¿Por qué DNSSEC tiene una ceremonia de firma de claves ridícula?

5

Cada tres meses, 7 personas vuelan a un edificio de servidores de ICANN seguro y realizan una ceremonia elaborada para generar una nueva clave de firma para DNSSEC. Todo el asunto parece estar basado en la política y no en un modelo de seguridad real. Si las claves privadas no se han comprometido, nadie más puede firmar ningún registro, independientemente de su control de los equipos externos al servidor de firma.

Si está cargando por adelantado toda su confianza en la protección de las claves privadas, ¿por qué no se aseguran de que el servidor de firmas se autodestruya si se manipula? Puede protegerse contra cualquier persona que juegue con las entradas / salidas colocando 3 de estas cajas a prueba de manipulaciones en diferentes ubicaciones del mundo y sincronizando su salida. Podrían alojarse en una base de la ONU o en un lugar donde la seguridad sea manejada conjuntamente por países con relaciones semi-adversas (como China y EE. UU.) Y monitorearse a través de una cámara web.

Las claves solo deberían actualizarse si uno de los servidores se desconecta por cualquier motivo o si se necesitan actualizaciones de hardware.

    
pregunta Indolering 04.03.2014 - 06:16
fuente

3 respuestas

1

En realidad hablé con alguien que trabaja con uno de los titulares de la clave y tiene que ver con la longitud de la clave de firma de la zona. Básicamente, hay una clave de firma de clave de 2048 bits (KSK) que firma una clave de firma de zona de 1024 bits (ZSK) y se genera una nueva ZSK en cada una de estas reuniones. Esto se hace por razones de rendimiento, ya tiene que incluir mucho en un solo paquete UDP de 520 bytes.

DNSSEC también ha hecho que DNS amplification sea uno de los favoritos para los ataques DDoS y Supongo que las claves más largas solo empeorarían la situación.

    
respondido por el Indolering 06.12.2014 - 02:58
fuente
5

En teoría, probablemente tengas razón.

En la práctica, debe probar todas las políticas, procesos y herramientas con regularidad, de lo contrario no sabe si los miembros involucrados son capaces de ejecutar el procedimiento.

Por experiencia personal, hay un problema grave con la autoridad y la capacidad en la administración de claves. Las personas que tienen la autoridad no tienen la capacidad, y las personas con la capacidad tienen una gran demanda y no se quedan el tiempo suficiente como para confiar en ellas. Incluso las personas con la capacidad y la autoridad a menudo no tienen la diligencia para mantenerse al día con los requisitos.

Trate de entregarle a su jefe una llave USB y dígale "tiene que poner esto en su caja de seguridad, caja de seguridad o lo que sea. Debe asegurarse de que no se corrompa con el tiempo, pero que esté fuera de línea. Es vital que lo pases a quien te reemplace ". No le pida esa llave ni hable sobre ella durante dos años. Luego, después de dos años, en una emergencia, pídale que vuele a algún centro de datos con la llave. O peor, pregúntele al tipo que lo reemplazó.

Ahora necesitas que 5 de los 7 jefes similares de todo el mundo aparezcan y proporcionen sus claves.

Al ejecutar los procedimientos periódicamente, se asegura de que los procesos estén al menos en los calendarios de las personas y en sus mentes. Hay registros en los libros de auditoría y los errores en los procedimientos se pueden corregir.

N.b., no sé mucho sobre la ceremonia de firma de claves de DNSSEC, solo repasé los documentos un par de veces, pero tengo experiencia en la gestión de ceremonias de firma de claves y en políticas de seguridad.

    
respondido por el mgjk 04.03.2014 - 11:40
fuente
3

A veces la seguridad es solo una ceremonia que se quiere vender al mundo entero. Cuanto más grande es la ceremonia, más segura parece ser. A veces, las empresas, con fines comerciales, pasan por instalaciones y ceremonias demasiado complicadas para "vender seguridad".

Por otro lado, y al mudarnos de la política a la seguridad, no conocemos los resultados del análisis de seguridad, tal vez las implicaciones de las claves para exponerse o descifrar sean tan grandes que solo pueden correr el riesgo durante tres meses, y considerando también los costos de estas ceremonias, es muy pequeño en comparación con las ganancias de la compañía. Puede encontrar la política de seguridad de DNSSEC en este enlace. Tal vez arroje algunas pistas.

Como última palabra, parece que está cambiando su propio esquema sobre este problema tan específico, ¿por qué las cajas de sabotaje funcionan mejor que este esquema? ¿Por qué es más seguro o más apropiado?

    
respondido por el kiBytes 04.03.2014 - 08:45
fuente

Lea otras preguntas en las etiquetas