Sedm vyvolených dostalo klíče, kterými lze nahodit internet. Mezi nimi i Čech

Na bezpečnost celosvětové sítě bude dohlížet sedm vybraných odborníků, kteří v tajném bunkru převzali "klíče k internetu". Je mezi nimi i Čech Ondřej Surý. Nový standard zabezpečení má zajistit, aby internet zůstal nezávislý, ale přesto důvěryhodný.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Vstup do chráněné oblasti | foto: Kim Davies

Začala nová éra internetu. Otec internetu Vinton Cerf označil definitivní spuštění zabezpečených DNS serverů (DNSSEC) za krok významem podobný spuštění WWW sítě.

"Chceme dát uživatelům možnost poznat, zda zdroj, na který přistupují, je důvěryhodný," shrnuje Joe Abley, ředitel DNS Group, důvod ke spuštění nové generace zabezpečeného DNS. Dosud totiž bylo až příliš jednoduché vydávat se na internetu za někoho jiného, falšovat adresy a "unést" návštěvníka stránek do nebezpečných vod webu (např. phishing, DNS poisoning apod.).

Organizace ICANN, která dohlíží na nejvyšší doménové prostory, počítá i s eventualitou, že bude potřeba DNSSEC systém obnovit z nouzové zálohy, a dává si záležet na bezpečnostních opatřeních.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - zdroj fotografie

DNS a DNSSEC

DNS je systém pro "překlad" doménového jména na IP adresu příslušného serveru. Kvůli velmi otevřené architektuře může snadno dojít k jeho zneužití.

DNSSEC je bezpečnostní rozšíření DNS, které umožňuje ověřit, zda nedošlo k podvržení záznamů. DNSSEC funguje na principu asymetrické kryptografie, používá soukromou část klíče k vytvoření podpisu a veřejnou část k ověření platnosti podpisu.
(více zde)

Sedm důvěryhodných v bunkru?

Setkání v tajném americkém bunkru. Prohlídka ozbrojenými strážníky. Identifikace podle oční duhovky. Možná to zní jako ze špionážního filmu, ale přesně tato spojení se ve spojení se spuštěním DNSSEC objevila například v seriózních britských denících.

Skutečnost je podle Ondřeje Surého, který byl přímo na místě, o poznání střízlivější. Obě sídla ICANN zkrátka dodržují standardní bezpečnostní předpisy, a ty platily i při slavnostních ceremoniích podepisování kořenové zóny.

Celý systém DNSSEC by měl fungovat zcela automaticky, a běžní uživatelé si jeho funkce pravděpodobně ani nevšimnou. Pokud by ale došlo k poškození (například v důsledku živelné katastrofy či útoku), je možné hlavní klíč DNSSEC obnovit.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - vstup byl přísně střežen (zdroj fotografie)

Sedm "důvěryhodných zástupců internetové komunity" (Trusted Community Representatives, přesněji Recovery Key Share Holders) dostalo čipové karty, na kterých jsou uloženy fragmenty, pomocí nichž je možné rozšifrovat zálohu KSK klíče uloženou u ICANN.

Pokud se všichni (nebo alespoň pět ze sedmi) sejdou v USA, mohou společně rekonstruovat původní hlavní klíč (DNSSEC root zone key) a "restartovat" tak zabezpečení, či spíše obnovit normální provoz. Je tak zabezpečeno, aby žádný jednotlivec ani organizace nemohla tuto obnovu provést na vlastní pěst. Kromě toho nelze vyloučit ani rovinu symbolickou - nabízí se srovnání s českými korunovačními klenoty, ke kterým má také klíče sedm českých ústavních činitelů.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - účastníci při předávání klíčů (zdroj fotografie)

Kdo drží "klíče k internetu"?

Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Velká Británie), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)

Českou republiku, respektive střední Evropu, zastupuje Ondřej Surý, vedoucí Laboratoří CZ.NIC, sdružení spravujícího doménu .cz. CZ.NIC prosazuje standard DNSSEC už několik let, a věnuje se mu pravidelně na svém blogu.

