Hoje, a ICANN publicou planos de atualizar ou "revisar" a chave de assinatura de chaves (KSK) da zona raiz, o que marca mais uma etapa significativa em nosso trabalho contínuo para melhorar a segurança do sistema de nomes de domínio (DNS).
Os planos de revisão da KSK foram desenvolvidos pelos parceiros de gerenciamento da zona raiz: a ICANN como operadora das funções da IANA, a Verisign, mantenedora da zona raiz, e a Administração Nacional de Telecomunicações e Informações do Departamento de Comércio dos EUA (NTIA), administradora da zona raiz. Os planos incluem as recomendações de março de 2016 [PDF, 1.01 MB], feitas pela equipe de projeto da revisão da KSK da zona raiz levando em conta os comentários públicos sobre a proposta do processo de revisão.
O que é a KSK?
A KSK consiste em um par de chaves públicas e privadas com uma função importante no protocolo de Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) . A parte pública do par de chaves serve como o ponto inicial de confiança para a validação de DNSSEC, similar a como a zona raiz serve como ponto inicial para a resolução de DNS. A parte privada da KSK é usada durante as cerimônias de KSK da raiz para assinar as chaves de assinatura de zona usadas pela Verisign para assinar a zona raiz de acordo com as DNSSEC.
Por que revisar a KSK?
Para manter a segurança, recomendamos que as senhas sejam alteradas periodicamente, a fim de reduzir o risco de comprometimento em caso de ataques de força bruta. Da mesma forma, a comunidade nos informou que as chaves criptográficas usadas para assinar as zonas raiz devem ser alteradas periodicamente para ajudar a manter a integridade da infraestrutura que depende delas e garantir que as práticas recomendadas de segurança sejam seguidas.
O processo de revisão da KSK
Para revisar a KSK, é necessário criar um novo par de chaves criptográficas que será usado no processo de validação de DNSSEC para verificar que as respostas às consultas de nomes na zona raiz (normalmente TLDs) não foram alteradas em trânsito. A transição para o novo par de chaves e a aposentadoria do par de chaves atual também fazem parte do processo de revisão. Os provedores de serviços de Internet, operadores de redes corporativas e outros que tenham habilitado a validação de DNSSEC devem atualizar seus sistemas com a nova parte pública da KSK, conhecida como a "âncora de confiança" da raiz. Se isso não for feito, os validadores habilitados por DNSSEC não poderão verificar se as respostas de DNS não foram alteradas, o que significa que os resolvedores que validam DNSSEC fornecerão uma resposta de erro a todas as consultas.
Como essa é a primeira vez que o par de chaves KSK será alterado desde que foi gerado em 2010, é necessário um trabalho coordenado entre toda a comunidade da Internet para garantir que todas as partes relevantes tenham a nova parte pública da KSK e que estejam cientes da revisão. A ICANN falará sobre a nova revisão de KSK em vários fóruns técnicos e usará a hashtag #KeyRoll para agregar conteúdo, fazer atualizações e resolver consultas em redes sociais. Também criamos uma página de recursos especial online para manter as pessoas atualizadas sobre as principais atividades da revisão.
Se a revisão da KSK for concluída com sucesso, não haverá alterações visíveis para o usuário final. Mas como qualquer alteração na Internet, há uma pequena chance de que algum software ou sistema não consiga lidar bem com as mudanças. Se as complicações se espalharem, os parceiros de gerenciamento da zona raiz podem determinar que a revisão de chaves precisa ser revertida para que o sistema volte ao estado estável. Desenvolvemos um plano detalhado que permitirá voltar atrás caso isso aconteça.
Prazos
A revisão de KSK será realizada em oito fases, que devem levar aproximadamente dois anos. A primeira fase está programada para começar no quarto trimestre de 2016.
Próximas etapas
Os desenvolvedores de software que dão suporte à validação de DNSSEC devem garantir que seus produtos sejam compatíveis com a
RFC 5011. Nesse caso, a KSK será atualizada automaticamente no momento apropriado. Para softwares que não estejam em conformidade com a RFC 5011 ou que não sejam configurados para usá-la, o novo arquivo "âncora de confiança" pode ser atualizado manualmente. Esse arquivo estará disponível aqui e deverá ser recuperado antes que o resolvedor seja iniciado e depois que a KSK seja alterada no conjunto de registros de recursos DNSKEY (RRset) da zona raiz do DNS.
A ICANN desenvolveu testes operacionais que podem ser acessados pelos desenvolvedores de software e operadores de resolvedores de validação para avaliar se seus sistemas estão preparados para a revisão de KSK. Para saber mais sobre esses testes, acesse esta página [PDF, 519 KB].
Com a aproximação da KSK, todas as partes interessadas podem buscar mais informações e receber atualizações em https://www.icann.org/kskroll. Compartilhe esse recurso com mais pessoas e recomende que elas se informem mais sobre essas alterações no DNS.
