A Corporação para Atribuição de Nomes e Números da Internet (ICANN) anunciou hoje o Projeto de Susbtituição de Módulos de Segurança de Hardware 2015 para a Chave de Assinatura da Chave-Raiz. Veja, a seguir, uma visão geral do projeto e informação relacionada.
Visão geral
Como parte da decisão de manter de forma segura a Chave de Assinatura da Chave da Zona-Raiz (Key Signing Key - KSK), a ICANN utiliza dispositivos especializados denominados Módulos de Segurança de Hardware (Hardware Security Modules - HSM). Esses HSMs armazenam o material de senhas privadas para a KSK de Zona-Raiz e funcionam com baterias, que têm uma vida útil limitada. Embora as baterias estejam em boa condição atualmente e tenham uma expectativa de vida útil de 10 anos, o fabricante garante os primeiros cinco anos de funcionamento. Com uma grande margem de cautela, a ICANN está planejando substituir as unidades existentes durante 2015, depois de cinco anos de serviço.
Histórico
As Extensões da Segurança do Sistema de Nomes de Domínio (DNSSEC) fornece uma maneira para o software validar que os dados do Sistema de Nomes de Domínio (DNS) não tenham sido modificados durante o tráfego na Internet. Isto é feito incorporando criptografia das chaves públicas na hierarquia do DNS para formar uma cadeia de confiança que começa na zona-raiz.
De acordo a sua função de Operadora das Funções da IANA, a ICANN é a Operadora da Chave de Assinatura da Chave da Zona-Raiz com a função de gerar e armazenar de maneira segura a KSK da Zona-Raiz. A ICANN utiliza HSMs para guardar KSKs. Os HSMs são cripto-processadores seguros que gerem as chaves criptográficas e realizam operações criptográficas enquanto fornecem proteção física do material de chaves privadas através de mecanismos invioláveis. A ICANN tem dois HSMs duplicados para cada Instalação de Gestão de Chaves da ICANN (KMF): uma instalação na costa leste dos EUA; a outra, na costa oeste do mesmo país. Se um HSM ou KMF falhar, os outros dispositivos redundantes ou localizações ficariam disponíveis para uso. Além dessas opções, há outros detalhes sobre procedimentos para recuperação, que estão documentados no Plano de Recuperação de Desastres e de Continuidade de Negócios de KSKs.
Diferente de muitos outros dispositivos eletrônicos, a bateria para um HSM costuma estar incorporada na unidade e não pode ser substituída individualmente. As baterias nesses HSMs têm uma expectativa de vida de 10 anos a partir da data de fabricação, com cobertura de garantia do fabricante para suporte de cinco anos, a partir da data em que forem utilizadas pela primeira vez.
Processo de substituição
Os HSMs atualmente em produção foram utilizados pela primeira vez em 2010. Com a finalização do período de garantia e como abordagem conservadora quanto ao prazo de vida esperado para a bateria, a ICANN planeja colocar em serviço novos HSMs durante o ano calendário de 2015. Os conteúdos dos HSMs existentes serão importados para os novos HSMs, que podem executar as mesmas funções que o conjunto existente. Esse processo será realizado durante eventos trimestrais nos KMFs, denominados cerimônias de assinatura de chave. As escritas serão inseridas para incluir a ordem de novos HSMs durante cerimônias de assinatura de chave programadas regularmente, em 2015.
A ICANN planeja aumentar os quatro HSMs existentes com mais quatro HSMs de maneira que os novos HSMs sejam colocados em produção paralela com os HSMs 2010 por um período de transição para garantir a segurança e disponibilidade de operações KSK.
Uma vez que as partes correspondentes estiverem confiantes de que os novos HSMs estão funcionando corretamente e de que a continuidade das operações das KSKs não será colocada em risco, vai ser projetado um método seguro de desativar e destruir os módulos existentes, conforme às especificações industriais mais recentes.
Principais riscos
A lista seguinte representa os principais riscos identificados e suas mitigações:
Risco: Todos os quatro HSMs de produção não conseguem fazer operações criptografadas por causa de falha numa bateria e isso impacta na continuidade das operações.
Mitigaçãon: atualmente há quatro HSMs duplicados, além de outros backups que podem ser ativados pelo processo de recuperação de desastres. A taxa de falhas de uma bateria em um único HSM é mitigada facilmente pela redundância resultante dos três outros HSMs. A vida útil esperada da bateria é de aproximadamente 10 anos e cada unidade notificou que a condição de sua bateria era boa. Assim sendo e considerando que as datas de produção eram similares, é possível que as baterias em todos os HSMs falhem aproximadamente no mesmo tempo. Para manter a continuidade do funcionamentoe mitigar o risco de que todos os HSMs deixem de funcionar, consideramos prudente realizar a substituição dos HSMs em 2015 e utilizar HSMs com lotes e datas de produção diferentes das baterias.
