Si oye hablar de las "llaves de Internet", el tema suele referirse a algo muy concreto: una clave digital que se utiliza para verificar la seguridad del Sistema de Nombres de Dominio (DNS). El concepto de una llave maestra que controla una función tan esencial parece sacado de las novelas de espías. Ha sido el tema de muchas historias, programas de televisión y radio, que se centran en la idea de que siete personas tienen las llaves de Internet. Estos relatos ficticios, y algunos reportajes periodísticos, pueden exagerar su importancia. Exploremos de forma sencilla qué son esas llaves y cómo se gestiona todo.
¿De qué llaves estamos hablando?
El DNS está protegido al más alto nivel mediante un sello de autenticidad, conocido como "clave para la firma de la llave de la zona raíz". A menudo se denomina simplemente "clave para la firma de la llave", "clave raíz", "KSK” raíz o "anclaje de confianza" del DNS. Los ordenadores de todo el mundo pueden verificar si el sistema funciona correctamente examinando si este sello de autenticidad está presente y no ha sido manipulado. Para que el sistema funcione, este sello debe aplicarse cada tres meses a otras claves que se utilizan en las operaciones diarias.
¿Dónde se almacena la clave para la firma de la llave?
La clave para la firma de la llave se almacena en dos instalaciones seguras. Una se encuentra en Los Ángeles, California, y la otra en Culpeper, Virginia. Se trata de dos instalaciones idénticas.
Ambas instalaciones albergan una sala de ceremonias especialmente diseñada en la que se guarda la clave para la firma de la llave. La clave en sí es un archivo informático almacenado en un dispositivo especializado denominado Módulo de Seguridad de Hardware (HSM). Está diseñado para almacenar la llave de forma segura, de forma similar a un disco duro de computadora avanzado con funciones de seguridad adicionales.
¿Qué son las ceremonias de claves?
Cuando la clave para la firma de la llave se aplica a otras claves cada tres meses, debe utilizarse de forma que demuestre que la clave para la firma de la llave no ha sido manipulada y no se utiliza para otros fines. Para ello, se celebra una "ceremonia de claves" pública. En esta ceremonia, expertos de todo el mundo observan cómo se utiliza la clave para la firma de la llave. También examinan cada paso del proceso para asegurarse de que se realiza correctamente. Todo el proceso se graba, se retransmite en directo y es observado por auditores independientes.
¿Quiénes son los expertos que asisten?
Los expertos son especialistas en seguridad de todo el mundo y personal de la organización de la ICANN responsable del funcionamiento diario de la clave para la firma de la llave. La mayoría de los expertos que no forman parte del personal se denominan representantes confiables de la comunidad, dado que su trabajo consiste en representar a la comunidad técnica en general en los procedimientos. Además de estos expertos y otros participantes, suelen asistir miembros de los medios de comunicación y otras personas que pueden dar a conocer las ceremonias de claves.
¿Qué función desempeñan los expertos en la ceremonia?
Cada persona tiene una función diferente. El acceso a la clave para la firma de la llave está diseñado de tal manera que para que funcione es necesario que asistan muchas personas diferentes, para mayor seguridad. Algunas personas pueden acceder a las tarjetas inteligentes que se utilizan para encender el HSM. Otras personas tienen combinaciones para una caja fuerte que almacena el HSM. Otras tienen llaves para entrar en la sala. El acceso a la instalación lo conceden personas que se encuentran completamente fuera de las instalaciones. En total, se necesitan al menos una docena de personas en cada ceremonia para abrir y activar todas las piezas necesarias para utilizar la clave para la firma de la llave de la zona raíz.
¿Cómo son las ceremonias?
Cada ceremonia dura entre tres y ocho horas. Las ceremonias siguen paso a paso una secuencia rigurosa y precisa, y cada paso se sigue y se verifica de forma meticulosa. Esto puede llevar mucho tiempo.
¿Por qué es importante asegurarse de que la llave se gestione correctamente?
