Uma trama teatral e uma chave secreta: A experiência única da cerimônia da assinatura da zona raiz do DNS
21/04/2023
Por Carlos Martinez Cagnazzo, Gerente da Área Técnica do LACNIC
Foi gerado tanto mistério em torno da cerimônia da assinatura da zona raiz do DNS que já faz parte de um mito da Internet. Tanto é assim que até séries e documentários dedicaram tela na busca de esclarecer um pouco essa auréola enigmática que bem merecida tem.
Quatro vezes por ano, a Corporação da Internet para a Designação de Nomes e Números (a ICANN, em inglês) reúne especialistas do mundo todo para realizar uma “cerimônia de assinatura de chaves”, um evento operacional crítico que é fundamental para a segurança do Sistema de Nomes de Domínio (DNS). Como parte da cerimônia, são usadas chaves criptográficas para proteger a zona raiz do DNS. Durante o processo, cria-se um ambiente seguro para que a chave para a assinatura da chave da zona raiz (KSK, por sua sigla em inglês) possa ser usada para assinar chaves de zona e com ela são gerados um pouco mais de três meses de assinaturas criptográficas que se usarão para assinar diariamente a zona raiz.
O procedimento foi desenhado para permitir que um grupo diversificado e global de especialistas em segurança pertencentes à comunidade se reúna uma vez por ano em um mesmo local e seja testemunha do uso adequado e seguro da KSK. Eu sou um deles, por isso quando se referem a mim como um dos “notários da Internet” ou dono de uma das “chaves da Internet” não posso deixar de sorrir, mas a verdade é que fazer parte todos os anos destas cerimônias é uma experiência que atravessa o teatral, algo da narrativa dos filmes de agentes secretos; e o que é mais interessante, um processo bem físico e corporal para certificar a saúde e a segurança da vida digital.
Por que? Basicamente porque a zona raiz do DNS contém informações vitais na hora de consultar os servidores de nomes de domínios de nível superior (TLD, em inglês) como são o “.com” “.org” “.edu”, “.ar” ou “.br”. Esse processo permite que todos os usuários acessem os nomes de domínio de qualquer TLD, portanto, a confiabilidade e segurança de todo o ambiente são fundamentais. A questão é que a zona raiz do DNS não possui uma zona de nível superior; então, como garantir a integridade e a autenticidade das informações da zona raiz do DNS? A cerimônia de assinatura da chave da zona raiz atende a esse objetivo.
Não podemos perder de vista que o DNS é um dos protocolos mais antigos da Internet, as versões mais antigas datam do início dos anos 80. Foi um protocolo criado em outra época, quando não se colocava muita ênfase em questões de segurança e confiança. Quando a Internet atingiu níveis comerciais, esses ambientes de confiança praticamente desapareceram. No entanto, apenas uns 25 anos depois é que a segurança do sistema foi colocada em cima da mesa e após várias propostas, chegou-se a uma espécie de consenso em que o melhor era implementar Extensões de Segurança do DNS (DNSSEC, em inglês) um processo que adiciona uma camada de segurança adicional ao protocolo DNS e permite verificar a integridade e autenticidade dos dados.
A segurança, o coração da cerimônia
O DNSSEC fornece a estrutura para toda a cerimônia. Como eu disse, a forma de implementar as assinaturas é por meio de pares de chaves criptográficas com duas partes: uma pública e outra secreta. Tanto o processo de assinatura quanto o processo de criptografia ocorrem no uso conjunto e coordenado das duas partes. Em relação às privadas, a chave para a assinatura da chave (KSK) é usada para assinar o conjunto de chaves de assinatura da zona (ZSK, em inglês). Isso fortalece a confiança no sistema de nomes de domínio, uma vez que as ZSK são usadas diariamente.
Ao longo das quatro cerimônias por ano, se geram ZSK para cerca de quatro meses, na verdade, para muitos mais. Este “excedente”, de fato, foi muito oportuno no momento da pandemia porque uma das cerimônias não pôde realizar-se devido ao isolamento. A anedota das cerimônias virtuais daqueles momentos merece um capítulo à parte: em pleno confinamento, recebi um envelope da Fedex onde tinha de colocar a minha chave, e levar ao correio. No envelope, tinha também uma folha com números que eu tinha de validar no âmbito de uma cerimônia realizada por Zoom.
