Uma trama teatral e uma chave secreta: A experiência única da cerimônia da assinatura da zona raiz do DNS

O DNSSEC fornece a estrutura para toda a cerimônia. Como eu disse, a forma de implementar as assinaturas é por meio de pares de chaves criptográficas com duas partes: uma pública e outra secreta. Tanto o processo de assinatura quanto o processo de criptografia ocorrem no uso conjunto e coordenado das duas partes.  Em relação às privadas, a chave para a assinatura da chave (KSK) é usada para assinar o conjunto de chaves de assinatura da zona (ZSK, em inglês). Isso fortalece a confiança no sistema de nomes de domínio, uma vez que as ZSK são usadas diariamente.

Ao longo das quatro cerimônias por ano, se geram ZSK para cerca de quatro meses, na verdade, para muitos mais. Este “excedente”, de fato, foi muito oportuno no momento da pandemia porque uma das cerimônias não pôde realizar-se devido ao isolamento. A anedota das cerimônias virtuais daqueles momentos merece um capítulo à parte: em pleno confinamento, recebi um envelope da Fedex onde tinha de colocar a minha chave, e levar ao correio. No envelope, tinha também uma folha com números que eu tinha de validar no âmbito de uma cerimônia realizada por Zoom.

Mas, voltando às celebrações físicas, existem duas localizações geograficamente diferentes que custodiam a chave para a assinatura da chave da zona raiz: O Segundo, Califórnia (USA) e Culpeper, Virgínia (EUA). Existem apenas 14 oficiais de criptografia disponíveis no mundo (sete estão afiliados a cada lugar), e pelo menos três deles devem comparecer à cerimônia para dar quórum.

Durante a cerimônia, entram em jogo as diferentes organizações que têm papéis na governança da Internet: a ICANN tem claramente o papel central, uma vez que desde 2016 é responsável pela administração da zona de raiz do DNS. Por sua vez, a ICANN delegou na Autoridade de Designação de Números da Internet (IANA, em inglês) a administração segura da KSK. O outro ator fundamental em todo o processo é a empresa Verisign, que atualmente é responsável pela manutenção e operação da zona raiz do DNS. É a responsável por gerar a chave de assinatura da zona raiz que é assinada durante a cerimônia.

O objetivo principal da cerimônia é dar transparência a todo o processo, por isso, além dos representantes da IANA e da Verisign, também fazem parte os administradores da cerimônia, os demais oficiais de criptografia e outros papeis como testemunhas internas, auditores e controladores de segurança tanto de credenciais quanto de hardware.

Um passo a passo roteirizado, na procura da maior transparência

Todo esse processo criptográfico envolve colocar em jogo peças específicas de hardware, como o módulo de segurança de hardware (HSM, em inglês).  O HSM é um dispositivo informático físico projetado especificamente para trabalhar com material criptográfico sensível. Dentro dele é gerada a chave, que nunca sai de lá.

Tudo é extremamente controlado, roteirizado, além de auditado com a ideia de evitar riscos à segurança do processo. No salão de cerimônias, dentro da sala de segurança, há dois cofres, um para o HSM e parte privada da KSK e outro para os cartões inteligentes que o ativam. Para que o HSM funcione, precisa de um operador que o ative e é aí que entra em jogo a comunidade. Os operadores somos representantes da comunidade, somos testemunhas da habilitação do HSM e este não pode funcionar sem nós. É isso que garante que a comunidade monitore as operações que são feitas na raiz.

A chamada “chave da Internet” que tenho em minha posse abre um cofre onde está o cartão inteligente que me corresponde a mim e que permite que eu e cada membro da comunidade atuemos sobre o HSM. Existe uma espécie de “divisão de segredos” típica dos militares e espiões: eu tenho a chave para abrir a arca do forte onde está o meu cartão mas não sei a combinação do cofre onde está guardado, enquanto quem conhece esses dados não pode abrir os cofres. Cada um tem um papel e nada poderia ser feito com uma pessoa só.

Seguindo o roteiro, a cerimônia é dividida em várias partes nas quais os papéis de cada participante são criteriosamente definidos. Os participantes passam por uma série de etapas e verificações para assinar criptograficamente os pares de chaves digitais usados ​​para proteger a zona raiz do DNS. Os passos, de uma forma geral, implicam ir ao cofre e remover os cartões inteligentes, ir ao cofre e retirar o HSM. Depois, Verisign entrega um arquivo (conhecido como o KSR ou Key Signing Request) ao administrador da IANA quem é quem faz as operações com o HSM. No meio, nós validamos com nossos cartões o funcionamento do HSM. Ao final do processo, as ZSK acabam sendo publicadas na zona raiz do DNS e todas as peças voltam para seu lugar seguro.

Vale ressaltar que a cerimônia de assinatura da chave da zona raiz é pública e transmitida ao vivo para reforçar a confiança e a transparência. Além disso, os participantes temos de passar por várias medidas de segurança, como cartões de acesso e scanners de impressão digital e retina para entrar na sala da cerimônia. Além das testemunhas da comunidade, uma empresa de auditoria externa, que não é associada à Verisign ou à ICANN, audita todo o processo.

Sem dúvida, a cor particular desta cerimônia justifica a sua fama, mas para além do pitoresco, é uma amostra da transparência, segurança e confiança que está por trás de uma operação tão fundamental para o funcionamento da Internet, a respeito da qual, o LACNIC – como uma organização ligada ao bom funcionamento de todo o sistema – tem a honra de ser coprotagonista.