15 anos custodiando a raiz da Internet: uma despedida desde dentro
21/05/2025
Por Carlos Martinez Cagnazzo, Gerente de Tecnologia do LACNIC
Hoje estou deixando uma função que desempenhei com honra e responsabilidade nos últimos quinze anos: participar como crypto officer de um dos processos mais particulares e simbólicos da arquitetura da Internet: a cerimônia de assinatura de chaves da zona raiz do DNS. Trata-se de um evento que, à primeira vista, pode parecer técnico ou abstrato, mas contém um componente profundamente humano, quase ritualístico, no qual a comunidade global se reúne para literalmente fortalecer a confiança no sistema que sustenta nossas vidas digitais.
A chamada “cerimônia de assinatura de chaves” é um procedimento organizado pela Corporação da Internet para Atribuição de Nomes e Números (ICANN) e é um pilar fundamental da proteção do Sistema de Nomes de Domínio (DNS). Este evento acontece quatro vezes por ano, em dois locais específicos: El Segundo (Califórnia) e Culpeper (Virgínia), nos Estados Unidos.
Durante essas cerimônias, dois tipos de chaves criptográficas são usadas —uma pública e uma privada— que, quando operam de forma síncrona, garantem a integridade da zona raiz do DNS. O objetivo central é criar um ambiente controlado e seguro para usar a KSK (Key Signing Key), ou seja, a chave que assina outras chaves dentro do sistema. A partir de cada sessão, assinaturas criptográficas são geradas e usadas diariamente durante mais de três meses para garantir a validade e autenticidade da zona raiz.
Este processo foi concebido para reunir os oficiais criptográficos uma vez por ano, um grupo amplo e diversificado de especialistas em segurança do mundo todo e da própria comunidade técnica, cuja finalidade é testemunhar e validar que o uso da KSK seja realizado com segurança e de acordo com os protocolos estabelecidos.
Confesso que toda vez que eu entrava pela porta do local da cerimônia — no meu caso, a Costa Oeste — eu era tomado por uma curiosa mistura de solenidade e camaradagem. Porque mesmo que tudo seja meticulosamente regulado, o que acontece ali tem um ar de ato simbólico, como se estivéssemos custodiando algo invisível, mas essencial. Fazer parte desse processo significava, no fundo, ajudar a garantir que a Internet continue sendo esse espaço aberto, seguro e confiável que muitos de nós tomamos como certo.
Não sem nostalgia, hoje é a minha vez de deixar o cargo de crypto officer.Com o tempo, percebi que, dos representantes originais, apenas três de nós permanecíamos e senti que era hora de me afastar e abrir espaço para outros candidatos. Agora, ao encerrar este ciclo, é hora de olhar para trás com alguma perspectiva. O que começou como uma nomeação quase incerta, motivada mais pela curiosidade do que pela certeza, tornou-se um percorrido repleto de aprendizados técnicos, mas também pessoais. Porque esse papel não foi apenas sobre criptografia ou protocolos: foi também sobre comunidade, transparência e colaboração entre pares que nem sempre compartilham visões comuns, mas que concordam em algo fundamental: a importância de proteger o bem comum que é a Internet.
(Acesso livre, não requer assinatura)
A primeira cerimônia da qual participei foi em 2010, quando eu nem trabalhava no LACNIC, mas estava envolvido em atividades da comunidade, fazendo trabalho voluntário, moderando algumas listas de correio, entre outras funções.
Por meio dessa participação, fiquei sabendo que havia uma chamada para pessoas que quisessem representar a sua comunidade em um contexto muito específico: o da assinatura da raiz do DNS. Na época, eu não tinha muita clareza em que consistia ou o que era esperado de mim, pelo que comecei a ler e pesquisar.
Descobri que havia um processo formal e me candidatei, embora não tenha sido fácil: além de um formulário, você tinha que enviar três referências de pessoas conhecidas na área. Foi difícil encontrar referências, mas tive sorte: consegui três boas referências, uma delas de Raúl Echeberría, o então CEO do LACNIC. Depois de um tempo, me confirmaram que eu havia sido aceito como Trusted Community Representative (TCR) para desempenhar a função de crypto officer.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.