré budú s jeho pomocou zabezpečené, môžu dať svojim návštevníkom istotu, že si prezerajú skutočne požadovaný obsah, a nie obsah podstrčený nejakým podvodným DNS serverom (napríklad falošnými stránkami banky).

Podľa odhadov, ktoré cituje BBC, je až 8% internetového prevádzky nejakým spôsobom podvodného, a práve nový systém by mal tieto nešváry (DNS únosy, DNS poisoning, phishing) postupne redukovať.

Prečo tak zložito?

Samotná procedúra podpisovanie trvala niečo okolo šiestich hodín. Prečo nestačí skrátka vygenerovať kľúč a niekam ho schovať? Nie všetkým je totiž príjemné, že by všetko mala mať pod palcom inštitúcie z USA. Preto sa celý proces čo možno najviac otvoril a pozvaní boli zástupcovia internetovej komunity z celého sveta.

Aj vďaka nim mohol vzniknúť silný podpis "koreňovej zóny", a pre prípadného útočníka je tak prakticky nemožné podvrhnout alebo napodobniť DNSSEC podpis, teda vydávať sa za cudzie doménu. Keby ale niekto disponoval celým kľúčom, mohol by teoreticky napodobniť podpis domény. Preto je dôležité, aby neboli kľúče úplne dostupné jednotlivcom, ale pre každú manipuláciu s nimi (aj "len" obnovu zálohy) bolo potrebných minimálne päť zo siedmich spomínaných držiteľov záložných kariet.

Čiech s kľúčom k internetu: net bude bezpečnejšie

Opýtali sme sa Ondreja Surého, vedúceho Laboratórií CZ.NIC, jedného z 21 TCR ("dôveryhodných zástupcov komunity") a držiteľa jednej zo siedmich záložných kariet, na podrobnosti týkajúce DNSSEC a súvisiacich opatrení.


Koľko je celkom tých "dôveryhodných osôb"?

Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pre každú lokalitu (Culpeper, VA a El Segundo, CA), ktorí majú kľúče k bezpečnostnej schránke v trezore.

Čo je to za kľúče na oných kartách, ktoré drží TCR (Vy a šesť ďalších), ak čomu môžu byť tieto kľúče použité?

Držitelia kariet sa volajú RKSH (Recovery Key Share Holder). Na kartách je časť kľúča symetrické šifry, ktorá je používaná na zakódovanie dát vnútri HSM modulu (HSM - Hardware Security Module). Tieto kľúče (minimálne 5 kariet zo 7) môžu byť použité spoločne so zálohou KSK kľúča pre obnovenie prevádzky v ďalšom nezávislom HSM modulu, a to v prípade, že by došlo k zničeniu všetkých štyroch ďalších HSM (HSM, ktorý používa ICANN) v oboch lokalitách ICANN.

V akom prípade by tieto karty mohli byť použité?

V prípade, že by došlo k znefunkčnění všetkých aktívnych HSM modulov (celkom 4).

A k čomu by slúžili?
Spoločne so zálohou KSK kľúča by boli použité na obnovenie regulérneho prevádzky podpise koreňovej zóny.

Prečo bolo zvolené takéto riešenie, ktoré trochu pripomína Pána prsteňov?
Tento postup bol zvolený preto, aby sa zvýšila dôvera v celý proces podpísania koreňovej zóny. Tým, že boli do procesu podpisu koreňovej zóny prizvaní zástupcovia internetovej komunity, bola zabezpečená vyššia kontrola celého procesu podpisu koreňovej zóny.

Čo je tzv pravý KSK kľúč a aký je dôvod jeho existencie?

"Pravý KSK kľúč" je možno trochu zavádzajúce označenie, ktoré bolo zvolené pre odlíšenie od KSK kľúča, ktorý bol používaný v testovacej prevádzke. KSK kľúč je vstupný bod do hierarchie dôvery, ktorú DNSSEC vytvára v DNS stromu. Jeho výmena v prípade kompromitácia je veľmi náročná a preto je potrebné najvyšší stupeň ochrany, ktorý je na úrovni ochrany koreňových certifikátov certifikačných autorít.

Aké sú hlavné zmeny pre bežného užívateľa?

Podpis koreňovej zóny nepredstavuje pre koncového užívateľa žiadnu zmenu. Tento krok má zásadný význam pre bezpečnosť systému doménových mien (DNS), ktorý je takou chrbticou celého internetu.

Naposledy zmenenéštvrtok, 14 jún 2012 23:04
Pre písanie komentárov sa prihláste
návrat hore