Mas, voltando às celebrações físicas, existem duas localizações geograficamente diferentes que custodiam a chave para a assinatura da chave da zona raiz: O Segundo, Califórnia (USA) e Culpeper, Virgínia (EUA). Existem apenas 14 oficiais de criptografia disponíveis no mundo (sete estão afiliados a cada lugar), e pelo menos três deles devem comparecer à cerimônia para dar quórum.
Durante a cerimônia, entram em jogo as diferentes organizações que têm papéis na governança da Internet: a ICANN tem claramente o papel central, uma vez que desde 2016 é responsável pela administração da zona de raiz do DNS. Por sua vez, a ICANN delegou na Autoridade de Designação de Números da Internet (IANA, em inglês) a administração segura da KSK. O outro ator fundamental em todo o processo é a empresa Verisign, que atualmente é responsável pela manutenção e operação da zona raiz do DNS. É a responsável por gerar a chave de assinatura da zona raiz que é assinada durante a cerimônia.
O objetivo principal da cerimônia é dar transparência a todo o processo, por isso, além dos representantes da IANA e da Verisign, também fazem parte os administradores da cerimônia, os demais oficiais de criptografia e outros papeis como testemunhas internas, auditores e controladores de segurança tanto de credenciais quanto de hardware.
Um passo a passo roteirizado, na procura da maior transparência
Todo esse processo criptográfico envolve colocar em jogo peças específicas de hardware, como o módulo de segurança de hardware (HSM, em inglês). O HSM é um dispositivo informático físico projetado especificamente para trabalhar com material criptográfico sensível. Dentro dele é gerada a chave, que nunca sai de lá.
Tudo é extremamente controlado, roteirizado, além de auditado com a ideia de evitar riscos à segurança do processo. No salão de cerimônias, dentro da sala de segurança, há dois cofres, um para o HSM e parte privada da KSK e outro para os cartões inteligentes que o ativam. Para que o HSM funcione, precisa de um operador que o ative e é aí que entra em jogo a comunidade. Os operadores somos representantes da comunidade, somos testemunhas da habilitação do HSM e este não pode funcionar sem nós. É isso que garante que a comunidade monitore as operações que são feitas na raiz.
A chamada “chave da Internet” que tenho em minha posse abre um cofre onde está o cartão inteligente que me corresponde a mim e que permite que eu e cada membro da comunidade atuemos sobre o HSM. Existe uma espécie de “divisão de segredos” típica dos militares e espiões: eu tenho a chave para abrir a arca do forte onde está o meu cartão mas não sei a combinação do cofre onde está guardado, enquanto quem conhece esses dados não pode abrir os cofres. Cada um tem um papel e nada poderia ser feito com uma pessoa só.
Seguindo o roteiro, a cerimônia é dividida em várias partes nas quais os papéis de cada participante são criteriosamente definidos. Os participantes passam por uma série de etapas e verificações para assinar criptograficamente os pares de chaves digitais usados para proteger a zona raiz do DNS. Os passos, de uma forma geral, implicam ir ao cofre e remover os cartões inteligentes, ir ao cofre e retirar o HSM. Depois, Verisign entrega um arquivo (conhecido como o KSR ou Key Signing Request) ao administrador da IANA quem é quem faz as operações com o HSM. No meio, nós validamos com nossos cartões o funcionamento do HSM. Ao final do processo, as ZSK acabam sendo publicadas na zona raiz do DNS e todas as peças voltam para seu lugar seguro.
Vale ressaltar que a cerimônia de assinatura da chave da zona raiz é pública e transmitida ao vivo para reforçar a confiança e a transparência. Além disso, os participantes temos de passar por várias medidas de segurança, como cartões de acesso e scanners de impressão digital e retina para entrar na sala da cerimônia. Além das testemunhas da comunidade, uma empresa de auditoria externa, que não é associada à Verisign ou à ICANN, audita todo o processo.
Sem dúvida, a cor particular desta cerimônia justifica a sua fama, mas para além do pitoresco, é uma amostra da transparência, segurança e confiança que está por trás de uma operação tão fundamental para o funcionamento da Internet, a respeito da qual, o LACNIC – como uma organização ligada ao bom funcionamento de todo o sistema – tem a honra de ser coprotagonista.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.