La ICANN publicó hoy planes para actualizar o "traspasar" la clave para la firma de la llave de la zona raíz (KSK), lo que marca otro paso importante en nuestros esfuerzos continuos orientados a mejorar la seguridad del Sistema de Nombres de Dominio (DNS).
Los planes para traspasar la KSK fueron elaborados por los Socios en la Gestión de la Zona Raíz: la ICANN en su rol de Operador de Funciones de la IANA, Verisign en su carácter de entidad encargada del mantenimiento de la Zona Raíz y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de los Estados Unidos como entidad administradora de la Zona Raíz. Los planes incorporan las recomendaciones de marzo de 2016 [PDF, 1.01 MB] del Equipo de Diseño del Traspaso de la KSK de la Raíz, después de solicitar y considerar el comentario público sobre un proceso de traspaso propuesto.
¿Qué es la KSK?
La KSK es un par de claves pública-privada criptográficas que juega un papel importante en el protocolo de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC). La parte pública del par de claves sirve como punto de partida de confianza para la validación de las DNSSEC, similar a la forma en que la zona raíz sirve como punto de partida para la resolución del DNS. La parte privada de la KSK se utiliza durante las ceremonias de KSK de la raíz para firmar las Llaves de la Zona Raíz que utiliza Verisign para firmar la zona raíz con DNSSEC.
¿Por qué se debe traspasar la KSK?
Un buen hábito de seguridad recomienda modificar las contraseñas en forma periódica a fin de reducir el riesgo de que dichas contraseñas puedan verse comprometidas mediante ataques por fuerza bruta. Al igual que con las contraseñas, la comunidad nos informó que las claves criptográficas utilizadas para firmar la zona raíz deberían ser modificadas en forma periódica a fin de ayudar a mantener la integridad de la infraestructura que depende de dichas claves y garantizar que se sigan las mejores prácticas relativas a la seguridad.
El proceso de traspaso de la KSK
El traspaso de la KSK implica crear un nuevo par de claves criptográficas que se utilizará en el proceso de validación de las DNSSEC para verificar que las respuestas a consultas de nombres en la zona raíz (generalmente, TLD) no hayan sido alteradas durante el transporte. La transición a ese nuevo par de claves y el retiro del par de claves actual también forman parte del proceso de traspaso. Los proveedores de servicios de Internet, los operadores de redes empresariales y otros que hayan habilitado la validación por DNSSEC deben actualizar sus sistemas con la nueva parte pública de la KSK, conocida como el "anclaje de confianza" de la raíz. El hecho de no hacerlo implicaría que los validadores activados con DNSSEC no podrán verificar que las respuestas del DNS no hayan sido manipuladas, lo que significa que los resolutores de validación de las DNSSEC devolverán una respuesta de error a todas las consultas.
Debido a que ésta es la primera vez que se modificará el par de claves de KSK de la raíz desde que se generó en el año 2010, se requiere un esfuerzo coordinado entre muchos integrantes de la comunidad de Internet para garantizar con éxito que todas las partes relevantes tengan la nueva parte pública de la KSK y tomen conocimiento del evento de traspaso de clave. La ICANN debatirá el traspaso de la KSK en varios foros técnicos y usará el hashtag #KeyRoll para agregar contenido, brindar actualizaciones y abordar consultas en redes sociales. Asimismo, hemos creado una página de recursos especial en línea para mantener al tanto a las personas sobre las actividades de traspaso de clave.
Si el traspaso de la KSK se lleva a cabo sin inconvenientes, no habrá ningún cambio visible para el usuario final. Pero como sucede con prácticamente todo cambio en Internet, hay una pequeña posibilidad de que algunos elementos de software o sistemas no puedan manejar los cambios de manera correcta. Si las complicaciones se vuelven generalizadas, los Socios en Gestión de la Zona Raíz pueden decidir que el traspaso de la clave deba revertirse para que el sistema pueda volver a una condición estable. Hemos elaborado planes detallados que nos permitirán revertir el traspaso de clave en caso de que eso suceda.
Cronograma
El traspaso de la KSK tendrá lugar en ocho etapas, las cuales durarán aproximadamente dos años. La primera etapa está programada para comenzar en el cuarto trimestre de 2016.
Próximos pasos
Los desarrolladores de software compatibles con la validación de las DNSSEC deben garantizar que su producto sea compatible con la RFC 5011. Si sus productos son compatibles, la KSK se actualizará automáticamente en el momento adecuado. Para el software que no sea compatible con la RFC 5011 o para aquel que no esté configurado para usarla, el nuevo archivo de anclaje de confianza puede actualizarse en forma manual. Este archivo estará disponible aquí y debería recuperarse antes de que el resolutor se inicie y después de que la KSK se modifique en el Conjunto de Registros de Recursos de DNSKEY (RRset) de la zona raíz del DNS.
La ICANN ha desarrollado pruebas operativas a las que desarrolladores de software y operadores de resolutores de validación pueden acceder para evaluar si sus sistemas están preparados para el traspaso de la KSK. Puede obtener más información sobre estas pruebas aquí [PDF, 519 KB].
A medida que se acerca el traspaso de la KSK, todas las partes interesadas pueden obtener más información y actualizaciones en https://www.icann.org/kskroll. Comparta este recurso con otras personas y aliéntelas a conocer sobre estos próximos cambios al DNS.
