DNSSEC ZSK compromisation (ataque de hombre en el medio)

0

Suponiendo que estoy administrando una zona DNS y opero un servidor de nombres autorizado que está protegido con DNSSEC (configuración dividida de ZSK / KSK).

Cuando la clave de firma de zona (ZSK) alguna vez se vea comprometida, ¿sería suficiente renunciar a la zona con una ZSK recién generada o la KSK también tendría que ser intercambiada (y el registro DS correspondiente se insertará en la zona principal? ) también?

Mi preocupación es que un man-in-the-middle podría usar la ZSK comprometida para generar registros falsos sin que un resolutor pueda detectar esto, si él publica simultáneamente la antigua ZSK en lugar de la uno nuevo. No tengo conocimiento de un mecanismo de revocación para las claves de firma de zona ni parece posible firmar también una "fecha inactiva de la clave ZSK" con la KSK.

¿Me estoy perdiendo algo o, por lo tanto, la compromiso de la ZSK también requiere un intercambio de la KSK? Además, ¿cuáles son las principales ventajas de una configuración dividida ZSK / KSK en este caso?

    
pregunta Simon Fromme 30.06.2016 - 14:27
fuente

1 respuesta

1

El beneficio principal de la división ZSK / KSK es poder cambiar las ZSK muy a menudo, ya que están completamente bajo su control, mientras que para las KSK, si las cambias, debes actualizar el registro DS asociado en tu padre Zona, que no siempre es algo 100% automatizado. Esta es la razón por la que los KSK tienen típicamente 1 o 2 años de validez, donde los ZSK son más como 1 mes.

En su caso, si el ZSK está comprometido, debe eliminarlo inmediatamente de su zona, agregar uno nuevo que firme todo lo demás y asegurarse de que lo firmen sus KSK.

Si sus ZSK están comprometidas porque, por ejemplo, estaba en un HSM y tiene las KSK en el mismo lugar, entonces si está paranoico, debe sospechar que todo puede estar comprometido, lo que significa cambiar todas las llaves en caso de emergencia. , contactando a su zona principal, tratando de pedirle a los principales solucionadores de DNS que vacíen su caché después de su nueva configuración, etc. Por supuesto, lo mismo si fuera una configuración "SoftHSM".

Pero si solo se compromete la ZSK, los solucionadores la detectarán si solía firmar registros porque su KSK ya no firmaría esta ZSK, por lo que se romperá la cadena de confianza de la DNSSEC.

    
respondido por el Patrick Mevzek 28.06.2017 - 21:44
fuente

Lea otras preguntas en las etiquetas