Standard DNSSEC je tedy od podepsání tzv. kořenové zóny připraven k nasazení do ostrého provozu. Domény, které budou s jeho pomocí zabezpečeny, mohou dát svým návštěvníkům jistotu, že si prohlížejí skutečně požadovaný obsah, a ne obsah podstrčený nějakým podvodným DNS serverem (například falešnými stránkami banky).

Podle odhadů, které cituje BBC, je až 8 % internetového provozu nějakým způsobem podvodného, a právě nový systém by měl tyto nešvary (DNS únosy, DNS poisoning, phishing) postupně redukovat.

Proč tak složitě?

Samotná procedura podepisování trvala něco kolem šesti hodin. Proč nestačí zkrátka vygenerovat klíč a někam jej schovat? Ne všem je totiž příjemné, že by vše měla mít pod palcem instituce z USA. Proto se celý proces co možná nejvíc otevřel a přizváni byli zástupci internetové komunity z celého světa.

I díky nim mohl vzniknout silný podpis "kořenové zóny", a pro případného útočníka je tak prakticky nemožné podvrhnout či napodobit DNSSEC podpis, tedy vydávat se za cizí doménu. Kdyby ale někdo disponoval celým klíčem, mohl by teoreticky napodobit podpis domény. Proto je důležité, aby nebyly klíče zcela dostupné jednotlivcům, ale pro každou manipulaci s nimi (i "jen" obnovu zálohy) bylo potřeba minimálně pěti ze sedmi zmíněných držitelů záložních karet.

Čech s klíčem k internetu: net bude bezpečnější

Zeptali jsme se Ondřeje Surého, vedoucího Laboratoří CZ.NIC, jednoho z 21 TCR ("důvěryhodných zástupců komunity") a držitele jedné ze sedmi záložních karet, na podrobnosti ohledně DNSSEC a souvisejících opatření.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Ondřej Surý při předávání klíče

Ondřej Surý při předávání klíče - (Zdroj fotografie)

Kolik je celkem těch "důvěryhodných osob"?
Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pro každou lokalitu (Culpeper, VA a El Segundo, CA), kteří mají klíče k bezpečnostní schránce v trezoru.

Co je to za klíče na oněch kartách, které drží TCR (Vy a šest dalších), a k čemu mohou být tyto klíče použity?
Držitelé karet se jmenují RKSH (Recovery Key Share Holder). Na kartách je část klíče symetrické šifry, která je používaná pro zakódování dat uvnitř HSM modulu (HSM - Hardware Security Module). Tyto klíče (minimálně 5 karet ze 7) mohou být použity společně se zálohou KSK klíče pro obnovení provozu v dalším nezávislém HSM modulu, a to v případě, že by došlo ke zničení všech čtyř dalších HSM (HSM, který používá ICANN) v obou lokalitách ICANNu.

V jakém případě by tyto karty mohly být použity?
V případě, že by došlo ke znefunkčnění všech aktivních HSM modulů (celkem 4).

Správce domén prvního řádu

IANA a ICANN

IANA byla instituce zřízená a placená US vládou v rámci rozvoje Internetu, později přešla pod ICANN. Historie se datuje až k počátkům internetu v roce 1972, jméno IANA zaznívá poprvé roku 1990. ICANN vznikl roku 1998 na popud americké vlády (Clintona a později Bushe mladšího), jde o neziskovou společnost dohlížející na různé úkony týkající se Internetu a jeho správy, které dříve přímo nebo zprostředkovaně vykonávala vláda. ICANN má sídlo v Kalifornii.

ICANN = Internet Corporation for Assigned Names and Numbers

IANA = Internet Assigned Numbers Authority

A k čemu by sloužily?
Společně se zálohou KSK klíče by byly použity k obnovení regulérního provozu podpisu kořenové zóny.

Proč bylo zvoleno takovéto řešení, které trochu připomíná Pána prstenů?
Tento postup byl zvolen proto, aby se zvýšila důvěra v celý proces podpisu kořenové zóny. Tím, že byli do procesu podpisu kořenové zóny přizváni zástupci internetové komunity, byla zajištěna vyšší kontrola celého procesu podpisu kořenové zóny.