La clave para la firma de la llave solo es valiosa si existe la garantía de que no ha sido copiada o duplicada por otras personas. Para ello, hay que demostrar que la clave para la firma de la llave solo se utiliza para el fin que le corresponde en estas ceremonias trimestrales. Si existiera el riesgo de que la clave para la firma de la llave se utilizara de forma no autorizada, no habría garantía de que no hubiera sido duplicada y el sello de autenticidad perdería su utilidad.
¿Cuáles son los principales componentes para mantener la seguridad de la llave?
Hay tres cosas esenciales a tener en cuenta:
- El principio más importante del proceso es preservar la "cadena de custodia". Esto implica almacenar, de forma muy parecida a las pruebas que la policía puede recoger en la escena de un crimen, todos los componentes para utilizar la clave para la firma de la llave de forma que se demuestre que no han sido manipulados para su uso futuro. Mediante el etiquetado y embolsado de todos los componentes en bolsas a prueba de manipulaciones y mediante la grabación en video cada vez que se abre o se mueve cada bolsa, sabemos exactamente dónde ha estado cada pieza desde el momento en que se crea hasta el momento en que ya no se necesita. Si una bolsa se pierde o se abre de forma no autorizada, será algo evidente. Entonces, se considera que el contenido está comprometido y ya no se puede confiar en él.
- El acceso a las instalaciones está controlado por muchas capas de seguridad física. Las bolsas se guardan en cajas fuertes, que se almacenan en jaulas, que se guardan en una sala de ceremonias segura, que se aloja en una instalación de alta seguridad. Cada capa de seguridad requiere el acceso de una o varias personas diferentes. Solo durante una ceremonia de claves se reúnen todas estas personas para acceder a estas bolsas. Además, la instalación cuenta con una serie de sensores para detectar accesos no autorizados que son vigilados las 24 horas del día por guardias armados en el lugar y expertos técnicos a distancia.
- El Módulo de Seguridad de Hardware. Este dispositivo almacena los archivos digitales reales que contienen la clave para la firma de la llave de la zona raíz. Es como un disco duro muy especializado. Tiene protecciones especiales que le permiten autodestruirse si se utiliza de forma no autorizada. Si alguien intenta abrirlo, si alguien lo deja caer o si se sacude, los datos que contiene se destruirán. Si se intenta utilizar sin la presencia de todos los expertos necesarios, tampoco funcionará.
¿Y las "siete llaves de Internet"?
Hay unos cincuenta expertos diferentes que participan directamente en las ceremonias de claves. Veintiuno de ellos son seleccionados entre la comunidad mundial de Internet. Se dividen en tres grupos de siete personas. Cada grupo tiene un propósito diferente. Debido a que necesitamos que personas de estos grupos participen en las ceremonias de claves como parte de la protección de seguridad de la clave para la firma de la llave, a menudo se simplifica a la idea de que hay siete llaves para Internet, o hay siete personas que controlan Internet. Esto, sin embargo, enmascara la verdadera complejidad que implica muchos niveles de controles superpuestos. El diseño completo requiere mucho más que siete personas o siete claves para acceder o utilizar la clave para la firma de la llave de la zona raíz.
¿Es más complicado que esto?
Esta es una descripción simplificada de un tema complejo. La clave para la firma de la llave de la zona raíz se encuentra en la cima de una infraestructura jerárquica de claves públicas que contiene muchas claves diferentes operadas por otras que se interrelacionan. Es importante tener en cuenta que la tecnología de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) que permiten estas claves es tan solo una herramienta de una gran caja de herramientas de tecnologías que agregan seguridad al funcionamiento de Internet.
El documento formal que rige el funcionamiento de todo esto se denomina Declaración de Prácticas de las DNSSEC. Se publica, junto con las imágenes de archivo de las ceremonias de las claves y otras cosas de las que hemos hablado, en https://iana.org/dnssec.
