Faltan unas horas para que se celebre una de las reuniones más interesantes, estrictas e importantes del mundo.
Del ceremonial "de las 7 llaves" depende que Internet funcione...
🧐-"¡Para! ¿Como que 7 llaves? ¡Cuéntame todo!"
👻-"¡Pero si no me has dejado!"
Venga, que abro🧵
Del ceremonial "de las 7 llaves" depende que Internet funcione...
🧐-"¡Para! ¿Como que 7 llaves? ¡Cuéntame todo!"
👻-"¡Pero si no me has dejado!"
Venga, que abro🧵
[DISCLAIMER]
A ver, voy a omitir bastantes datos técnicos y me voy a saltar muchas cosas, pero es que sino este hilo sería casi eterno...
¡Al final os añado recursos para los más curiosos!
A ver, voy a omitir bastantes datos técnicos y me voy a saltar muchas cosas, pero es que sino este hilo sería casi eterno...
¡Al final os añado recursos para los más curiosos!
Empezemos "por la raíz" del problema.
Como bien sabes, el sistema DNS es uno de los pilares que permiten que Internet funcione tal y como lo conocemos.
Ya me lo has leido varias veces: ¡el que controla DNS controla Internet!
Como bien sabes, el sistema DNS es uno de los pilares que permiten que Internet funcione tal y como lo conocemos.
Ya me lo has leido varias veces: ¡el que controla DNS controla Internet!
Tan importante es, que muy pronto fue utilizado para realizar ataques que permitieran "engañar" a determinados servidores y/o clientes, e inyectar sus registros DNS modificados.
Para intentar minimizar estas movidas, nació DNSSEC, que añade una capa de seguridad adicional a los servidores DNS de un dominio y previene una gran cantidad de posibles actividades maliciosas.
¿Y qué hace DNSSEC?
Pues "lo de siempre": usar certificados digitales para demostrar la autenticidad, en este caso en el dominio, servidor DNS y Registrador.
Pues "lo de siempre": usar certificados digitales para demostrar la autenticidad, en este caso en el dominio, servidor DNS y Registrador.
Básicamente, al acceder a un sitio con DNSSEC habilitado se hace lo siguiente:
1.-El navegador comprueba los servidores DNS asociados al dominio.
1.-El navegador comprueba los servidores DNS asociados al dominio.
2.-Si la clave pública coinciden con las publicadas en el registrador (Registry), el navegador dará por válida la solicitud y resolverá el sitio web, mostrando su contenido.
3.-Si por alguna razón las claves no coinciden, el sitio web no sería accesible.
🧐-"El rollo que me estás colando... ¡Yo quiero saber lo de las 7 llaves!"
👻-"¡Pero vamos a ver! ¡Espérate que si no no te enteras de que va la cosa! ¡Déjame un poco más de tiempo!"
👻-"¡Pero vamos a ver! ¡Espérate que si no no te enteras de que va la cosa! ¡Déjame un poco más de tiempo!"
Resumiendo MUCHO: Cada zona de DNS que utiliza DNSSEC tiene un par de claves de firma de zona: la parte privada de la clave firma cada RRset de la zona, mientras que la parte pública verifica esa firma.
Por tanto, para habilitar DNSSEC creamos firmas digitales para cada RRset usando la parte privada de una clave a la que llamamos ZSK y la almacenamos en nuestro servidor DNS en un tipo especial de registros llamados RRSIG.
La idea es decirle al mundo: "Oyeeee, aquí tenéis mis registros DNS, que provienen de mi servidor si o sí. ¡Y si no te lo crees, compruébalo con estas firmas!".
Algo "parecido" a lo que hacemos con DKIM por ejemplo.
Algo "parecido" a lo que hacemos con DKIM por ejemplo.
Pues bien, para que todo este tema funcione, el estándar DNSSEC establece que la clave de cada servidor está firmada por el servidor anterior en la jerarquía. De esta manera creamos lo que se llama una "cadena de confianza".
Ejemplo: la clave de los servidores de tu registrador estaría firmada por VeriSign (que son los que gestionan todos los .com por ejemplo) y la de Verisign estaría firmada por...
¡Espera! ¿Por quién?
¡Espera! ¿Por quién?
Claro, al principio de la cadena tiene que haber alguien... Pues si: ¡LA ZONA RAÍZ DNS! ¡LA FIRMA MAESTRA! ¡EL ORÁCULO! ¡EL ORIGEN! ¡ALABADO SEA!
🧐-"Pero vamos a ver ¿Y las llaves? ¿Cuándo viene lo de las llaves?"
👻-"Joer macho, siempre me pillo los dedos con las entradillas del primer twit... ¡YA VAAA!"
(La verdad es que está siendo un hilo largo, pero necesario para enterarnos de que va esto)
👻-"Joer macho, siempre me pillo los dedos con las entradillas del primer twit... ¡YA VAAA!"
(La verdad es que está siendo un hilo largo, pero necesario para enterarnos de que va esto)
Pues bien, la "Ceremonia de firma de la llave de la zona raíz" es el procedimiento en el que se firma la clave de la zona DNS raíz para los próximos meses.
