en

O problema com as "Sete Chaves"

13 February 2017

ICANN Board

In addition to the U.N. six languages, this content is also available in

De tempos em tempos, são publicados artigos sobre "as sete pessoas que controlam as chaves para a Internet". Embora a intenção desses artigos seja boa, eles estão totalmente incorretos. Sejamos claros: não existem chaves que fazem a Internet funcionar (ou não funcionar).

As chamadas "chaves da Internet" se relacionam apenas a uma função e, mesmo assim, só podem ser usadas em circunstâncias bastante específicas. É importante saber o que essas chaves fazem para entender por que elas não controlam a Internet.

Antes de mais nada, as chaves de que tanto falam pertencem a apenas uma parte da Internet: o mecanismo para a autenticação de dados no DNS (Domain Name System, Sistema de Nomes de Domínio), chamado DNSSEC. Ele é baseado em uma hierarquia de chaves criptográficas que inicia na raiz do DNS. As chaves criptográficas da raiz do DNS são gerenciadas pela ICANN.

Elas são guardadas em duas instalações seguras que ficam a 4.000 km de distância uma da outra e são protegidas com várias camadas de segurança física, como guardas, câmeras, grades monitoradas e cofres. A camada mais interna de segurança física é um dispositivo especializado chamado de HSM (Hardware Security Module, Módulo de Segurança de Hardware), que armazena as verdadeiras chaves criptográficas. O HSM é resistente a adulterações físicas, por exemplo, se alguém tentar abrir o dispositivo ou deixá-lo cair no chão, o HSM apaga todas as chaves armazenadas nele para evitar que sejam comprometidas. A ICANN mantém dois HSMs em cada instalação.

A chave criptográfica da zona raiz não pode ser usada fora de um HSM. O sistema que foi projetado para operar um HSM exige que muitas pessoas estejam presentes. Algumas dessas pessoas são membros da comunidade técnica do mundo todo, conhecidos como Representantes Confiáveis da Internet, e outras fazem parte da equipe da ICANN. Cada pessoa tem uma função específica na ativação do HSM, que ocorre em um evento regular que chamamos de "cerimônia de chaves".

No entanto, e se algum evento fizesse com que os HSMs ficassem inoperáveis (por exemplo, um bug catastrófico no firmware)? Até mesmo esse cenário extremamente improvável precisa de um plano de recuperação, então, a ICANN mantém um backup para cada chave raiz, com uma criptografia avançada, em um cofre em cada instalação de segurança. Se algo acontecer aos quatro HSMs, a ICANN pode comprar um novo HSM do mesmo fabricante e restaurar as chaves raiz usando o backup. Nesse cenário, nossa política de segurança exige que mais Representantes Confiáveis da Comunidade estejam presentes para restaurar os backups guardados pela ICANN.

É nesse sentido que muitos dos artigos que falam sobre "as chaves da Internet" entendem a história de maneira errada. Cada um dos Representantes Confiáveis da Comunidade tem uma chave física (algumas são metálicas, outras são smart cards) que é usada durante a cerimônia de chaves. O tipo de chave física depende da sua função específica. Alguns dos Representantes Confiáveis da Comunidade são selecionados como as "Autoridades Criptográficas" que ativam os HSMs durante as cerimônias de rotina. Outros são selecionados como os "Acionistas da Chave de Recuperação" que ativam o backup em um cenário de recuperação de desastre. Nos dois casos, as chaves físicas desses representantes são usadas apenas para ativar materiais que estão armazenados na instalação de segurança e não contêm as chaves criptográficas da zona raiz. Por si só e sem ter acesso às instalações de segurança da ICANN, as chaves não podem ser usadas para acessar a chave protegida da raiz. Para que isso ocorresse, todos os representantes teriam que estar dentro da instalação de segurança e o cofre que contém os smart cards de backup teriam que estar abertos. A menos que todas as múltiplas camadas de segurança física falhassem, esse cenário só poderia ocorrer durante uma cerimônia de chaves planejada.

O outro problema com a história das chaves é que a Internet é muito mais do que apenas o DNSSEC. A Internet consiste em muitos sistemas diferentes, e o DNS é apenas um deles. Controlar um aspecto da Internet, como o DNSSEC, não resulta em um controle total dos outros aspectos.

Então, na próxima vez que você ler sobre as "sete pessoas que controlam as chaves da Internet", saberá que os Representantes Confiáveis da Comunidade realizam um serviço valioso, mas para uma operação muito limitada.

ICANN Board