Cuatro veces al año, la ICANN reúne a expertos de todo el mundo para llevar a cabo una "ceremonia de firma de claves". Se trata de un evento operativo crítico que es fundamental en nuestras operaciones de mantenimiento de la seguridad del Sistema de Nombres de Dominio (DNS). En vista de la pandemia de COVID-19, con sus consiguientes medidas de confinamiento y restricciones de viajes, el equipo de la IANA estuvo trabajando para encontrar la forma de continuar con estas operaciones de manera exitosa. Esta semana, nuestro trabajo de planificación culminará en una ceremonia de firma de claves especialmente adaptada a la situación actual.
Las ceremonias de firma de claves son eventos operativos especiales en los cuales usamos las claves criptográficas que protegen a la zona raíz del DNS. En estas ceremonias, retiramos la clave para la firma de la llave de la zona raíz (KSK) – una especie de clave maestra que protege al DNS – de su entorno seguro y generamos tres meses de firmas criptográficas que se usarán para firmar diariamente la zona raíz. El procedimiento está diseñado para permitir que un grupo diverso de expertos en seguridad que provienen de la comunidad, a quienes denominamos representantes confiables de la comunidad, accedan a la KSK. Como medida de minimización de riesgo, estos miembros de la comunidad están ubicados en distintas partes del mundo y solo se reúnen en el mismo lugar cuando llevamos a cabo una ceremonia.
La ceremonia de firma de claves se empieza a planificar con seis meses de antelación. En febrero, tomamos conciencia de que el COVID-19 podría afectar la ceremonia programada para el mes de abril. A medida que la organización de la ICANN evaluaba los riesgos para eventos como la reunión ICANN67, nos quedó claro que nuestra capacidad de llevar adelante una ceremonia de firma de claves se podría ver afectada debido a la necesidad de reunir a personas de distintas partes del mundo. La distribución de roles en todo el mundo está pensada para reducir el riesgo total en condiciones operativas normales; sin embargo, la pandemia de COVID-19 implica desafíos importantes para llevar a cabo una ceremonia normal.
Evaluamos múltiples facetas operativas de la ceremonia. ¿Podríamos llevarla a cabo en otro lugar? ¿Podríamos organizar los viajes para minimizar el riesgo de los participantes que tienen que trasladarse? ¿Podríamos posponer la ceremonia hasta que todo vuelva a la normalidad? Analizamos una amplia gama de configuraciones y evaluamos nuestras ideas en distintos foros de la comunidad con quienes participan en las ceremonias, el personal de la organización de la ICANN y nuestros proveedores.
Finalmente, tras obtener la aprobación de la Junta Directiva de la ICANN, tendremos una ceremonia adaptada para minimizar la presencia física de los participantes. Como resultado de este enfoque alternativo, los representantes confiables de la comunidad no estarán físicamente presentes en la ceremonia. En cambio, desempeñarán sus funciones en modalidad remota, al igual que otros participantes que tradicionalmente ejercen sus funciones en persona. En total, solo habrá siete personas físicamente presentes en nuestras instalaciones seguras para llevar a cabo la ceremonia y se tomarán todas las medidas necesarias para minimizar los riesgos relacionados con el COVID-19. Todos los demás participantes desempeñarán sus roles en modalidad remota.
Los elementos seguros que los representantes confiables de la comunidad utilizan en la ceremonia fueron enviados a distintos miembros de la organización de la ICANN en el área de Los Ángeles para su custodia. Realizaremos una ceremonia con total transparencia mediante transmisión por Internet en tiempo real, y los representantes confiables de la comunidad podrán sumarse activamente al procedimiento gracias a la modalidad de participación remota.
Otro cambio importante que estamos implementando es la generación de material firmado por un periodo de nueve meses en lugar del periodo usual de tres meses. De esta manera, no será necesario llevar a cabo una nueva ceremonia por el tiempo restante de 2020. Este material firmado adicional nos permitirá continuar operando con tranquilidad hasta que podamos retomar nuestras condiciones operativas normales en 2021.
Confiamos en que el enfoque que hemos pensado mantiene todas las medidas de protección necesarias para garantizar la plena seguridad de la KSK, a la vez que incorpora las adaptaciones necesarias para evitar que se vean afectadas las funciones esenciales de Internet que todos necesitamos. Si bien lamentamos tener que efectuar estos cambios, para nosotros es primordial preservar el bienestar de los miembros de la comunidad y de nuestro personal. Debemos llevar a cabo la ceremonia en este formato por el bien de todos.
Realizaremos la ceremonia de firma de claves en este nuevo formato en el día de hoy, jueves 23 de abril, a las 17:00 UTC. La ceremonia se transmitirá en tiempo real por Internet y todos están invitados a ver la transmisión. La transmisión en vivo, el guion y los demás materiales de la ceremonia estarán disponibles en https://www.iana.org/dnssec/ceremonies/41.
Si les interesa aprender más sobre este tema, los invitamos a ver una presentación detallada sobre algunos de estos desafíos que dimos recientemente ante la comunidad de RIPE. La grabación y los materiales de la presentación se encuentran disponibles en https://www.ripe.net/participate/ripe/wg/dns/remote-sessions.
