Pela primeira vez na história começou a rotação das chaves criptográficas da chamada zona raiz da Internet, um desafio mundial pela magnitude da rede. Este processo começou em 11 de outubro deste ano (2018) com o primeiro uso da nova chave das extensões de segurança do sistema de nomes de domínio (DNSSEC).
Prevê-se que a rotação das chaves finalize em março de 2019 com a supressão da antiga chave do equipamento nas instalações da ICANN dedicadas ao gerenciamento de chaves. Para esse momento, todos os operadores da Internet deverão ter substituído a senha antiga pela nova.
Na atualidade, 750 milhões de pessoas estão usando resolvedores de validação de DNSSEC que poderiam ser afetados pela transferência das chaves. Se esses sistemas não tiverem a chave nova, os usuários finais que dependem deles não poderão ter acesso à Internet.
Carlos Martínez, gerente de Tecnologias de LACNIC e um dos representantes da comunidade de recursos de numeração no processo de geração da nova chave da zona raiz, assegurou que a mudança será feita durante o que resta de 2018 e dos primeiros meses de 2019 administrando os tempos para que não haja impacto sobre os operadores da Internet.
O que é a zona raiz da Internet e por que é importante?
A zona raiz do DNS seria como um arquivo que contem informações sobre onde estão os servidores de nomes dos domínios de alto nível (TLDS). Os TLD são os nomes de mais alto nível, como “com”, “net”, “org”, “uy”, “ar” e o resto dos países.
Assim, a zona raiz é um componente de especial importância para o bom funcionamento da Internet, porque dela dependemos para encontrar os nomes dos sites que acessamos, como “www.lacnic.net” ou “www. riu.edu.ar”. A zona raiz nos indica como encontrar “net” ou encontrar “ar” em cada caso.
Para que foi criado o protocolo DNSSEC e para que serve?
DNSSEC é um conjunto de extensões para o protocolo de resolução de nomes (DNS) que permite proteger o conteúdo das zonas (“domínios”) DNS de serem alterados maliciosamente. Isso é possível graças à introdução de assinaturas digitais e chaves criptográficas nos próprios domínios.
Um usuário, na hora de acessar um site, pode conferir que o nome (“www.lacnic.net”) esteja assinado corretamente.
Podemos pensar nisso como um complemento para o “cadeado” de segurança que oferecem os navegadores, mas aplicado especificamente à resolução de nomes.
Que são as chaves criptográficas usadas no protocolo DNSSEC?
Uma chave, ou melhor, um “par de chaves”, é um par de valores, um público e outro privado, que mediante algoritmos de criptografia permitem no caso de DNSSEC, gerar assinaturas digitais que podem ser verificadas por outros usuários.
As chaves criptográficas são números muito, mas muito longos (na ordem de centenas de dígitos) que por meio de operações matemáticas definidas no que chamamos de “algoritmos criptográficos” permitem, entre outras coisas, gerar as assinaturas digitais que, como mencionado acima, podem ser usadas para verificar a integridade de um nome de domínio.
Por que são importantes essas chaves criptográficas?
Porque com elas temos a possibilidade de verificar a integridade das informações fornecidas pelo DNS. Além disso, quanto mais longa a chave (mais dígitos tenha) acaba por ser mais segura.
As chaves permitem verificar as assinaturas, e com isso saber se um nome de domínio foi alterado maliciosamente ou não.
Como impactam essas chaves no usuário final da Internet?
O usuário final não tem contacto com elas. Quem usam as chaves são os servidores DNS que prestam serviços aos usuários finais.
Esses servidores, conhecidos como servidores recursivos, validam as assinaturas digitais e se percebem que um nome foi alterado (a assinatura é incorreta), então simplesmente irão informar ao usuário final de que há um problema com a resolução desse nome, evitando assim que o usuário acesse um site que, eventualmente, tenha sido adulterado maliciosamente.
Como é a “assinatura da zona raiz”?
A assinatura da zona raiz é um caso especial, já que por sua importância fundamental na resolução de nomes na Internet, se houver algum problema ou erro em sua assinatura, o serviço na Internet poderia ver-se amplamente afetado.
Por conseguinte, a assinatura da raiz ocorre de acordo com uma série de procedimentos bem definidos e ocorre em um ambiente altamente controlado, com testemunhas da comunidade presentes.
Quem tem o arquivo ou as chaves da zona raiz?
IANA, ou o que hoje conhecemos como a PTI, é quem tem o controle de edição do arquivo da zona raiz.
No entanto, a autoridade para introduzir mudanças no mesmo é regida por um processo mais complexo, que diferencia, por exemplo, os TLD vinculados a países (.uy,.ar, etc.) dos chamados “TLD genéricos” (.com, .black, .info, .net)
Esta é a primeira vez que essas chaves são trocadas?
É sim. É a primeira vez que foram trocadas desde que foram geradas pela primeira vez em 2010.
Quem administra as chaves?
As chaves estão armazenadas em uns equipamentos especiais chamados HSM (Hardware Security Modules) que por sua vez, estão sob custódia em dois sites seguros. A administração desses sites, conhecidos como KMFs (Key Management Facilities), bem como do equipamento usado, corresponde a ICANN.
Essas chaves são vulneráveis?
As chaves em si são números. Seu valor é dado por ser secretas. É por isso que as chaves nunca saem dos HSM, e os HSM são os que geram diretamente assinaturas sem nunca desvendar a chave privada em si mesma.
Em outras palavras, ninguém jamais viu a chave privada. Está ai, mas a gente nunca vê.
Como são trocadas as chaves e quem decide trocar?
A decisão de trocar a chave surge das melhores práticas da indústria que aconselham realizar as chamadas “rotações” das chaves de maneira periódica.
O “quando” depende de vários fatores. No caso particular das chaves da zona raiz, já em 2015 foi decidido que era necessário rotá-las, mas devido à complexidade e ao potencial de impacto adverso, foram realizados diversos testes prévios para garantir que esses efeitos fossem mantidos ao mínimo.
Como é esse processo iniciado?
O processo foi iniciado com a geração e a publicação da nova chave. Agora entramos em um período de verificação e comunicação pública.
Que organizações deverão fazer alguma coisa nesta instância?
Todas as organizações que operam servidores DNS, particularmente se fizerem validação DNSSEC (se não fizerem, deveriam fazer!) devem estar atentas às mudanças na medida em que forem acontecendo.
Se usarem versões recentes de software DNS é provável que não tenham que tomar qualquer ação. Se usarem versões mais antigas, provavelmente vão ter que atuar de maneira manual.
Podem apresentar-se problemas durante o processo de troca das chaves?
Sempre podem existir dificuldades, não há nada 100% perfeito. Certamente haverá casos de organizações que enfrentem algumas situações a serem corrigidas, mas estamos confiantes de que o processo irá ocorrer sem grandes surpresas.
Quais são as datas importantes dessa troca de chaves?
São as que podem ser vistas no cronograma publicado pela IANA/PTI aqui.
Confira aqui a apresentação de Hugo Salgado e Mauricio Vergara durante o LACNIC 30 LACNOG
