Ges$óndelaKSKenlaRaízAndrésPavez|LACNIC26LACNOG2016|Sep$embrede2016andres.pavez@icann.org

EstapresentaciónfuepreviamentepreparadaporEdLewis(edward.lewis@icann.org)ylevementemodificadaparaestepúblico

| 2

AntecedentessobreDNS,DNSSEC

Ges3óndelaZonaRaíz

RoldeICANNcomolaen3dadencargadadelmantenimiento

delaKSK

1 2 3

Agenda

| 3

¤ UnadelasfuncionesdeIANAqueICANNdesempeñaeslages$óndelallaveparalafirmadellave(KSK)delasExtensionesdeSeguridad(DNSSEC)delazonaraízdelDNS

¤  SaberquéeslaKSKycómosemaneja,ayudaajuzgarsidebetenerconfianzaenlaseguridadenfuncióndeellayenDNSSECengeneral

¿Porquésedebedarestacharla?

| 4

¤  ElprimerpasoesentendercómofuncionaDNSSECdemaneraabstracta

¤  ¿Cómoprotegelosdatosenelsistema?

Seguridadapequeñaescala

| 5

Paraingenierosalosquenolesgustanlosprotocolos

¿CuálesladirecciónIPv6parawww.lacnic.net?

www.lacnic.net.esW::Z

| 6

DNSSECparaaquellosalosquenolesgustanlosprotocolos

¿CuálesladirecciónIPv6parawww.lacnic.net?

www.lacnic.net.esW::Z

Firmadigitaldelacnic.netqueabarcalarespuesta

| 7

LadirecciónIPv6parawww.lacnic.netesW::Z

Firmadigitalporlacnic.netqueabarcalarespuesta

AlgunaCosa

?✔

✖O

Verificacióncriptográficadeunafirma

| 8

Verificacióncriptográficadeunafirma

LadirecciónIPv6parawww.lacnic.netesW::Z

Firmadigitalporlacnic.netqueabarcalarespuesta

lacnic.net.llaveZSK

?✔

✖O

| 9

¤ DNSSECsebasaenlajerarquíadelDNS

¤  EnDNSSECseinventarondosrolesparalasllaves:o  Llaveparalafirmadedatosdelazonaraíz(ZSK)o  Llaveparalafirmadelallave(KSK)

¤  Yenelpuntodedelegación(padre)o  Firmantededelegación(DS)

Seguridadagranescala

| 10

El DNS es jerárquico

LaRaíz

NET(TLD)OtrosTLDs

lacnic.NETOtros.NET

| 11

JerarquíadeDNSSEC

LaRaíz

NET(TLD)OtrosTLDs

lacnic.NETOtros.NET

LlaveZSKdelacnic.net.

LlaveKSKdelacnic.net.

DSdelacnic.net.

LlaveZSKdenet.

LlaveKSKdenet.

DSde.net

LlaveZSKdelaraíz

LlaveKSKdelaraíz

| 12

¤  Loscuadrosnaranjasmuestranuna“cadenadeconfianza”

¤  SiunocongaenlaKSKdelazonaraíz,sepuedenrealizarvínculosalaZSK,firmandolosdatos

¤  PorestoesqueconfiarenlaKSKdelazonaraízesmuyimportante

Cadenadeconfianza

| 13

¤  ElciclodevidadelaKSKdelaraízo  Desdelacreaciónhastala

destruccióno  Usoo  Riesgos

¤ DistribucióndelaKSKdelaraízo  VíaDNSo  Víasi$owebo  Incrustadaencódigoo  Verificaciónfueradebanda

ConfiandoenlaKSKdelaraíz

LlaveZSKdelacnic.net.

LlaveKSKdelacnic.net.

DSdelacnic.net.

LlaveZSKdenet.

LlaveKSKdenet.

DSde.net

LlaveZSKdelaraíz

LlaveKSKdelaraíz

| 14

¤  ICANNadministralaKSKdelazonaraízcomopartedelcumplimientodelContratodeFuncionesdeIANAo  ElContratodeFuncionesdeIANAesges$onadoporla

AdministraciónNacionaldeTelecomunicacioneseInformacióndelosEstadosUnidos(NTIA)delDepartamentodeComerciodelosEE.UU.

¤ Verisignges$onalaZSKdelazonaraízcomoen$dadencargadadelmantenimientodelaZonaRaíz,envirtuddeunAcuerdodeCooperaciónconNTIA

Rolesenlages$óndeLlaves

| 15

Ges$óndelaZonaRaíz

DepartamentodeComerciode

EE.UU.(NTIA) En$dadencargada

delmantenimientode

laZonaRaíz(Verisign)

Operadoresdelosservidores

raíz(A,B,C,D...M)

TLD

Validadores

NS,DS

DNS

En$dadoperadoradelasfuncionesde

IANA(ICANN)

| 16

Ges$óndelaZonaRaíz

DepartamentodeComerciode

EE.UU.(NTIA) En$dadencargada

delmantenimientode

laZonaRaíz(Verisign)

Operadoresdelosservidores

raíz(A,B,C,D...M)

TLD

Validadores

NS,DS

DNS

KSK

ZSK

KSKEn$dad

operadoradelasfuncionesde

IANA(ICANN)

| 17

¤  LaKSKesoperadaenconformidadconlasreglases$puladasenlaDeclaracióndePrác$casdeDNSSEC(DPS):o  hjps://www.iana.org/dnssec/icann-dps.txt

¤  LaZSKesoperadaenconformidadconlasiguienteDPS:o  hjps://www.verisign.com/assets/dps-zsk-operator-1532.pdf

