Una trama teatral y una llave secreta: La singular experiencia de la ceremonia de la firma de la zona raíz del DNS

21/04/2023

Una trama teatral y una llave secreta: La singular experiencia de la ceremonia de la firma de la zona raíz del DNS

Por Carlos Martinez Cagnazzo, Gerente de Área Técnica de LACNIC

Se ha generado tanto misterio en torno a la ceremonia de la firma de la zona raíz del DNS que ya es parte de un mito de Internet. Tanto es así que hasta series y documentales le han dedicado pantalla en búsqueda de despejar algo ese halo enigmático que bien ganado tiene.

Cuatro veces al año, la Corporación de Internet para la Asignación de Nombres y Números (ICANN, en inglés) reúne a expertos de todo el mundo para llevar a cabo una “ceremonia de firma de claves”, un evento operativo crítico que es fundamental para la seguridad del Sistema de Nombres de Dominio (DNS). En el marco de la ceremonia, se utilizan claves criptográficas que protegen a la zona raíz del DNS.  En lo que dura el proceso se crea un ambiente seguro para que la  la clave para la firma de la llave de la zona raíz (KSK, en inglés) pueda ser utilizada para firmar claves de zona y con ella se generan un poco más de tres meses de firmas criptográficas que se usarán para firmar diariamente la zona raíz.

El procedimiento está diseñado para permitir que un grupo diverso y global de expertos en seguridad que provienen de la comunidad se reúnan una vez al año en un mismo lugar y sean testigos del uso apropiado y seguro de la KSK. Yo soy uno de ellos, por eso es que cuando se refieren a mi como uno de los “escribanos de Internet” o dueño de una de las “llaves de Internet” no puedo evitar sonreír, pero la verdad es que ser parte anualmente de estas ceremonias es una experiencia que cruza lo teatral, algo de la narrativa de las películas de agentes secretos y lo que es más interesante, un proceso muy físico y corporal para certificar la salud y la seguridad de la vida digital.

¿Por qué? Básicamente porque la zona raíz del DNS contiene información vital al momento de consultar a los servidores de nombres de dominios de nivel superior (TLD, en inglés) como ser “.com” “.org” “.edu”, “.ar” o “.br”. Este proceso permite que todos los usuarios accedan a los nombres de dominios de cualquier TLD, de manera que la fiabilidad y seguridad de todo el entorno es central. El punto es que la zona raíz del DNS no tiene una zona de nivel superior, entonces, ¿cómo asegurar la integridad y la autenticidad de la información de la zona raíz del DNS? La ceremonia de firma de la llave de la zona raíz cumple ese objetivo.

No hay que perder de vista que el DNS es uno de los protocolos más antiguos de Internet, las versiones más viejas se remontan a principios de los 80’s. Fue un protocolo creado en otra época donde no se ponía demasiado énfasis en cuestiones de seguridad y confianza. Cuando Internet alcanzó niveles comerciales, esos entornos de confianza esencialmente desaparecieron. Sin embargo, recién unos 25 años después la seguridad del sistema se puso sobre la mesa y tras varias propuestas, se llegó a una suerte de consenso en que lo mejor era implementar Extensiones de Seguridad del DNS (DNSSEC, en inglés) un proceso que añade una capa de seguridad adicional al protocolo DNS y permite comprobar la integridad y autenticidad de los datos.

La seguridad, el corazón de la ceremonia

DNSSEC da el marco para toda la ceremonia. Como dije, la forma de implementar las firmas es a través de pares de claves criptográficas con dos partes: una pública y una secreta. Tanto el proceso de firma como el proceso de cifrado ocurren en el uso conjunto y coordinado de las dos partes.  En lo que respecta a las privadas, la clave para la firma de la llave (KSK) se utiliza para firmar el conjunto de llaves de firma de la zona (ZSK, en inglés). Esto fortalece la confianza en el sistema de nombres de dominio ya que las ZSKs son de uso diario.

A lo largo de cuatro ceremonias al año, se generan ZSKs para aproximadamente cuatro meses, en realidad, para muchos más. Este “excedente” de hecho, fue muy oportuno en el momento de la pandemia porque una de las ceremonias no pudo tener lugar debido a los aislamientos. Capítulo aparte merece la anécdota de las ceremonias virtuales de esos momentos: en el medio del lockdown, recibí un sobre de Fedex donde tenía que poner mi llave, y llevarla hasta el correo. En el sobre, además, había una hoja con números que yo tenía que validar en el marco de una ceremonia realizada por Zoom.

