ICANN 今日公布了有关更新或“滚动”根区密钥签名密钥 (KSK) 的计划,其中重点指出另一项后续工作中的关键举措,以期进一步提升域名系统 (DNS) 的安全性。
KSK 滚动计划由以下根区管理合作方制定:IANA 职能运营商 — ICANN、根区维护方 — Verisign,以及根区管理方 — 美国商务部下属国家电信和信息管理局 (NTIA)。上述计划包含根区 KSK 滚动设计团队按拟议滚动流程征询公众意见并加以考量后,于 2016 年 3 月提供的建议。[PDF, 1.01 MB]
KSK 是什么?
KSK 是用于加密的公私密钥对,在域名系统安全扩展 (DNSSEC) 协议中起着重要作用。密钥对的公钥部分用作 DNSSEC 验证的可信起点,起效方式类似于用作 DNS 解析起点的根区。KSK 的私钥部分在根区 KSK 仪式期间用于签署根区签名密钥,Verisign 用该密钥通过 DNSSEC 签署根区。
为何要滚动 KSK?
为使安全机制行之有效,建议定期更改密码,以降低通过暴力攻击破解密码的风险。除上述有关密码的建议之外,社群还建议应定期更改用于签署根区的加密密钥,以确保有赖于这些密码的基础架构的完整性及对最佳安全策略的遵循。
KSK 滚动流程
滚动 KSK 包括创建将用于 DNSSEC 验证流程的新加密密钥对,以验证对根区名称(通常是 TLD)查询请求的响应未在传输过程中被篡改。此外,转换至上述新密钥对并注销当前的密钥对也是滚动流程的一部分。互联网服务提供商、企业网络运营商及已启用 DNSSEC 验证的其他各方必须用称为根区“信任锚”的 KSK 新公钥部分更新其现有系统。若未能更新系统,即意味着启用 DNSSEC 的验证方将无法验证 DNS 响应是否未被篡改,换言之即 DNSSEC 验证解析器将对所有查询返回错误响应。
鉴于此为自 2010 年根区 KSK 密钥对生成以来,首次对其进行更改,故要求互联网社群中开展广泛合作,以确保所有相关方均可成功获取 KSK 的新公钥部分并知悉密钥滚动活动。ICANN 将在多个技术论坛讨论 KSK 滚动事宜,并使用话题标签 #KeyRoll 来聚合内容、提供更新及处理有关社交媒体的询问。同时,我们也创建了专用在线资源页面,确保公众能够获悉有关重要滚动活动的最新信息。
如果 KSK 滚动顺利完成,所作更改将不会对最终用户公开。不过,几乎与任何通过互联网作出的更改类似,某些软件或系统无法有效处理此类更改的可能性仍然存在,虽然很小。如因复杂性问题造成广泛影响,根区管理合作方可决定是否需撤销密钥滚动,以使系统能够恢复稳定状态。我们已制定了详尽的计划,以便在此等情况下撤销密钥滚动决策。
时间安排
KSK 滚动将分 8 个阶段实施,预计耗时 2 年。第一个阶段定于 2016 年第四季度开始。
后续步骤
支持 DNSSEC 验证的软件开发商应确保其产品可提供相应支持 RFC 5011。如果其产品确可提供支持,则 KSK 将在适当时间自动更新。对于不合 RFC 5011 要求或未配置使用 RFC 5011 的软件,可通过手动方式对新信任锚文件进行更新。此文件可通过 此处 此文件可通过此处获取;如需检索此文件,则应在解析器启动前、KSK 在 DNS 根区的 DNSKEY 资源记录集 (RRset) 中更改后进行。
ICANN 已开发出一系列的运营测试,验证解析器的软件开发商和运营商可通过这些测试来评估其系统是否可即刻适用于 KSK 滚动。通过 此处可了解有关上述测试的更多信息。 [PDF, 519 KB]
随着 KSK 滚动日益临近,所有利益相关方均可通过 https://www.icann.org/kskroll 了解更多最新信息。请与他人分享此资源,并鼓励他们了解即将对 DNS 作出的更改。
