es

El Problema de "Las Siete Llaves"

13 de febrero de 2017

ICANN Board

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

De vez en cuando, se publican artículos sobre "las siete personas que controlan las llaves de Internet". Estos artículos, aunque probablemente estén bien intencionados, son completamente incorrectos. Seamos absolutamente claros: No hay llaves que hagan que Internet funcione (o que no funcione).

Las llamadas "llaves de Internet" sólo se refieren a una función, e incluso en ese caso, sólo pueden utilizarse en circunstancias extremadamente limitadas. Es importante comprender lo que hacen estas llaves para saber porqué no controlan Internet.

Primeramente, se dice que las llaves pertenecen a sólo una parte de Internet: el mecanismo para autenticar los datos en el sistema de nombres de dominio (DNS), llamado DNSSEC. Se basa en una jerarquía de claves criptográficas que comienzan en la raíz del DNS. Las claves criptográficas para la raíz del DNS son administradas por la ICANN.

Estas claves criptográficas se mantienen en dos instalaciones seguras a más de 4.000 kilómetros de distancia y están protegidas con múltiples capas de seguridad física, tales como guardias de edificios, cámaras, celdas monitoreadas y cajas fuertes. La capa más interna de seguridad física es un dispositivo especializado denominado Módulo de Seguridad de Hardware (HSM) que almacena las claves criptográficas reales. Un HSM resiste la manipulación física, por ejemplo, si alguien intenta abrir el dispositivo o incluso lo deja caer, el HSM borra todas las claves que almacena para evitar compromisos. La ICANN mantiene dos HSM en cada instalación.

La clave criptográfica de la zona raíz no se puede utilizar fuera de un HSM. El sistema que ha sido diseñado para operar un HSM requiere la presencia de varias personas. Algunas de estas personas son miembros de la comunidad técnica de todo el mundo, conocidos como Representantes Confiables de la Comunidad, y otros son Personal de la ICANN. Cada persona tiene un rol específico en la activación del HSM, lo cual tiene lugar durante un evento regular que denominamos "ceremonia de la llaves."

Ahora bien, ¿qué sucedería si un evento resulta en un mal funcionamiento de un HSM (por ejemplo, un error catastrófico en el firmware)? Incluso este escenario sumamente improbable requiere de un plan de recuperación, por lo que la ICANN mantiene una copia de seguridad para cada llave de la raíz, de forma altamente encriptada, en una caja fuerte en cada instalación segura. Si algo ocurriera con los cuatro HSM, la ICANN puede comprar un nuevo HSM del mismo fabricante y restaurar las llaves de la raíz utilizando la copia de seguridad. En este escenario, nuestra política de seguridad requiere que los demás Representantes Confiables de la Comunidad estén presentes para restaurar las copias de seguridad que tiene la ICANN.

Aquí es donde muchos de los artículos que hablan de "las llaves de Internet" se equivocan al contar la historia. A cada Representante Confiable de la Comunidad se le da una llave física (algunas son metálicos, otras son tarjetas inteligentes), las cuales se utilizan durante una ceremonia de las llaves. El tipo de llave física depende de su función específica. Algunos Representantes Confiables de la Comunidad son seleccionados como "Funcionarios Criptográficos" que activan los HSM durante las ceremonias de rutina. Otros son elegidos como "Titulares de credenciales de recupero de clave" que activan la copia de seguridad en el escenario de recuperación en caso de desastre. En ambos casos, la llave física que tienen estos representantes sólo se utiliza para activar los materiales que se almacenan dentro de la instalación de seguridad, y que no contienen las claves criptográficas de la zona raíz. Por sí solas y sin tener acceso a las instalaciones seguras de la ICANN, las llaves no se pueden utilizar para acceder a la clave de la zona raíz protegida. Para que eso suceda, los representantes tendrían que estar dentro de la instalación segura y sería necesario abrir la caja de seguridad que contiene las tarjetas inteligentes de respaldo. A menos que todas las múltiples capas de seguridad física fallen, ese escenario sólo puede suceder durante una ceremonia de llaves planificada.

El otro problema con el tema de las llaves es que Internet es mucho más que DNSSEC. Internet se compone de muchos sistemas diferentes y el DNS es apenas uno de ellos. Controlar un aspecto de Internet, como el DNSSEC, no lleva a un control total de otros aspectos.

Por lo tanto, la próxima vez que lea acerca de las "siete personas que controlan las llaves de Internet", sabrá que los representantes confiables de la comunidad prestan un valioso servicio, pero para una operación muy limitada.

ICANN Board