Sedm vyvolených dostalo klíče, kterými lze nahodit internet. Mezi nimi i Čech

Na bezpečnost celosvětové sítě bude dohlížet sedm vybraných odborníků, kteří v tajném bunkru převzali "klíče k internetu". Je mezi nimi i Čech Ondřej Surý. Nový standard zabezpečení má zajistit, aby internet zůstal nezávislý, ale přesto důvěryhodný.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Vstup do chráněné oblasti | foto: Kim Davies

Začala nová éra internetu. Otec internetu Vinton Cerf označil definitivní spuštění zabezpečených DNS serverů (DNSSEC) za krok významem podobný spuštění WWW sítě.

"Chceme dát uživatelům možnost poznat, zda zdroj, na který přistupují, je důvěryhodný," shrnuje Joe Abley, ředitel DNS Group, důvod ke spuštění nové generace zabezpečeného DNS. Dosud totiž bylo až příliš jednoduché vydávat se na internetu za někoho jiného, falšovat adresy a "unést" návštěvníka stránek do nebezpečných vod webu (např. phishing, DNS poisoning apod.).

Organizace ICANN, která dohlíží na nejvyšší doménové prostory, počítá i s eventualitou, že bude potřeba DNSSEC systém obnovit z nouzové zálohy, a dává si záležet na bezpečnostních opatřeních.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - zdroj fotografie

DNS a DNSSEC

DNS je systém pro "překlad" doménového jména na IP adresu příslušného serveru. Kvůli velmi otevřené architektuře může snadno dojít k jeho zneužití.

DNSSEC je bezpečnostní rozšíření DNS, které umožňuje ověřit, zda nedošlo k podvržení záznamů. DNSSEC funguje na principu asymetrické kryptografie, používá soukromou část klíče k vytvoření podpisu a veřejnou část k ověření platnosti podpisu.
(více zde)

Sedm důvěryhodných v bunkru?

Setkání v tajném americkém bunkru. Prohlídka ozbrojenými strážníky. Identifikace podle oční duhovky. Možná to zní jako ze špionážního filmu, ale přesně tato spojení se ve spojení se spuštěním DNSSEC objevila například v seriózních britských denících.

Skutečnost je podle Ondřeje Surého, který byl přímo na místě, o poznání střízlivější. Obě sídla ICANN zkrátka dodržují standardní bezpečnostní předpisy, a ty platily i při slavnostních ceremoniích podepisování kořenové zóny.

Celý systém DNSSEC by měl fungovat zcela automaticky, a běžní uživatelé si jeho funkce pravděpodobně ani nevšimnou. Pokud by ale došlo k poškození (například v důsledku živelné katastrofy či útoku), je možné hlavní klíč DNSSEC obnovit.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - vstup byl přísně střežen (zdroj fotografie)

Sedm "důvěryhodných zástupců internetové komunity" (Trusted Community Representatives, přesněji Recovery Key Share Holders) dostalo čipové karty, na kterých jsou uloženy fragmenty, pomocí nichž je možné rozšifrovat zálohu KSK klíče uloženou u ICANN.

Pokud se všichni (nebo alespoň pět ze sedmi) sejdou v USA, mohou společně rekonstruovat původní hlavní klíč (DNSSEC root zone key) a "restartovat" tak zabezpečení, či spíše obnovit normální provoz. Je tak zabezpečeno, aby žádný jednotlivec ani organizace nemohla tuto obnovu provést na vlastní pěst. Kromě toho nelze vyloučit ani rovinu symbolickou - nabízí se srovnání s českými korunovačními klenoty, ke kterým má také klíče sedm českých ústavních činitelů.

KSK Ceremony - ICANN (Culpeper, Virginia, USA)

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - účastníci při předávání klíčů (zdroj fotografie)

Kdo drží "klíče k internetu"?

Dan Kaminsky (USA), Jiankang Yao (Čína), Paul Kane (Velká Británie), Moussa Guebre (Burkina Faso), Bevil Wooding (Trinidad a Tobago), Ondřej Surý (Česká republika), Norm Ritchie (Kanada)

Českou republiku, respektive střední Evropu, zastupuje Ondřej Surý, vedoucí Laboratoří CZ.NIC, sdružení spravujícího doménu .cz. CZ.NIC prosazuje standard DNSSEC už několik let, a věnuje se mu pravidelně na svém blogu.

Standard DNSSEC je tedy od podepsání tzv. kořenové zóny připraven k nasazení do ostrého provozu. Domény, které budou s jeho pomocí zabezpečeny, mohou dát svým návštěvníkům jistotu, že si prohlížejí skutečně požadovaný obsah, a ne obsah podstrčený nějakým podvodným DNS serverem (například falešnými stránkami banky).

Podle odhadů, které cituje BBC, je až 8 % internetového provozu nějakým způsobem podvodného, a právě nový systém by měl tyto nešvary (DNS únosy, DNS poisoning, phishing) postupně redukovat.