La clave de firma privada utilizada en este proceso, es la clave de toda la red pública de Internet protegida por DNSSEC.
La clave de firma privada utilizada en este proceso, es la clave de toda la red pública de Internet protegida por DNSSEC.
Por tanto, hacía falta algo "transparente y auditable" para realizar este procedimiento, porque imagina que alguien pudiera "colar" una firma "preestablecida"...
¡Podría firmar cualquier zona DNS y suplantarla!
Así que en 2016 se diseño al milimetro este ceremonial.
¡Podría firmar cualquier zona DNS y suplantarla!
Así que en 2016 se diseño al milimetro este ceremonial.
🧐-"¿Y dónde se realiza?"
Pues hay dos ubicaciones distintas que custodian la clave para la firma de la llave de la zona raíz: El Segundo, California (EE. UU.) y Culpeper, Virginia (EE. UU.).
Ambas son instalaciones seguras, y la ceremonia se va alternando entre ambas.
Pues hay dos ubicaciones distintas que custodian la clave para la firma de la llave de la zona raíz: El Segundo, California (EE. UU.) y Culpeper, Virginia (EE. UU.).
Ambas son instalaciones seguras, y la ceremonia se va alternando entre ambas.
🧐-"¿Y quién participa en ella?"
7 personas:
-Administrador
-Testigo interno
-Controlador de seguridad de credenciales
-Controlador de seguridad del hardware
-Oficial de criptografía n.º 1
-Oficial de criptografía n.º 2
-Oficial de criptografía n.º 3
7 personas:
-Administrador
-Testigo interno
-Controlador de seguridad de credenciales
-Controlador de seguridad del hardware
-Oficial de criptografía n.º 1
-Oficial de criptografía n.º 2
-Oficial de criptografía n.º 3
Cada uno de ellos realiza ciertas partes, de manera que se garantiza con una probabilidad inferior a 1:1.000.000 que se pudiera usar el engaño para comprometer la clave de la firma.
Aquí tenéis la foto de una ceremonia, por ejemplo. Sí, hay más de 7 personas, ahora lo explico.
Aquí tenéis la foto de una ceremonia, por ejemplo. Sí, hay más de 7 personas, ahora lo explico.
En la sala de la ceremonia, dentro de una sala de seguridad, hay dos cajas fuertes que contienen, separadamente, el módulo de seguridad de hardware (HSM, en inglés) y las tarjetas inteligentes que lo activan.
Una de las cajas fuertes guarda las credenciales para activar el HSM, dentro de fundas de plástico y en bolsas a prueba de falsificaciones, y la otra guarda el HSM y la porción privada de la KSK.
👻-"¿A que mola?"
🧐-"¡Joooooder qué movida!"
👻-"Pues ya ves lo que arman..."
👻-"¿A que mola?"
🧐-"¡Joooooder qué movida!"
👻-"Pues ya ves lo que arman..."
Para reducir las posibilidades de que se produzcan conspiraciones, la ceremonia se divide en varias partes en las que los roles de cada uno están cuidadosamente definidos.
Todo se graba (¡se emite!) y cualquiera puede solicitar asistir a la ceremonia de firma como espectador.
Todo se graba (¡se emite!) y cualquiera puede solicitar asistir a la ceremonia de firma como espectador.
🧐-"¿Qué puedo ir?"
👻-"¡Siiii!"
Pero como el espacio en la sala de la ceremonia es limitado, no hay muchos asientos disponibles.
Para asistir a la ceremonia es obligatorio enviar una solicitud con al menos 45 días de antelación.
👻-"¡Siiii!"
Pero como el espacio en la sala de la ceremonia es limitado, no hay muchos asientos disponibles.
Para asistir a la ceremonia es obligatorio enviar una solicitud con al menos 45 días de antelación.
Por cierto, ahora con el tema del COVID la cosa está complicada, ya que la ceremonia se realiza con la mínima gente posible.
La ceremonia se celebra trimestralmente en una de las dos localizaciones que te he comentado antes, la última fue realizada el pasado 17 de Agosto y la siguiente es:
¡¡HOY!! ¡A las 18.00 hora española!
¡¡HOY!! ¡A las 18.00 hora española!
Toda la info de las ceremonias la tienes aquí: iana.org
El vídeo de la última es este: youtube.com
Solo dura... ¡4 horitas!
El vídeo de la última es este: youtube.com
Solo dura... ¡4 horitas!
Si quieres conocer el proceso en profundidad, te dejo un par de enlaces muy bien explicados:
stackscale.com
cloudflare.com
stackscale.com
cloudflare.com
Y nada, una vez realizado todo el proceso, Internet seguirá siendo, por 3 meses más, el lugar que todos conocemos😜.
¿Te ha gustado o qué?
Recuerda que tengo una Newsletter que envío cada Domingo a las 9.00: newsletter.dmntr.site
¡Y nada, sigo a mis cosas! ¡Nos vemos! 👻
¿Te ha gustado o qué?
Recuerda que tengo una Newsletter que envío cada Domingo a las 9.00: newsletter.dmntr.site
¡Y nada, sigo a mis cosas! ¡Nos vemos! 👻
Loading suggestions...