Uma cerimônia diferente
28/02/2018
A típica reunião da primeira metade do ano na sede da ICANN (Los Angeles) para gerar as chaves de acesso para a raiz da Internet, teve este fevereiro um tempero especial: a cerimônia de destruição da velha equipe que manteve guardada as chaves criptográficas dos últimos sete anos.
Carlos Martínez e Nicolás Antoniello, dois membros ativos da comunidade de LACNIC, foram testemunhas de elite desse histórico episódio. Eles fazem parte do grupo de 14 pessoas que tem a missão de velar pelas chaves que protegem a segurança da Internet. Eles são chamados de cripto officers ou guardiões da segurança da rede.
O Módulo de Segurança de Hardware (HSM) destruído foi o equipamento usado para gerar as chaves da raiz da Internet até o ano passado, quando foi resolvido trocar as chaves criptográficas e substituir o dispositivo por um novo, já que tinha atingido o final de sua vida útil, disse Martínez, gerente de Tecnologias de LACNIC.
“É destruído para que não haja possibilidade de alguém ficar com esse antigo equipamento e eventualmente possa recuperar a chave. Com sua destruição, não há risco de vazamento de informações”, comentou Martinez, que há oito anos trabalha neste grupo de custódia das chaves de acesso aos sistemas que a ICANN usa para gerar as chaves de assinatura da raiz do DNS.
Por um tempo,coexistiram os dois pequenos computadores (conhecidos como módulos de segurança de hardware, ou HSM por sua sigla em inglês) projetados com o único propósito de gerar material criptográfico e mantê-lo seguro, até que o velho equipamento deixou de ser usado e ficou guardado. Todo o material foi apagado e na reunião de fevereiro deste ano foi a vez de sua destruição. Foi um evento histórico e uma experiência inovadora desde que foi feita pela primeira vez no contexto das cerimônias de assinatura da raiz do DNS.
A nova chave O plano de troca de chave (chamado KSK) está em processo de consulta pública até os primeiros dias de abril (veja o link de nota separada) deste ano após a decisão da ICANN de adiar até outubro de 2018 a entrada em vigor do nova chave digital.
A raiz foi assinada pela primeira vez em 2010 e as melhores práticas apontam que as chaves criptográficas devem ser trocadas cada certo tempo. Rotar a chave da zona raiz é um grande desafio para a escala da Internet. “Este processo de rotação que a comunidade iniciou deve ser concluído em 2018 com base nos comentários da comunidade da Internet e gerenciando os tempos para não provocar impacto nos operadores da Internet”, concluiu o gerente de Tecnologias de LACNIC.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.