Proč tak složitě?

Samotná procedura podepisování trvala něco kolem šesti hodin. Proč nestačí zkrátka vygenerovat klíč a někam jej schovat? Ne všem je totiž příjemné, že by vše měla mít pod palcem instituce z USA. Proto se celý proces co možná nejvíc otevřel a přizváni byli zástupci internetové komunity z celého světa.

I díky nim mohl vzniknout silný podpis "kořenové zóny", a pro případného útočníka je tak prakticky nemožné podvrhnout či napodobit DNSSEC podpis, tedy vydávat se za cizí doménu. Kdyby ale někdo disponoval celým klíčem, mohl by teoreticky napodobit podpis domény. Proto je důležité, aby nebyly klíče zcela dostupné jednotlivcům, ale pro každou manipulaci s nimi (i "jen" obnovu zálohy) bylo potřeba minimálně pěti ze sedmi zmíněných držitelů záložních karet.

Čech s klíčem k internetu: net bude bezpečnější

Zeptali jsme se Ondřeje Surého, vedoucího Laboratoří CZ.NIC, jednoho z 21 TCR ("důvěryhodných zástupců komunity") a držitele jedné ze sedmi záložních karet, na podrobnosti ohledně DNSSEC a souvisejících opatření.

KSK Ceremony - ICANN (Culpeper, Virginia, USA) - Ondřej Surý při předávání klíče

Ondřej Surý při předávání klíče - (Zdroj fotografie)

Kolik je celkem těch "důvěryhodných osob"?
Celkový počet TCR (Trusted Community Representatives) je 21. Existuje 7 Crypto Officers pro každou lokalitu (Culpeper, VA a El Segundo, CA), kteří mají klíče k bezpečnostní schránce v trezoru.

Co je to za klíče na oněch kartách, které drží TCR (Vy a šest dalších), a k čemu mohou být tyto klíče použity?
Držitelé karet se jmenují RKSH (Recovery Key Share Holder). Na kartách je část klíče symetrické šifry, která je používaná pro zakódování dat uvnitř HSM modulu (HSM - Hardware Security Module). Tyto klíče (minimálně 5 karet ze 7) mohou být použity společně se zálohou KSK klíče pro obnovení provozu v dalším nezávislém HSM modulu, a to v případě, že by došlo ke zničení všech čtyř dalších HSM (HSM, který používá ICANN) v obou lokalitách ICANNu.

V jakém případě by tyto karty mohly být použity?
V případě, že by došlo ke znefunkčnění všech aktivních HSM modulů (celkem 4).

Správce domén prvního řádu

IANA a ICANN

IANA byla instituce zřízená a placená US vládou v rámci rozvoje Internetu, později přešla pod ICANN. Historie se datuje až k počátkům internetu v roce 1972, jméno IANA zaznívá poprvé roku 1990. ICANN vznikl roku 1998 na popud americké vlády (Clintona a později Bushe mladšího), jde o neziskovou společnost dohlížející na různé úkony týkající se Internetu a jeho správy, které dříve přímo nebo zprostředkovaně vykonávala vláda. ICANN má sídlo v Kalifornii.

ICANN = Internet Corporation for Assigned Names and Numbers

IANA = Internet Assigned Numbers Authority

A k čemu by sloužily?
Společně se zálohou KSK klíče by byly použity k obnovení regulérního provozu podpisu kořenové zóny.

Proč bylo zvoleno takovéto řešení, které trochu připomíná Pána prstenů?
Tento postup byl zvolen proto, aby se zvýšila důvěra v celý proces podpisu kořenové zóny. Tím, že byli do procesu podpisu kořenové zóny přizváni zástupci internetové komunity, byla zajištěna vyšší kontrola celého procesu podpisu kořenové zóny.

Co je tzv. pravý KSK klíč a jaký je důvod jeho existence?
"Pravý KSK klíč" je možná trochu zavádějící označení, které bylo zvoleno pro odlišení od KSK klíče, který byl používaný v testovacím provozu. KSK klíč je vstupní bod do hierarchie důvěry, kterou DNSSEC vytváří v DNS stromu. Jeho výměna v případě kompromitace je velmi náročná a proto je zapotřebí nejvyšší stupeň ochrany, který je na úrovni ochrany kořenových certifikátů Certifikačních autorit.

Jaké jsou hlavní změny pro běžného uživatele?
Podpis kořenové zóny nepředstavuje pro koncového uživatele žádnou změnu. Tento krok má zásadní význam pro bezpečnost systému doménových jmen (DNS), který je takovou páteří celého internetu.

Zdroje a odkazy:

Autor:
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 20 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Dočasná raketa se po téměř 70 letech loučí. Nyní startuje naposledy

v diskusi nejsou příspěvky

28. března 2024  15:36

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 20 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 33 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...