El TLD .UY (Uruguay) renovó sus firmas de zona utilizando su KSK (Key Signing Key), una llave criptográfica que te permite firmar la zona de DNS (Domain Name System) y de esa forma fortalecer el sistema y la confianza en Internet.
La KSK es la llave que se utiliza para firmar digitalmente el conjunto de llaves de firma de la zona raíz. El .uy del DNS tiene el compromiso -como todos los TLDs (Top Level Domain, por sus siglas en inglés)- de firmar su espacio utilizando DNSSEC.
Una buena práctica -aceptada y recomendada mundialmente- es rotar las firmas, rotando las claves. Las firmas en el DNS, tienen una particularidad, y es que precisás la ayuda de la raíz para validarlo.
(Acceso libre, no requiere suscripción)
Cambiar la clave implica generar un nuevo par de claves criptográficas y distribuir el nuevo componente público a todos los resolvedores que validan DNSSEC a nivel global. Este es un cambio significativo dado que cada consulta a Internet que utiliza DNSSEC depende de la KSK de la zona raíz para validar el destino.
No tener la KSK de la zona raíz actualizada significa que los resolvedores de DNS que validan DNSSEC no pueden resolver ninguna consulta al DNS.
El mecanismo que se utiliza consiste en desdoblar las firmas en dos: la ZSK (cualquier cambio en tu zona) y la KSK, que es la clave para salir del .UY.
Cambiar la clave implica generar un nuevo par de claves criptográficas y distribuir el nuevo componente público a todos los resolvedores que validan DNSSEC a nivel global. Este es un cambio significativo dado que cada consulta a Internet que utiliza DNSSEC depende de la KSK de la zona raíz para validar el destino.
No tener la KSK de la zona raíz actualizada significa que los resolvedores de DNS que validan DNSSEC no pueden resolver ninguna consulta al DNS.
El mecanismo que se utiliza consiste en desdoblar las firmas en dos: la ZSK (cualquier cambio en tu zona) y la KSK, que es la clave para salir del .UY.
En el caso de Uruguay se fijó un plazo de cinco años para renovar la clave. Con la KSK, se generan ZSK, por lo general se generan el doble de las claves que se precisan.
La ceremonia para generar nuevas claves en Uruguay se hizo en el data center de Pocitos, donde se encuentra el rack con el servidor HSM.
¿Quiénes estuvimos en la ceremonia? Dos crypto officers, (cada uno con un usb), una escribana y cinco testigos, para generar transparencia por si sucede un inconveniente.
Se encendió el servidor del HSM (es una placa que está dentro de un servidor) y se realizaron una serie de pasos, cuyo producto final fueron las claves ZSK firmadas con la KSK.
Se generó además una especie de firma digital que se puede verificar y que se registra en el acta. De esa manera alguien puede verificar -si así lo desea- que se están usando las llaves adecuadas. Le da transparencia y garantía al proceso.
Las llaves generadas se copiaron en dos usb. Uno se transportó a la oficina del SECIU (Servicio Central de Informática de la Universidad de la República) y el otro se guardó en un cofre de un banco. Esta copia de las llaves generadas es una especie de backup para restaurar el HSM (Hardware Security Module) en caso de destrucción del original.
El usb llevado al SeCIU fue para levantar las claves y ahí efectuar las operaciones de firma.
Esta misma ceremonia se realiza en todos los territorios de alcance de LACNIC en los TLDs locales.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.