Co je tzv. pravý KSK klíč a jaký je důvod jeho existence?
"Pravý KSK klíč" je možná trochu zavádějící označení, které bylo zvoleno pro odlišení od KSK klíče, který byl používaný v testovacím provozu. KSK klíč je vstupní bod do hierarchie důvěry, kterou DNSSEC vytváří v DNS stromu. Jeho výměna v případě kompromitace je velmi náročná a proto je zapotřebí nejvyšší stupeň ochrany, který je na úrovni ochrany kořenových certifikátů Certifikačních autorit.

Jaké jsou hlavní změny pro běžného uživatele?
Podpis kořenové zóny nepředstavuje pro koncového uživatele žádnou změnu. Tento krok má zásadní význam pro bezpečnost systému doménových jmen (DNS), který je takovou páteří celého internetu.

Zdroje a odkazy:

Autor:
  • Nejčtenější

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

v diskusi je 110 příspěvků

14. března 2024

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí...

Nejsilnější raketa úspěšně prošla prvním testovacím letem do vesmíru

v diskusi je 138 příspěvků

14. března 2024  12:12,  aktualizováno  15:31

Společnost SpaceX poprvé dostala svůj Starship do vesmírného prostoru. Po dvou předchozích...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Svět uznal nároky Beneše. Československo vyhrálo spor s Polskem o Javorinu

v diskusi je 42 příspěvků

12. března 2024

Před 100 lety se Československo dočkalo mezinárodního uznání ve sporu s Polskem o Javorinu....

Tato novinka ve vyhledávání Googlu lidi pěkně vytáčí. Máme řešení

v diskusi je 153 příspěvků

12. března 2024  10:45

Jedna z novinek, kterou přineslo evropské Nařízení o digitálních trzích, je změna v tom, jak Google...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Polopás není polovičaté řešení. Třetí říše byla mistrem v oboru

v diskusi je 9 příspěvků

18. března 2024

Druhá světová válka byla zlatým věkem polopásových vozidel. Vyráběli je především Němci a...

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Kuličková myš, VHS a další technologické skvosty nedávné minulosti

v diskusi je 12 příspěvků

19. března 2024

S některými bylo možné se běžně setkat ještě před deseti lety, jiné je možné koupit a používat...

Od Amazonu po Voyo. Velký test streamovacích služeb našel obří rozdíly

v diskusi je 22 příspěvků

19. března 2024

Premium V jedné můžete vybírat z dvou set filmů a seriálů, ve druhé z osmi tisíc. V jedné je speciální...

Zemřel astronaut Stafford, který si ve vesmíru „podal“ ruku s Leonovem

v diskusi nejsou příspěvky

18. března 2024  19:10

Ve věku 93 let po dlouhé nemoci zemřel někdejší astronaut Thomas Stafford, který byl zapojený do...

Apple přidá do svých zařízení generativní AI, využije k tomu Google

v diskusi nejsou příspěvky

18. března 2024  13:34

Apple jako jedna z mála technologických společností nezachytil příchod vlny generativní umělé...

Nutný výchovný pohlavek, souhlasí Bouček i Havlová s přerušením projevu na Lvu

Moderátor Libor Bouček ostře zareagoval na kauzu ohledně délky proslovu režisérky Darji Kaščejevové na předávání cen...

Švábi, vši a nevychované děti. Výměna manželek skončila už po pěti dnech

Nová Výměna manželek trvala jen pět dní, přesto přinesla spoustu vyhrocených situací. Martina ze Znojma se pokoušela...

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí HDD. Ve třech...

Chtěli, abych se vyspala s Baldwinem kvůli jeho výkonu, říká Sharon Stone

Herečka Sharon Stone (66) jmenovala producenta, který jí řekl, aby se vyspala s hercem Williamem Baldwinem (61). Měla...

Byla to láska na první pohled, říká hvězda Gilmorek o manželství s modelkou

Milo Ventimiglia (46), představitel Jesse ze seriálu Gilmorova děvčata nebo Jacka Pearsona ze seriálu Tohle jsme my, je...