A nova chave de segurança da Internet

31/07/2017

A nova chave de segurança da Internet

Pela primeira vez na história, deu início a rotação das chaves criptográficas da chamada zona raiz da Internet, um desafio mundial pela dimensão da rede. O processo, que vai levar um ano, começou em 11 de julho com a publicação da nova chave das extensões de segurança do Sistema de Nomes de Domínio (DNSSEC), criada em outubro do ano passado.
Prevê-se que o processo de rotação das chaves expire em agosto de 2018, com a supressão da antiga chave do equipamento nas instalações da ICANN dedicadas ao gerenciamento de chaves. Nesse momento, todos os operadores da Internet deverão ter substituído a senha antiga pela nova.
Na atualidade, 750 milhões de pessoas estão usando resolvedores de validação de DNSSEC que poderiam ser afetados pela transferência das chaves. Se esses sistemas não tiverem a chave nova, os usuários finais que dependem deles não poderão ter acesso à Internet.
Carlos Martínez, gerente de Tecnologias de LACNIC e um dos responsáveis pela geração da nova chave da zona raiz a nível mundial em representação da comunidade, garantiu que a troca será realizada durante 2017 levando em conta os tempos para que os operadores da Internet não sofram grandes impactos.

O que é a zona raiz da Internet e por que é importante?
A zona raiz do DNS seria como um arquivo que contem informações sobre onde estão os servidores de nomes dos domínios de alto nível (TLDS). Os TLD som os nomes de mais alto nível, como “com”, “net”, “org”, “uy”, “ar” e os outros países.
Assim, a zona raiz é um componente de especial importância para o bom funcionamento da Internet, porque dela dependemos para encontrar os nomes dos sites que acessamos, como “www.lacnic.net” ou “www. riu.edu.ar”. A zona raiz nos indica como encontrar “net” ou encontrar “ar” em cada caso.

Para que foi criado o protocolo DNSSEC e para que serve?
DNSSEC é um conjunto de extensões para o protocolo de resolução de nomes (DNS) que permite proteger o conteúdo das zonas (“domínios”) DNS de serem alterados maliciosamente. Isso é possível graças à introdução de assinaturas digitais e chaves criptográficas nos próprios domínios.
Um usuário, na hora de acessar um site, pode conferir que o nome (“www.lacnic.net”) esteja assinado corretamente.
Podemos pensar nisso como um complemento para o “cadeado” de segurança que oferecem os navegadores, mas aplicado especificamente à resolução de nomes.

Que são as chaves criptográficas usadas no protocolo DNSSEC?
Uma chave, ou melhor, um “par de chaves”, é um par de valores, um público e outro privado, que mediante algoritmos de criptografia permitem no caso de DNSSEC, gerar assinaturas digitais que podem ser verificadas por outros usuários.
As chaves criptográficas são números muito, mas muito longos (na ordem de centenas de dígitos) que por meio de operações matemáticas definidas no que chamamos de “algoritmos criptográficos” permitem, entre outras coisas, gerar as assinaturas digitais que, como mencionado acima, podem ser usadas para verificar a integridade de um nome de domínio.

Por que são importantes essas chaves criptográficas?
Porque com elas temos a possibilidade de verificar a integridade das informações fornecidas pelo DNS. Além disso, quanto mais longa a chave (mais dígitos tenha) acaba por ser mais segura.
As chaves permitem verificar as assinaturas, e com isso saber se um nome de domínio foi alterado maliciosamente ou não.

Como impactam essas chaves no usuário final da Internet?
O usuário final não tem contacto com elas. Quem usam as chaves são os servidores DNS que prestam serviços aos usuários finais.
Esses servidores, conhecidos como servidores recursivos, validam as assinaturas digitais e se percebem que um nome foi alterado (a assinatura é incorreta), então simplesmente irão informar ao usuário final de que há um problema com a resolução desse nome, evitando assim que o usuário acesse um site que, eventualmente, tenha sido adulterado maliciosamente.

Como é a “assinatura da zona raiz”?
A assinatura da zona raiz é um caso especial, já que por sua importância fundamental na resolução de nomes na Internet, se houver algum problema ou erro em sua assinatura, o serviço na Internet poderia ver-se amplamente afetado.
Por conseguinte, a assinatura da raiz ocorre de acordo com uma série de procedimentos bem definidos e ocorre em um ambiente altamente controlado, com testemunhas da comunidade presentes.

Quem tem o arquivo ou as chaves da zona raiz?
IANA, ou o que hoje conhecemos como a PTI, é quem tem o controle de edição do arquivo da zona raiz.
No entanto, a autoridade para introduzir mudanças no mesmo está regida por um processo mais complexo, que diferencia, por exemplo, os TLD vinculados a países (.uy,.ar, etc.) dos chamados “TLD genéricos” (.com, .black, .info, .net)

Esta é a primeira vez que essas chaves são trocadas?
É sim. É a primeira vez desde que foram geradas em 2010.

Quem administra as chaves?
As chaves estão armazenadas em uns equipamentos especiais chamados HSM (Hardware Security Modules) que por sua vez, estão sob custódia em dois sites seguros. A administração desses sites, conhecidos como KMF (Key Management Facilities), corresponde a ICANN.

Essas chaves são vulneráveis?
As chaves em si são números. Seu valor é dado por ser secretas. Portanto, as chaves nunca deixam os HSM, e os HSM são quem diretamente geram assinaturas sem nunca revelar a chave privada em si.
Em outras palavras, ninguém jamais viu a chave privada. Está ai, mas a gente nunca vê.

Como são trocadas as chaves e quem decide trocar?
A decisão de trocar a chave surge das melhores práticas da indústria que aconselham realizar as chamadas “rotações” das chaves de maneira periódica.
O “quando” depende de vários fatores. No caso particular das chaves da zona raiz, já em 2015 foi decidido que era necessário rotá-las, mas devido à complexidade e ao potencial de impacto adverso, foram realizados diversos testes prévios para garantir que esses efeitos fossem mantidos ao mínimo.

Como é esse processo iniciado?
O processo foi iniciado com a geração e a publicação da nova chave. Agora entramos em um período de verificação e comunicação pública.

Que organizações deverão fazer alguma coisa nesta instância?
Todas as organizações que operam servidores DNS, particularmente se fizerem validação DNSSEC (se não fizerem, deveriam fazer!) devem estar atentas às mudanças na medida em que forem acontecendo.

Se usarem versões recentes de software DNS é provável que não tenham que tomar qualquer ação. Se usarem versões mais antigas, provavelmente vão ter que atuar de maneira manual.

Podem apresentar-se problemas durante o processo de troca das chaves?
Sempre podem acontecer problemas, não há nada 100% seguro. Certamente haverá casos de organizações que enfrentem algumas situações a serem corrigidas, mas estamos confiantes de que o processo irá ocorrer sem grandes surpresas.

Quais são as datas importantes dessa troca de chaves?
São as observadas no timeline publicado pela IANA/PTI aqui:
http://www.lacnic.net/pt/web/lacnic/key-signing-key

Assista ao vídeo:
http://bit.ly/2tNHzWU