Por primera vez en la historia comenzó la rotación de las claves criptográficas de la llamada zona raíz de Internet, un desafío mundial por la magnitud de la red. El proceso se ha iniciado el 11 de octubre de este año (2018) con la primera utilización de la nueva clave de las extensiones de seguridad del sistema de nombres de dominio (DNSSEC).
Está previsto que la rotación de las claves culmine en marzo de 2019 con la supresión de la antigua llave del equipamiento en las instalaciones de la ICANN dedicadas a la administración de claves. Para ese entonces, todos los operadores de Internet deberán haber sustituido la contraseña antigua por la nueva.
Actualmente 750 millones de personas están utilizando resolutores de validación de DNSSEC que podrían verse afectados por el traspaso de las claves. Si esos sistemas no tienen la clave nueva, los usuarios finales que dependen de ellos no podrán tener acceso a Internet.
Carlos Martínez, gerente de Tecnologías de LACNIC y uno de los representantes de la comunidad de recursos numéricos en el proceso de generación de la nueva clave de la zona raíz, aseguró que el cambio se realizará durante lo que resta de 2018 y los primeros meses de 2019 manejando los tiempos para que no haya impacto en los operadores de Internet.
¿Qué es la zona raíz de Internet y por qué es importante?
La zona raíz del DNS la podemos pensar como un archivo que contiene información acerca de donde se encuentran los servidores de nombres de los dominios de alto nivel (TLDS). Los TLD son los nombres de más alto nivel, como “com”, “net”, “org”, “uy”, “ar” y el resto de los países.
Por eso la zona raíz es una componente de especial importancia para el correcto funcionamiento de Internet, ya que de ella dependemos para poder encontrar los nombres de los sitios a los que accedemos, como ser “www.lacnic.net”, o “www.riu.edu.ar”. La zona raíz nos indica como encontrar “net” o como encontrar “ar” en cada caso.
¿Para qué se creó el protocolo DNSSEC y para qué sirve?
DNSSEC es un conjunto de extensiones al protocolo de resolución de nombres (DNS) que permite proteger el contenido de las zonas (“dominios”) DNS de ser alterados maliciosamente. Esto lo logra mediante la introducción de firmas digitales y claves criptográficas en los propios dominios.
Un usuario, a la hora de acceder a un sitio, puede verificar que el nombre (“www.lacnic.net”) esté firmado correctamente.
Podemos pensarlo como un complemento al “candado” de seguridad que ofrecen los navegadores, pero aplicado específicamente a la resolución de nombres.
¿Qué son las claves criptográficas utilizadas en el protocolo DNSSEC?
Una clave, o más exactamente un “par de claves”, es un par de valores uno público y otro privado que mediante algoritmos de cifrado permiten en el caso de DNSSEC, generar firmas digitales que pueden ser verificadas por otros usuarios.
Las claves criptográficas son números muy muy largos (del orden de cientos de dígitos) que mediante operaciones matemáticas definidas en lo que llamamos “algoritmos criptográficos” permiten, entre otras cosas, generar las firmas digitales que como mencionábamos más arriba podemos utilizar para verificar la integridad de un nombre de dominio.
¿Por qué son importantes esas claves criptográficas?
Porque en ellas descansa la posibilidad de verificar la integridad de la información provista por el DNS. Es más, cuanto más larga la clave (más dígitos tiene) más segura resulta ser.
Las claves permiten verificar las firmas, y con ello saber si un nombre ha sido alterado maliciosamente o no.
¿Cómo impactan esas claves en el usuario final de Internet?
El usuario final no tiene contacto con ellas. Quienes las utilizan son los servidores DNS que brindan servicio a los usuarios finales.
Estos servidores, conocidos como servidores recursivos, validan las firmas digitales y si encuentran que un nombre ha sido alterado (la firma es incorrecta), entonces simplemente informarán al usuario final de que hay un problema con la resolución de ese nombre, evitando así que el usuario acceda a un sitio que eventualmente ha sido manipulado maliciosamente.
¿Cómo es la “firma de la zona raíz”?
La firma de la zona raíz es un caso especial, ya que por su importancia fundamental en la resolución de nombres en Internet, si hubiera algún problema o falla en su firmado, podría haber una gran afectación de servicio en Internet.
Por ello la firma de la raíz ocurre de acuerdo a una serie de procedimientos muy claramente definidos y ocurre en un ambiente extremadamente controlado, con testigos de la comunidad presentes.
¿Quién tiene el archivo o las claves de la zona raíz?
IANA, o lo que ahora conocemos como la PTI, es quien tiene el control de edición del archivo de la zona raíz.
Sin embargo, la autoridad para introducir cambios en el mismo está regida por un proceso más complejo, que diferencia por ejemplos los TLD vinculados a países (.uy, .ar, etc.) de los que se denominan “TLD genéricos” (.com, .black, .info, .net)
¿Esta es la primera vez que se cambian esas claves?
Sí, es la primera vez que se cambian desde que se generaron por primera vez en 2010.
¿Quién administra las claves?
Las claves están almacenadas en unos equipos especiales denominados HSMs (hardware security modules) que a su vez están bajo custodia en dos sitios seguros. La administración de estos sitios, conocidos como KMFs (Key Management Facilities), así como del equipamiento utilizado le corresponde a ICANN.
¿Son vulnerables esas claves?
Las claves en sí son números. Su valor está dado por ser secretas. Por ello las claves nunca salen de los HSMs y los HSMs son quienes generan directamente firmas sin nunca develar la clave privada en sí misma.
Dicho de otra manera, ninguna persona ha visto alguna vez la clave privada. Esta allí pero nunca la vemos.
¿Cómo se cambian las claves y quién decide cambiarlas?
La decisión de cambiar la clave proviene de las mejores prácticas de la industria, las que aconsejan realizar lo que se conoce como “rotaciones” de las claves periódicamente.
El cuándo depende de muchos factores. En el caso particular de las claves de la zona raíz ya en 2015 se decidió que era necesario rotarlas pero dada la complejidad y el potencial de impacto adverso se realizaron una serie de estudios previos para asegurar que estos efectos se mantendrán al mínimo.
¿Cómo es el proceso que se ha iniciado?
El proceso se ha iniciado con la generación y la publicación de la nueva clave. Ahora entramos en un período de verificación y de comunicación pública.
¿Qué organizaciones deben hacer algo en esta instancia?
Todas las organizaciones que operan servidores DNS, particularmente si hacen validación DNSSEC (que si no la hacen, deberían hacerla!) deben estar atentas a los cambios a medida que estos van ocurriendo.
Si utilizan versiones recientes de software DNS es probable que no tengan que tomar acción alguna. Si utilizan versiones más antiguas es casi seguro que van a tener que actuar manualmente.
¿Se pueden presentar problemas durante el proceso de cambio de las caves?
Siempre pueden existir dificultades, no hay nada 100% perfecto. Seguramente habrá casos de organizaciones que enfrenten algunas situaciones que deban corregir, pero confiamos en que el proceso ocurrirá sin mayores sobresaltos.
¿Cuáles son las fechas importantes de este cambio de claves?
Son las que se pueden observar en el timeline publicado por IANA/PTI aquí.
Ve aquí la presentación de Hugo Salgado y Mauricio Vergara durante LACNIC 30 LACNOG 2018 sobre el tema.
