Una trama teatral y una llave secreta: La singular experiencia de la ceremonia de la firma de la zona raíz del DNS

DNSSEC da el marco para toda la ceremonia. Como dije, la forma de implementar las firmas es a través de pares de claves criptográficas con dos partes: una pública y una secreta. Tanto el proceso de firma como el proceso de cifrado ocurren en el uso conjunto y coordinado de las dos partes.  En lo que respecta a las privadas, la clave para la firma de la llave (KSK) se utiliza para firmar el conjunto de llaves de firma de la zona (ZSK, en inglés). Esto fortalece la confianza en el sistema de nombres de dominio ya que las ZSKs son de uso diario.

A lo largo de cuatro ceremonias al año, se generan ZSKs para aproximadamente cuatro meses, en realidad, para muchos más. Este “excedente” de hecho, fue muy oportuno en el momento de la pandemia porque una de las ceremonias no pudo tener lugar debido a los aislamientos. Capítulo aparte merece la anécdota de las ceremonias virtuales de esos momentos: en el medio del lockdown, recibí un sobre de Fedex donde tenía que poner mi llave, y llevarla hasta el correo. En el sobre, además, había una hoja con números que yo tenía que validar en el marco de una ceremonia realizada por Zoom.

Pero volviendo a las celebraciones físicas, hay dos ubicaciones geográficamente distintas que custodian la clave para la firma de la llave de la zona raíz: El Segundo, California (EE. UU.) y Culpeper, Virginia (EE. UU.). Solo somos 14 los oficiales de criptografía disponibles en el mundo (siete están afiliados a cada lugar), y al menos tres de ellos deben asistir a la ceremonia para dar quórum.

Durante la ceremonia, entran a jugar las diferentes organizaciones que tienen roles en la gobernanza de Internet: claramente ICANN tiene el rol central, dado que desde 2016 se encarga de la administración de la zona raíz del DNS. A su vez, ICANN delegó en la Autoridad de Asignación de Números de Internet (IANA, en inglés) la administración segura de la KSK. El otro jugador clave en todo el proceso es la empresa Verisign, quien, actualmente es la responsable del mantenimiento y operación de la zona raíz del DNS. Es quien se ocupa de generar la llave de firma de la zona raíz que se firma durante la ceremonia.

El objetivo principal de la ceremonia es darle transparencia a todo el proceso, por lo cual además de los representantes de IANA y Verisign también son parte los administradores de la ceremonia, los otros oficiales de criptografía y otros roles como testigo interno, auditores, y controladores de seguridad tanto de credenciales como de hardware.

Un paso a paso guionado, en busca de la mayor transparencia

Todo este proceso criptográfico implica poner en juego piezas de hardware específicas como el módulo de seguridad de hardware (HSM, en inglés).  El HSM es un dispositivo informático físico diseñado específicamente para trabajar con material criptográfico sensible. Dentro de él se genera la clave, que nunca sale de ahí.

Todo está extremadamente controlado, guionado, además de auditado con la idea de evitar riesgos a la seguridad del proceso. En la sala de la ceremonia, dentro de la sala de seguridad, hay dos cajas fuertes, una para el HSM y porción privada de la KSK y otra para las tarjetas inteligentes que lo activan. Para que funcione, el HSM necesita un operador que lo active y ahí entra en función la comunidad. Los operadores somos representantes de la comunidad, somos testigos de la habilitación del HSM y éste no puede funcionar sin nosotros. Es esto lo que asegura que la comunidad monitorea las operaciones que se hacen sobre la raíz.

La llamada “llave de Internet” que tengo en mi poder abre una caja fuerte donde está la tarjeta inteligente que me corresponde a mi y que permite que yo y cada miembro de la comunidad accionemos sobre el HSM. Existe una suerte de “división de secretos” propia del ámbito militar y los espías: yo tengo la llave para abrir el cofre fort dónde está mi tarjeta pero no sé la combinación de la caja fuerte donde está guardado, mientras que el que sabe ese dato no puede abrir los cofres. Cada uno tiene un rol y nada se podría hacer con una sola persona.

Siguiendo el guión, la ceremonia se divide en varias partes en las que los roles de cada participante están cuidadosamente definidos. Los participantes pasan por una serie de pasos y verificaciones para firmar criptográficamente los pares de llaves digitales que se usan para proteger la zona raíz del DNS. Los pasos a grandes rasgos implican ir a la caja fuerte y retirar las tarjetas inteligentes, ir a la caja fuerte y retirar el HSM. Luego, Verisign entrega un archivo (conocido como el KSR o Key Signing Request) al administrador de IANA que es quien hace operaciones con el HSM. En el medio nosotros validamos con nuestras tarjetas el funcionamiento del HSM. Al final del proceso, las ZSK terminan siendo publicadas en la zona raíz del DNS y todas las piezas vuelven a su lugar seguro.

Vale destacar que la ceremonia de firma de la llave de la zona raíz es pública y se retransmite en vivo para reforzar la confianza y la transparencia. Además, los participantes tenemos que pasar varias medidas de seguridad, como tarjetas de acceso y escáneres de huella y retina para acceder a la sala de la ceremonia. Además de los testigos de la comunidad una firma de auditoría externa, que no está asociada ni a Verisign ni a ICANN, audita todo el proceso.

Sin duda, el colorido particular de esta ceremonia justifica su fama, pero más allá de lo pintoresco, es una muestra de la transparencia, la seguridad y la confianza que está detrás de una operación tan fundamental para el funcionamiento de Internet, respecto de la cual, LACNIC -como organismo vinculado al buen funcionamiento de todo el sistema- tiene el honor de ser co-protagonista.