Skip to main content

Cómo celebraremos la ceremonia de firma de claves en tiempos de COVID-19

Cuatro veces al año, la ICANN reúne a expertos de todo el mundo para llevar a cabo una "ceremonia de firma de claves". Se trata de un evento operativo crítico que es fundamental en nuestras operaciones de mantenimiento de la seguridad del Sistema de Nombres de Dominio (DNS). En vista de la pandemia de COVID-19, con sus consiguientes medidas de confinamiento y restricciones de viajes, el equipo de la IANA estuvo trabajando para encontrar la forma de continuar con estas operaciones de manera exitosa. Esta semana, nuestro trabajo de planificación culminará en una ceremonia de firma de claves especialmente adaptada a la situación actual.

Las ceremonias de firma de claves son eventos operativos especiales en los cuales usamos las claves criptográficas que protegen a la zona raíz del DNS. En estas ceremonias, retiramos la clave para la firma de la llave de la zona raíz (KSK) – una especie de clave maestra que protege al DNS – de su entorno seguro y generamos tres meses de firmas criptográficas que se usarán para firmar diariamente la zona raíz. El procedimiento está diseñado para permitir que un grupo diverso de expertos en seguridad que provienen de la comunidad, a quienes denominamos representantes confiables de la comunidad, accedan a la KSK. Como medida de minimización de riesgo, estos miembros de la comunidad están ubicados en distintas partes del mundo y solo se reúnen en el mismo lugar cuando llevamos a cabo una ceremonia.

La ceremonia de firma de claves se empieza a planificar con seis meses de antelación. En febrero, tomamos conciencia de que el COVID-19 podría afectar la ceremonia programada para el mes de abril. A medida que la organización de la ICANN evaluaba los riesgos para eventos como la reunión ICANN67, nos quedó claro que nuestra capacidad de llevar adelante una ceremonia de firma de claves se podría ver afectada debido a la necesidad de reunir a personas de distintas partes del mundo. La distribución de roles en todo el mundo está pensada para reducir el riesgo total en condiciones operativas normales; sin embargo, la pandemia de COVID-19 implica desafíos importantes para llevar a cabo una ceremonia normal.

Evaluamos múltiples facetas operativas de la ceremonia. ¿Podríamos llevarla a cabo en otro lugar? ¿Podríamos organizar los viajes para minimizar el riesgo de los participantes que tienen que trasladarse? ¿Podríamos posponer la ceremonia hasta que todo vuelva a la normalidad? Analizamos una amplia gama de configuraciones y evaluamos nuestras ideas en distintos foros de la comunidad con quienes participan en las ceremonias, el personal de la organización de la ICANN y nuestros proveedores.

Finalmente, tras obtener la aprobación de la Junta Directiva de la ICANN, tendremos una ceremonia adaptada para minimizar la presencia física de los participantes. Como resultado de este enfoque alternativo, los representantes confiables de la comunidad no estarán físicamente presentes en la ceremonia. En cambio, desempeñarán sus funciones en modalidad remota, al igual que otros participantes que tradicionalmente ejercen sus funciones en persona. En total, solo habrá siete personas físicamente presentes en nuestras instalaciones seguras para llevar a cabo la ceremonia y se tomarán todas las medidas necesarias para minimizar los riesgos relacionados con el COVID-19. Todos los demás participantes desempeñarán sus roles en modalidad remota.

Los elementos seguros que los representantes confiables de la comunidad utilizan en la ceremonia fueron enviados a distintos miembros de la organización de la ICANN en el área de Los Ángeles para su custodia. Realizaremos una ceremonia con total transparencia mediante transmisión por Internet en tiempo real, y los representantes confiables de la comunidad podrán sumarse activamente al procedimiento gracias a la modalidad de participación remota.

Otro cambio importante que estamos implementando es la generación de material firmado por un periodo de nueve meses en lugar del periodo usual de tres meses. De esta manera, no será necesario llevar a cabo una nueva ceremonia por el tiempo restante de 2020. Este material firmado adicional nos permitirá continuar operando con tranquilidad hasta que podamos retomar nuestras condiciones operativas normales en 2021.

Confiamos en que el enfoque que hemos pensado mantiene todas las medidas de protección necesarias para garantizar la plena seguridad de la KSK, a la vez que incorpora las adaptaciones necesarias para evitar que se vean afectadas las funciones esenciales de Internet que todos necesitamos. Si bien lamentamos tener que efectuar estos cambios, para nosotros es primordial preservar el bienestar de los miembros de la comunidad y de nuestro personal. Debemos llevar a cabo la ceremonia en este formato por el bien de todos.

Realizaremos la ceremonia de firma de claves en este nuevo formato en el día de hoy, jueves 23 de abril, a las 17:00 UTC. La ceremonia se transmitirá en tiempo real por Internet y todos están invitados a ver la transmisión. La transmisión en vivo, el guion y los demás materiales de la ceremonia estarán disponibles en https://www.iana.org/dnssec/ceremonies/41.

Si les interesa aprender más sobre este tema, los invitamos a ver una presentación detallada sobre algunos de estos desafíos que dimos recientemente ante la comunidad de RIPE. La grabación y los materiales de la presentación se encuentran disponibles en https://www.ripe.net/participate/ripe/wg/dns/remote-sessions.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."