Pero volviendo a las celebraciones físicas, hay dos ubicaciones geográficamente distintas que custodian la clave para la firma de la llave de la zona raíz: El Segundo, California (EE. UU.) y Culpeper, Virginia (EE. UU.). Solo somos 14 los oficiales de criptografía disponibles en el mundo (siete están afiliados a cada lugar), y al menos tres de ellos deben asistir a la ceremonia para dar quórum.

Durante la ceremonia, entran a jugar las diferentes organizaciones que tienen roles en la gobernanza de Internet: claramente ICANN tiene el rol central, dado que desde 2016 se encarga de la administración de la zona raíz del DNS. A su vez, ICANN delegó en la Autoridad de Asignación de Números de Internet (IANA, en inglés) la administración segura de la KSK. El otro jugador clave en todo el proceso es la empresa Verisign, quien, actualmente es la responsable del mantenimiento y operación de la zona raíz del DNS. Es quien se ocupa de generar la llave de firma de la zona raíz que se firma durante la ceremonia.

El objetivo principal de la ceremonia es darle transparencia a todo el proceso, por lo cual además de los representantes de IANA y Verisign también son parte los administradores de la ceremonia, los otros oficiales de criptografía y otros roles como testigo interno, auditores, y controladores de seguridad tanto de credenciales como de hardware.

Un paso a paso guionado, en busca de la mayor transparencia

Todo este proceso criptográfico implica poner en juego piezas de hardware específicas como el módulo de seguridad de hardware (HSM, en inglés).  El HSM es un dispositivo informático físico diseñado específicamente para trabajar con material criptográfico sensible. Dentro de él se genera la clave, que nunca sale de ahí.

Todo está extremadamente controlado, guionado, además de auditado con la idea de evitar riesgos a la seguridad del proceso. En la sala de la ceremonia, dentro de la sala de seguridad, hay dos cajas fuertes, una para el HSM y porción privada de la KSK y otra para las tarjetas inteligentes que lo activan. Para que funcione, el HSM necesita un operador que lo active y ahí entra en función la comunidad. Los operadores somos representantes de la comunidad, somos testigos de la habilitación del HSM y éste no puede funcionar sin nosotros. Es esto lo que asegura que la comunidad monitorea las operaciones que se hacen sobre la raíz.

La llamada “llave de Internet” que tengo en mi poder abre una caja fuerte donde está la tarjeta inteligente que me corresponde a mi y que permite que yo y cada miembro de la comunidad accionemos sobre el HSM. Existe una suerte de “división de secretos” propia del ámbito militar y los espías: yo tengo la llave para abrir el cofre fort dónde está mi tarjeta pero no sé la combinación de la caja fuerte donde está guardado, mientras que el que sabe ese dato no puede abrir los cofres. Cada uno tiene un rol y nada se podría hacer con una sola persona.

Siguiendo el guión, la ceremonia se divide en varias partes en las que los roles de cada participante están cuidadosamente definidos. Los participantes pasan por una serie de pasos y verificaciones para firmar criptográficamente los pares de llaves digitales que se usan para proteger la zona raíz del DNS. Los pasos a grandes rasgos implican ir a la caja fuerte y retirar las tarjetas inteligentes, ir a la caja fuerte y retirar el HSM. Luego, Verisign entrega un archivo (conocido como el KSR o Key Signing Request) al administrador de IANA que es quien hace operaciones con el HSM. En el medio nosotros validamos con nuestras tarjetas el funcionamiento del HSM. Al final del proceso, las ZSK terminan siendo publicadas en la zona raíz del DNS y todas las piezas vuelven a su lugar seguro.

Vale destacar que la ceremonia de firma de la llave de la zona raíz es pública y se retransmite en vivo para reforzar la confianza y la transparencia. Además, los participantes tenemos que pasar varias medidas de seguridad, como tarjetas de acceso y escáneres de huella y retina para acceder a la sala de la ceremonia. Además de los testigos de la comunidad una firma de auditoría externa, que no está asociada ni a Verisign ni a ICANN, audita todo el proceso.

Sin duda, el colorido particular de esta ceremonia justifica su fama, pero más allá de lo pintoresco, es una muestra de la transparencia, la seguridad y la confianza que está detrás de una operación tan fundamental para el funcionamiento de Internet, respecto de la cual, LACNIC -como organismo vinculado al buen funcionamiento de todo el sistema- tiene el honor de ser co-protagonista.

Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.

Subscribe
Notify of

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments