旋转加密密钥是一种安全最佳实践,因此ICANN已开始更改基于DNS安全性的根密钥对的过程是好消息。虽然错误的可能性很小,但事实仍然是改变根关键对从未完成过的。错误可能潜在 - 暂时 - 打破互联网。
没有压力,ICANN。
作为互联网的电话簿,DNS将易于记忆的域名转换为IP地址,以便用户不必记住数字字符串以便访问Web应用程序和服务。但是,攻击者可以通过DNS缓存中毒或DNS欺骗来劫持合法的DNS请求将用户转移到欺诈网站。
DNSSEC通过使用加密密钥对来解决问题,以验证并验证DNS查找的结果,以防止这些中间人攻击。如果DNS响应已被篡改并且键不匹配,则浏览器返回错误,而不是将用户指向错误的目标。
“ICANN计划滚动或更改DNSSEC协议中使用的”顶部“对密码,通常称为根ZON ksk。这将是第一次在2010年最初生成的KSK已更改,“Icann今年早些时候说。
DNSSEC目前依赖于2010年生成的原始1,024位RSA密钥,而是为其根键键生成。六年是长时间继续使用相同的签名密钥,无论它如何才能储存和保护。由于1,024位RSA键不再被认为是现代网络,因此景观也发生了变化。随着计算能力的增加,有人破裂的机会裂开1,024位键增加。它是关于The Time The Root Ada键签名键已更新到更强的2,048位密钥。
“如果钥匙是旧的,它是可以被破解的。你不希望等到发生了这种情况才重置密钥,”互联网安全先驱保罗·维谢说,他目前是华远安全公司的首席执行官和创始人。他说,这种转换是“良好的密码卫生”。
更改签名密钥并不意味着存在妥协。这是一种先发制人的措施,以确保如果钥匙落入坏人之手,系统仍然是安全的,因为每个人都换了一个更新,更强的钥匙。
“我们正在以一种前所未有的方式使用该软件,”Vixie说,并指出,最好在没有危机的时候进行延期,而不是因为妥协和整个DNS的安全受到威胁而仓促行事。
从上到下
DNSSec作为一个层次结构工作,不同的机构负责每一层,并为下一层实体的密钥签名。单个域所有者从顶级域的操作符处获得密钥签名。例如,拥有。com域的所有者从管理。com顶级域的VeriSign获得公钥。每个层次都有一个最顶层,对于DNS,这是DNS根区域,必须有人管理最终密钥。根区域密钥签名密钥由ICANN与其他12个合作伙伴共同管理。
最终,此翻转是一个非常敏感的过程,因为密钥签名键是主键。
"DNSSec works by forming a chain of trust between the root (i.e., the aforementioned trust anchor) and a leaf node. If every node between the root and the leaf is properly signed, the leaf data is validated. However, as is generally the case with digital (and even physical) security, the chain is only as strong as its weakest link,"VeriSign在最近的博客帖子中说概述其更新区域签名密钥的计划。
ICANN和来自全球技术社区的志愿者们花了过去五年的时间制定了一个多步骤的更新计划。计划在本月进行的第一步是生成新的密钥签名密钥,然后分发它,以便isp、企业网络运营商、硬件制造商和其他执行DNSSec验证的机构可以使用密钥对的公共部分更新它们的系统。密钥对将在美国的一个超安全密钥管理设施中生成,ICANN将安全地存储密钥的私有一半。雷竞技比分
关键对的公众一半将广泛分布到依赖于DNSSEC的所有服务器和设备。2017年2月将在互联网分配的号码托管机构网站上提供新的关键签名密钥,它将在2017年7月11日首次出现在DNS中。如果系统未使用新的公钥更新,DNS最终会休息,用户将无法访问互联网的部分。要确保运营商有充足的时间更新其系统,新密钥将不会用于签署域,直到2017年10月。
DNSSec将同时支持旧密钥签名密钥和新生成的密钥,直到2018年1月,届时旧密钥将被取消。旧钥匙的安全销毁定于2018年3月进行。
“把两个密钥放在一起可以让ICANN解决任何问题,”Vixie说,并指出他预计不会有任何问题。“相关团队对此进行了仔细考虑。”
传播这个词
转换过程中最困难的部分是向与DNSSec有关的开发人员、管理员和操作人员发出通知,让他们准备好手动处理更新。大多数组织都一直在监视即将发生的更改,而且大多数系统都配置为一旦新密钥可用就获得它。然而,老的硬件总是存在没有积极维护和不能及时收到新公钥的风险,这可能会影响依赖该设备的用户。
ICANN管理13个DNS根服务器群集中的一个,因此可以检测到新键是否存在与DNSSEC的配置问题有任何问题。
虽然在2010年引入了DNSSec,但它的应用一直很缓慢,专家们对它的有效性存在分歧。尽管如此,Vixie指出,网络攻击仍在稳步增长,特别是近年来基于dns的攻击有所增加。
值得注意的是,ICANN并没有疏忽,没有提前更改密钥签名密钥。当DNSSec最初被引入时,双方达成的协议是每五年进行一次展期。维谢说,参与决策的利益相关者选择了这个时间跨度,因为他们觉得延期不应该太仓促。这次之后的下一次延期预计将在2022年。
DNSSEC的作业不是加密网站上的数据或在运输过程中,但是为了确保用户最终可以在他们期望访问的网站上。ICANN及其合作伙伴根区管理员确保Internet用户将继续能够依赖可预见的未来的DNS。
这篇文章《ICANN将生成新的DNSSec密钥》最初发表于infoworld. .