Risco: Os novos HSMs de produção não funcionam corretamente quando são ligados pela primeira vez.
Mitigação: como parte da instalação dos novos HSMs, será realizado um teste de aceitação para verificar a função das unidades antes das cerimônias em que elas serão colocadas em produção. Por um tempo, depois dos novos HSMs ser colocados em serviço, os HSMs existentes vão continuar sendo armazenados em instalações seguras permitindo mais opções de remediação caso um novo HSM falhar.
Risco: todos os novos HSMs de produção compartilham um defeito em comum.
Mitigação: é possível que se todos os quatro HSMs pertencerem à mesma batelada de produção, eles tenham defeitos comuns (por exemplo, má composição da bateria) que poderiam colocar em risco a redundância instalada. Para mitigar esse risco, a ICANN trabalhou com o fornecedor para garantir que as unidades de HSM estejam compreendidas de modelos com diferentes datas de manufatura e contenham baterias fabricadas em diferentes ciclos de produção.
Perguntas e respostas
P1: Por qué os HSMs devem ser substituídos e não apenas as baterias?
R1: Embora os HSMs possam ser recondicionados com novas baterias, eles deverão ser devolvidos ao fornecedor para que ele desempenhe esse procedimento. A ICANN vai substituir os HSMs, mais do que recondicionar as unidades, para garantir que o material de chaves criptografadas não saia das seguras Instalações de Gestão de Chaves.
P2: Como esse projeto envolve uma futura renovação da KSK de Raiz?
R2: Este projeto é diferente do processo de substituir a KSK de Raiz existente com uma nova KSK de Raiz (denominada "rollover" ou renovação). Os problemas dos HSM relativos aos rollovers serão considerados pela Equipe de Projetos de Renovação de KSKs de Raiz.
Separar o projeto de substituição de HSMs do rollover de KSK de Raiz é considerado benéfico para dar tempo suficiente à Equipe de Projetos de Renovações para ela desenvolver inteiramente sua abordagem sem ser influenciada por pressões operacionais relacionadas à substituição de HSMs.
P3: Qual consideração foi feita na seleção dos HSMs de substituição?
R3: a ICANN adquiriu o modelo de HSM mais recente, o AEP Keyper Plus, do fornecedor usado para fornecer os HSMs que atualmente estão sendo produzidos. Este modelo cumpre com a certificação de segurança FIPS 140-2 Nível 4, que é um requisito para a KSK de Raiz no contrato das Funções da IANA. Este modelo também permite importar a KSK de Raiz de modelos mais antigos sem necessidade de regenerar a KSK de Raiz. Foi selecionado o modelo mais recente de HSM, em vez do modelo HSM atual, no modelo de produção da ICANN porque a vida útil esperada para suporte do fornecedor é maior.
P4: Quantos representantes fiáveis da comunidade são necessários para substituir os HSMs?
P4: a ICANN determinou que três representantes comunitários fiáveis fosse a quantidade mínima necessária para exportar a KSK de raiz desde dispositivos de produção existentes e para importá-los a novos dispositivos. Este processo não requer que seja gerado um novo jogo de cartões "SO" e "OP" e, portanto, não requer que o conjunto inteiro de Funcionários Criptográficos esteja presente. As credenciais existentes das Partes Interessadas Chave para Recuperação vai continuar funcionando com os novos HSMs.
Sobre a ICANN
A missão da ICANN é garantir uma Internet mundial estável, segura e unificada. Para contatar outra pessoa através da Internet você deve digitar um endereço no seu computador – um nome ou um número. Esse endereço deve ser único para que os computadores saibam onde encontrar-se entre si. A ICANN coordena esses identificadores únicos no mundo inteiro. Sem essa coordenação, não poderíamos ter uma Internet global. A ICANN, lançada em 1998, é uma corporação para o benefício público e sem fins lucrativos, com participantes de todo o mundo, dedicada a manter uma Internet segura, estável e interoperável. Promove a concorrência e elabora políticas sobre os identificadores únicos da Internet. A ICANN não controla conteúdos na Internet. Não pode deter o spam nem trata questões sobre o acesso à Internet. Porém, através de sua função de coordenação do sistema de nomeação da Internet, ela tem uma influência importante na expansão e evolução da Internet. Para mais informações, visite: www.icann.org.