Anuncios de la ICANN

Los anuncios de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

La ICANN anuncia su proyecto de reemplazar módulos de seguridad de hardware de la clave para la firma de la llave de la zona raíz en 2015

23 de marzo de 2015

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

En el día de hoy, la Corporación para la Asignación de Nombres y Números en Internet (ICANN) anunció el proyecto para reemplazar módulos de seguridad de hardware de la clave para la firma de la llave de la zona raíz en 2015. A continuación se presentan las generalidades del proyecto junto con información pertinente.

Generalidades del proyecto

Como parte del mantenimiento de la seguridad de la Clave para la firma de la llave de la Zona Raíz (KSK), la ICANN utiliza dispositivos especializados, conocidos como Módulos de Seguridad de Hardware (HSM). Estos HSM almacenan material privado de la clave para la KSK de la zona raíz, y funcionan mediante baterías con una vida útil limitada. Si bien las baterías se encuentran en buen estado y tienen una vida útil esperada de 10 años, la garantía del fabricante cubre los primeros cinco años de funcionamiento. En virtud de obrar con suma cautela, la ICANN contempla reemplazar las unidades existentes en el transcurso de 2015, tras cinco años de funcionamiento.

Antecedentes

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) permiten que el software valide que los datos del Sistema de Nombres de Dominio (DNS) no hayan sido modificados durante su tránsito por Internet. Ello se realiza mediante la incorporación de la criptografía de clave pública a la jerarquía del DNS para formar una cadena de confianza que se origina en la zona raíz.

De conformidad con su función de entidad operadora de las funciones de la IANA, la ICANN es la entidad operadora de la clave para la firma de la llave de la zona raíz que se encarga de generar y almacenar la KSK de la zona raíz en forma segura. La ICANN utiliza los HSM para el almacenamiento de la KSK. Los HSM son cripto-procesadores seguros que administran claves criptográficas y realizan operaciones criptográficas a la vez que proveen protección física del material privado de la clave criptográfica a través de mecanismos de evidencia de acceso no autorizado (tamper evident mechanisms). La ICANN cuenta con dos HSM idénticos para proteger cada una de sus i nstalaciones en las cuales se administra la clave (KMF); una de estas instalaciones se encuentra en la costa este de los Estados Unidos, y la otra en la cosa oeste del mismo país. En caso de que un HSM o una KMF pudiesen tener una falla, estarían disponibles los sistemas redundantes en las otras instalaciones. Además de estas opciones, existen más detalles de procedimientos de recuperación documentados en el Plan de Recupero ante Desastres y Continuidad de Operaciones para la KSK.

Contrariamente a lo que sucede con muchos otros dispositivos electrónicos, la batería de un HSM está integrada a dicha unidad y no puede ser reemplazada en forma aislada. La vida útil de las baterías en estos HSM suele ser de 10 años a partir de su fecha de fabricación, y la garantía del fabricante cubre los primeros cinco años de vida útil a partir de la fecha de primer uso del dispositivo.

Proceso de reemplazo

Los HSM actualmente en funcionamiento fueron usados por primera vez en 2010. En vista de que el periodo de cobertura de la garantía está llegando a su fin, y adoptando un enfoque conservador en relación a la vida útil esperada de la batería, la ICANN tiene la intención de poner en marcha nuevos HSM en el transcurso del año calendario 2015. Los contenidos de los HSM actualmente en funcionamiento serán importados a los nuevos HSM, los cuales pueden desempeñar las mismas funciones que los HSM actualmente en uso. Este proceso se llevará a cabo cada tres meses en las KMF, en eventos conocidos como ceremonias de firma de claves. Se redactarán procedimientos que incluyan la puesta en marcha de los nuevos HSM durante ceremonias de firma de claves programadas en forma regular en el transcurso de 2015.

La ICANN contempla aumentar los cuatro HSM existentes con cuatro HSM adicionales, de manera tal que los HSM funcionen en forma paralela a los HSM que datan de 2010 durante un periodo de transición que garantice la seguridad y disponibilidad de las operaciones de la KSK.

Una vez que las partes pertinentes tengan la certeza de que los nuevos HSM funcionan correctamente, y que no se verá afectada la continuidad de las operaciones de la KSK, se diseñará un método seguro para el desmantelamiento y la destrucción de los módulos existentes, en cumplimiento con las especificaciones más recientes dentro de la industria.

Riesgos principales

A continuación se enumeran los principales riesgos identificados y sus correspondientes medidas de mitigación:

Riesgo:ninguno de los cuatro HSM realiza operaciones criptográficas debido a una falla en su batería, lo cual afecta la continuidad de las operaciones.

