ar

DNSSEC: تدوير مفتاح توقيع مفتاح منطقة الجذر

22 يوليو 2016
بقلم David Conrad

بالإضافة الى لغات الأمم المتحدة الست، هذا المحتوى متوفر أيضاً باللغات

null

نشرت ICANN اليوم خططها لتحديث أو "تدوير" مفتاح توقيع مفتاح منطقة الجذر (KSK)، مما يعد خطوة هامة أخرى في جهودنا المستمرة الرامية إلى تحسين أمن نظام اسم النطاق (DNS).

تم وضع خطط تدوير KSK بواسطة شركاء إدارة منطقة الجذر: ICANN في دورها بوصفها مشغل IANA، تعمل VeriSign بصفتها المشرف على منطقة الجذر، والإدارة الوطنية الأمريكية للاتصالات والمعلومات (NTIA) التابعة لوزارة التجارة الأمريكية بصفتها مدير منطقة الجذر. تتضمن الخططتوصيات مارس 2016 [PDF، 1.01 ميجابايت] لفريق تصميم انتقال KSK لمنطقة الجذر، بعد البحث والنظرفي التعليق العام بشأن عملية الانتقال المقترحة.

ما المقصود بـ KSK؟

 KSKهو زوج مفاتيح تشفير عام-خاص يلعب دورًا هامًا في امتدادات أمان نظام اسم النطاق، بروتوكول (DNSSEC). يعمل الجزء العام من زوج المفاتيح بمثابة نقطة انطلاق موثوق بها للتحقق من صحة DNSSEC، على غرار كيف تخدم منطقة الجذر كنقطة انطلاق لقرار DNS الجزء الخاص من KSKيستخدم خلال مراسم الجذر KSK للتوقيع على مفاتيح توقيع المنطقة المستخدم بواسطة Verisign لتوقيع DNSSECلمنطقة الجذر.

لماذا الانتقال ل KSK؟

توصي هيئة الصحة العامة والأمن بتغيير كلمات المرور بشكل دوري للحد من الخطر الذي قد تتعرض له كلمات المرور بواسطة هجوم قوي غاشم. كما هو الحال مع كلمات المرور، أبلغنا المجتمع أن مفاتيح التشفير التي تستخدم لتوقيع منطقة الجذر ينبغي أن يتم تغييرها من حين لآخر للمساعدة في الحفاظ على سلامة البنية التحتية التي تعتمد على هذه المفاتيح وضمان اتباع أفضل ممارسات الأمن.

عملية تدوير مفتاح KSK

تتضمن KSK إنشاء زوج مفتاح تشفير جديد سوف يستخدم في عملية التحقق من صحة DNSSEC للتحقق من أن الردود على الأسماء في منطقة الجذر (عادة نطاقات TLD) لم يتم تغييرها عند العبور. إن الانتقال لهذا الزوج الجديد من المفاتيح وتقاعد زوج المفاتيح الحالي هو أيضًا جزء من عملية التدوير. يجب على مزودي خدمة الإنترنت، ومشغلي شبكات المؤسسات وغيرهم الذين يشغلون التحقق من صحة DNSSEC تحديث أنظمتهم بالجزء العام الجديد من KSK المعروف بأنه "مرساة ثقة" الجذر." الفشل في القيام بذلك سوف يعني أن المصادقون على تمكين DNSSEC لن يكونوا قادرين على التحقق من عدم العبث باستجابات DNS، مما يعني أن القائمين على التحقق من صحة DNSSEC سوف يقدمون استجابة خطأ لجميع الاستفسارات.

لأن هذه هي المرة الأولى التي سيتم تغيير زوج مفتاح جذر KSK منذ تم إنشاؤه في عام 2010، لا بد من جهد منسق عبر الكثيرون في مجتمع الإنترنت لضمان أن جميع الأطراف المعنية لديها الجزء العام الجديد لـKSK وتدرك حدث تدوير المفتاح. سوف تقوم ICANN بمناقشة تدوير KSK في مختلف المحافل الفنية واستخدام وسم #KeyRoll لتجميع المحتوى، وتوفير التحديثات، وعنوان الاستفسارات على وسائل الاعلام الاجتماعية. لقد أنشأنا أيضًا صفحة موارد خاصة عبر الإنترنت لإبقاء الناس على اطلاع بأنشطة تدوير المفتاح.

إذا اكتمل تدوير KSK بسلاسة، لن يكون هناك تغييرًا مرئيًا للمستخدم النهائي. ولكن كما هو الحال مع أي تغير على شبكة الإنترنت، هناك فرصة صغيرة أن بعض البرامج أو الأنظمة لن تكون قادرة على التعامل بأمان مع التغييرات. إذا أصبحت التعقيدات على نطاق واسع، قد يقرر شركاء إدارة منطقة الجذر أن تدوير المفة الرئيسية يحتاج إلى عكسه حتى يمكن نقل النظام إلى حالة مستقرة. لقد طورنا خططًا مفصلة من شأنها تمكيننا من التراجع عن تدوير المفتاح في مثل هذه الظروف.

المواعيد

سوف يجري تدوير KSK في ثمان مراحل، والتي من المتوقع أن تستغرق عامين. المرحلة الأولى من المتوقع أن تبدأ في الربع الرابع من عام 2016.

الخطوات التالية

يجب أن يضمن مطوري البرمجيات الذين يدعمون تصديق DNSSEC أن منتجهم يدعم

RFC 5011. إذا كانت منتجاتهم كذلك،سوف يتم تحديث KSK تلقائيًا في الوقت المناسب. للبرنامج الذي لا يتوافق مع RFC 5011 أو البرمجيات التي ليست مهيئة لاستخدامه، يمكن لملف مرساة الثقة الجديد تحديث ذلك تلقائيًا. سيكون هذا الملف متوفرًا هنا ويجب استرجاعه قبل أن يبدأ المحلل وبعد تغيير KSK في مجموعة سجل الموارد (RRset) لمنطقة جذر DNS.

وقد وضعت ICANN اختبارات تشغيلية يمكن لمطوري البرمجيات والعاملين في صحة التحقق الوصول للتقييم سواء كان نظامهم معدًا لتدوير KSK. ويمكنكم الاطلاع على المزيد بشأن هذه الاختبارات هنا [PDF، 519 كيلوبايت].

مع اقتراب تدوير KSK، يمكن لجميع الأطراف المعنية معرفة المزيد والحصول على تحديثات على https://www.icann.org/kskroll. يرجى مشاركة هذه الموارد مع الآخرين وتشجيعهم لمعرفة المزيد عن هذه التغييرات القادمة لـDNS.

Authors

David Conrad

David Conrad