Una ceremonia diferente
28/02/2018
La reunión habitual de primera mitad de año en la sede de ICANN (Los Ángeles) para generar las claves de acceso para la raíz de Internet tuvo este febrero un condimento especial: la ceremonia de destrucción del viejo equipo que guardó las llaves criptográficas de los últimos siete años.
Carlos Martínez y Nicolas Antoniello, dos activos miembros de la comunidad de LACNIC, estuvieron entre los selectos testigos del histórico episodio. Ambos forman parte del grupo de 14 personas que tiene la misión de custodiar las llaves que protegen la seguridad de Internet. Son los llamados cripto officers o guardianes de la seguridad de la red.
El Módulo de Seguridad de Hardware (HSM) destruido fue el equipo usado para generar las claves de la raíz de Internet hasta el año pasado, cuando se resolvió cambiar las llaves criptográficas y se sustituyó ese dispositivo por uno nuevo ya que estaba llegando al final de su vida útil, contó Martínez, gerente de Tecnologías de LACNIC.
“Se destruye para que no exista posibilidad de que alguien se apodere de ese equipo viejo y eventualmente pueda recuperar la clave. Con su destrucción no existe riesgo de fuga de información”, comentó Martínez, quien lleva ocho años de trabajo en ese grupo de custodia de las llaves de acceso a los sistemas que ICANN utiliza para generar las claves de firma de la raíz del DNS.
Durante un tiempo convivieron las dos computadoras pequeñas (conocidas como módulos de seguridad en hardware, o HSM por sus siglas en inglés) diseñadas con el único propósito de generar material criptográfico y mantenerlo seguro, hasta que el viejo equipo se dejó de usar y quedó guardado. Se borró todo el material y en la reunión de febrero de este año llegó el turno de su destrucción. Se trató de un hecho histórico y una experiencia novedosa ya que se realizó por primera vez en el contexto de las ceremonias de firma de la raíz del DNS.
La nueva clave. El plan de cambio de la clave (llamado KSK) está en proceso de consulta pública hasta los primeros días de abril (ver nota aparte) de este año tras la decisión de ICANN de postergar hasta octubre de 2018 la entrada en vigencia de la nueva llave digital.
La raíz se firmó por primera vez en 2010 y las mejores prácticas indican que las claves criptográficas deben cambiarse cada cierto tiempo prudencial. Rotar la clave de la zona raíz significa un gran desafío por la escala de Internet. “Este proceso de rotación que ha iniciado la comunidad se espera culmine durante el año 2018 en función de los comentarios de la comunidad de Internet y manejando los tiempos para que no haya impacto en los operadores de Internet”, culminó el gerente de Tecnologías de LACNIC.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.