A nova chave de segurança da Internet
31 de julho de 2017
Pela primeira vez na história, deu início a rotação das chaves criptográficas da chamada zona raiz da Internet, um desafio mundial pela dimensão da rede. O processo, que vai levar um ano, começou em 11 de julho com a publicação da nova chave das extensões de segurança do Sistema de Nomes de Domínio (DNSSEC), criada em outubro do ano passado.
Prevê-se que o processo de rotação das chaves expire em agosto de 2018, com a supressão da antiga chave do equipamento nas instalações da ICANN dedicadas ao gerenciamento de chaves. Nesse momento, todos os operadores da Internet deverão ter substituído a senha antiga pela nova.
Na atualidade, 750 milhões de pessoas estão usando resolvedores de validação de DNSSEC que poderiam ser afetados pela transferência das chaves. Se esses sistemas não tiverem a chave nova, os usuários finais que dependem deles não poderão ter acesso à Internet.
Carlos Martínez, gerente de Tecnologias de LACNIC e um dos responsáveis pela geração da nova chave da zona raiz a nível mundial em representação da comunidade, garantiu que a troca será realizada durante 2017 levando em conta os tempos para que os operadores da Internet não sofram grandes impactos.
O que é a zona raiz da Internet e por que é importante?
A zona raiz do DNS seria como um arquivo que contem informações sobre onde estão os servidores de nomes dos domínios de alto nível (TLDS). Os TLD som os nomes de mais alto nível, como “com”, “net”, “org”, “uy”, “ar” e os outros países.
Assim, a zona raiz é um componente de especial importância para o bom funcionamento da Internet, porque dela dependemos para encontrar os nomes dos sites que acessamos, como “www.lacnic.net” ou “www. riu.edu.ar”. A zona raiz nos indica como encontrar “net” ou encontrar “ar” em cada caso.
Para que foi criado o protocolo DNSSEC e para que serve?
DNSSEC é um conjunto de extensões para o protocolo de resolução de nomes (DNS) que permite proteger o conteúdo das zonas (“domínios”) DNS de serem alterados maliciosamente. Isso é possível graças à introdução de assinaturas digitais e chaves criptográficas nos próprios domínios.
Um usuário, na hora de acessar um site, pode conferir que o nome (“www.lacnic.net”) esteja assinado corretamente.
Podemos pensar nisso como um complemento para o “cadeado” de segurança que oferecem os navegadores, mas aplicado especificamente à resolução de nomes.
(Acesso livre, não requer assinatura)
Que são as chaves criptográficas usadas no protocolo DNSSEC?
Uma chave, ou melhor, um “par de chaves”, é um par de valores, um público e outro privado, que mediante algoritmos de criptografia permitem no caso de DNSSEC, gerar assinaturas digitais que podem ser verificadas por outros usuários.
As chaves criptográficas são números muito, mas muito longos (na ordem de centenas de dígitos) que por meio de operações matemáticas definidas no que chamamos de “algoritmos criptográficos” permitem, entre outras coisas, gerar as assinaturas digitais que, como mencionado acima, podem ser usadas para verificar a integridade de um nome de domínio.
Por que são importantes essas chaves criptográficas?
Porque com elas temos a possibilidade de verificar a integridade das informações fornecidas pelo DNS. Além disso, quanto mais longa a chave (mais dígitos tenha) acaba por ser mais segura.
As chaves permitem verificar as assinaturas, e com isso saber se um nome de domínio foi alterado maliciosamente ou não.
Como impactam essas chaves no usuário final da Internet?
O usuário final não tem contacto com elas. Quem usam as chaves são os servidores DNS que prestam serviços aos usuários finais.
Esses servidores, conhecidos como servidores recursivos, validam as assinaturas digitais e se percebem que um nome foi alterado (a assinatura é incorreta), então simplesmente irão informar ao usuário final de que há um problema com a resolução desse nome, evitando assim que o usuário acesse um site que, eventualmente, tenha sido adulterado maliciosamente.