Mitigación: actualmente, hay cuatro HSM idénticos, más un soporte adicional que puede ser activado mediante el proceso de recupero ante desastres. El índice de fallas de la batería de un HSM se mitiga fácilmente mediante la redundancia derivada de los otros tres HSM. La batería tiene una vida útil esperada de 10 años, y se ha informado que la batería de cada una de las unidades se encuentra en buen estado. En virtud de que sus fechas de fabricación son cercanas, es posible que se produjera una falla simultánea de todas las baterías en todos los HSM. A los efectos de mantener la continuidad de las operaciones y mitigar el riesgo de que todos los HSM dejen de funcionar, consideramos que es prudente hacer el reemplazo de los HSM en 2015 y utilizar HSM con baterías de diferentes lotes y distintas fechas de fabricación.

Riesgo: los nuevos HSM no funcionan correctamente cuando se los pone en marcha.

Mitigation: la instalación de nuevos HSM contempla la realización de pruebas de aceptación para verificar el funcionamiento de las unidades con antelación a las ceremonias en las cuales se las pondrá en marcha. Tras la puesta en funcionamiento de los HSM, habrá un periodo durante el cual los HSM existentes permanecerán almacenados en instalaciones seguras; ello permitirá contar con más opciones de remediación ante la falla de un nuevo HSM.

Riesgo: todos los nuevos HSM tienen el mismo defecto.

Mitigación: It is possible that if all four HSMs are from the same production batch, they may have common flaws (such as bad battery composition) that would compromise the redundancy in place. To mitigate this risk, ICANN worked with the vendor to ensure the HSM units are comprised of models with different manufacture dates and contain batteries that were built in different production runs.

Preguntas y respuestas frecuentes

Pregunta # 1: ¿Por qué es necesario reemplazar los HSM y no solamente las baterías?

Respuesta 1: si bien se podría reacondicionar a los HSM con nuevas baterías, para efectuar dicho cambio hace falta retornarlos al proveedor. En lugar de reacondicionar las unidades, la ICANN reemplazará los HSM para garantizar que el material de la clave criptográfica no salga de las instalaciones seguras en las cuales se administra la clave (KMF).

Pregunta # 2: ¿De qué manera implica este proyecto un futuro traspaso de la KSK de la raíz?

Respuesta 2: este proyecto difiere del proyecto de reemplazar la KSK de la raíz existente con una nueva KSK de la raíz - lo cual se conoce como "traspaso" (rollover). Las cuestiones de los HSM relativas al traspaso serán consideradas por el Equipo de Diseño del Traspaso de la KSK de la Raíz.

Se considera que separar el proyecto de reemplazo de los HSM del traspaso de la KSK de la raíz permite que el Equipo de Diseño del Traspaso de la KSK de la Raíz cuente con el tiempo para continuar desarrollando su enfoque sin verse afectado por presiones de índole operativa relativas al reemplazo de los HSM.

Pregunta # 3: ¿Qué se tuvo en cuenta al momento de seleccionar los reemplazos de los HSM?

Respuesta 3: la ICANN compró el modelo más reciente de HSM, el AEP Keyper Plus, al mismo proveedor que suministra los HSM actualmente en funcionamiento. Este modelo cumple con el nivel 4 de la certificación de seguridad FIPS 140-2, lo cual constituye un requisito para la KSK de la raíz en el contrato de las funciones de la IANA. Asimismo, este modelo permite importar la KSK de la raíz de los modelos anteriores sin la necesidad de regenerar la KSK de la raíz. Se seleccionó este nuevo modelo de HSM, en lugar del modelo actualmente usado por la ICANN, en virtud de un mayor tiempo de vida útil esperado, durante el cual se contará con soporte por parte del proveedor.

Pregunta # 4: ¿Cuántos representantes confiables de la comunidad se necesitan para reemplazar los HSM?

Respuesta # 4: la ICANN determinó que, como mínimo, se requieren tres representantes confiables de la comunidad para proceder a exportar la KSK de la raíz de los dispositivos actualmente en uso y realizar su importación a los dispositivos nuevos. Para este proceso, no hace falta generar nuevas tarjetas de SO y OP (según su sigla en inglés); por lo tanto, no se requiere la presencia de todos los funcionarios a cargo de operaciones criptográficas. Las credenciales de recupero de clave existentes seguirán en uso una vez que los nuevos HSM entren en funcionamiento.

Acerca de la ICANN

La misión de la ICANN es garantizar una Internet global unificada, estable y segura. Para contactar a otra persona en Internet debe ingresar una dirección en su computadora – un nombre o un número. Esa dirección debe ser única para que las computadoras sepan dónde encontrarlo. La ICANN coordina estos identificadores exclusivos en todo el mundo. Sin esa coordinación no tendríamos una Internet global. La ICANN fue creada en 1998. Es una corporación pública benéfica sin fines de lucro integrada por personas de todo el mundo, dedicadas a mantener la seguridad, estabilidad e interoperabilidad de Internet. Promueve la competencia y desarrolla políticas relacionadas con los identificadores únicos de Internet. La ICANN no controla el contenido en Internet. No puede detener el spam y no tiene nada que ver con el acceso a Internet. Sin embargo, mediante su rol de coordinador del sistema de nombres de Internet, tiene un impacto importante en la expansión y evolución de Internet. Para más información, lo invitamos a visitar: www.icann.org.