Reglasdeoperación

| 18

¤  Lages$óndelaKSKincluye:o  Elciclodevida:Creación,

uso,destruccióno  Manteniendosu

seguridado  Habilitandolavalidación

deDNSSEC

OperacióndelaKSK

Creación

UsoDestrucción

| 19

¤  KSKyZSKson,enrealidad,unpardellaveso  LlavesPrivadayPúblicao  Lasllavesprivadaypúblicaestánespecialmentevinculadas:lo

queunacifra,laotralodescifrayviceversa

OtrodetallesobrelasLlaves

LlaveZSKPública

LlaveKSKPública

LlaveZSKPrivada

LlaveKSKPrivada

| 20

¤ GenerarconfianzadelacomunidadenlaKSKo  Par$cipaciónexternaac$va

•  21voluntariosparacubrirroles(descritosmásadelante)o  Revisióndeterceros

•  AuditoriaSysTrust/SOC-3o  Enfa$zardeteccióndeincidenteso  Par$cipacióndepersonaldediferentesáreaso  Recuperaciónantedesastres

Principiosdediseño

| 21

¤  LamaquinariaparalasoperacionesdelaKSKenlaZonaRaízincluye:o  Centrodedatos,capasdeacceso(jaulas,cajasfuertes,cajas

deseguridad)o  Hardwareconfiguradoparafuncionaraisladoysólocon

funcionesnecesarias,todoelsoqwareestádisponiblepararevisión

o  Todaslasoperacionesqueimplicanelusodelallaveprivadasongrabadasyseu$lizanbolsasquepermitenevidenciarsihansidoalteradas

o  PublicacióndeDeclaracióndePrác$casdeDNSSEC

Unabasesegura

| 22

“Vista”gsicaencapas3-4–5-6

Capa3ManTrap

Capa4SaladeCeremonia

Capa6CajasFuertes

Capa5SaladeCajasFuertes

| 23

¤  Parau$lizarlaKSK(llaveprivada)

¤  CadavezquelaKSKseac$vaesduranteunaceremoniao  Tes$gospresenciales,auditores,transmisiónenvivoo  hjps://www.iana.org/dnssec/ceremonies

¤  Entreceremonias,todoslosac$vosdelaKSKseman$enenenbolsasquepermitenevidenciarsihuboalteraciónomanipulación

¤  Enlaceremoniase“explica”cuándoyporquéserompensellos

Ceremonias

| 24

¤  Creadaenjuniode2010

¤  InstaladaendosHSMenCulpeper,Virginia,EE.UU.(16dejuniode2010)o  SefirmanlasprimerasZSKdelazonaraíz

¤  CopiadaporredundanciaenotrosdosHSMenElSegundo,California,EE.UU.(12dejuliode2010)o  SefirmóelsegundoconjuntodeZSKdelazonaraíz

¤ Videoymaterialesdisponiblesenlínea:o  hjps://www.iana.org/dnssec/ceremonies

CreacióndelaKSKdelaZonaRaíz

| 25

UsodelaKSKdesdeentonces

KMFCostaoestedeEE.UU.

ElSegundo,California

KMFCostaestedeEE.UU.

Culpeper,Virginia

¤  Lassalasdeceremonias,conocidascomoinstalacionesenlascualesseadministralallave(KMF),estánubicadasdentrodedosinstalacionesvigiladas,unaenlacostaoesteyotraenlacostaestedeEE.UU.

| 26

Fotomontajedelasprimerasceremonias

| 27

AlgunasfotosdelasKMF

VistadeJauladecapa3acapa4

Vistadejauladecapa5acapa4

PantalladeocupacióndecapasyrelogdeCeremonia

Capa3Temporizador

| 28

MódulodeSeguridaddeHardware(HSM)

¤  Lallaveparalafirmadelallave(KSK)sealmacenaenundisposi$voconocidocomoMódulodeSeguridaddeHardware(HSM)cuyoúnicofinesalmacenarllavescriptográficasdemanerasegura.Eldisposi$voestádiseñadoparaqueseaapruebadealteraciones.Siseproduceunintentodeabrirlo,elcontenidosedestruyeautomá$camente.

| 29

¤  ElHSMhacequeelrobodelallaveseaimprác$coo  PerosepuederobarelHSM

¤  ¿Dequémaneraestáprotegido?o  Seguridadgsicao  Seguridad“parau$lizarelHSM”

Noeslallave,eselHSM

| 30

Credenciales

¤  Existensietetarjetasinteligentesquepuedenac$varseencadadisposi$vo.Eldisposi$voestáconfiguradodemaneratalque3delas7tarjetasinteligentesdebanestarpresentesparaqueelmismopuedau$lizarse.

| 31

Representantesconfiablesdelacomunidad(TCR)

¤  CadatarjetainteligenteesentregadaaunmiembrodelacomunidaddeICANN,conocidocomorepresentanteconfiabledelacomunidad.Parateneraccesoalallaveparalafirmadelallave,almenostresdeestosTCRdebenestarpresentes.

| 32

CajaFuerte1–Cajafuertedehardware

¤  ElHSMestáalmacenadoenunacajafuertedealtaseguridad,quesolopuedeserabiertaporunapersonadesignada,elcontroladordeseguridaddecajasfuertes.Lacajafuerteestámonitoreadaconsensoressísmicosyotrossensores.

| 33

CajaFuerte2–Cajafuertedecredenciales

¤  Lastarjetasinteligentesestánalmacenadasdentrodeotracajafuertedealtaseguridad,quesolopuedeserabiertaporuncontroladordeseguridaddecajasfuertesdiferente.LascajasdeseguridadqueprotegenacadaunadelastarjetasinteligentessolopuedenserabiertasporlosTCR

| 34

¤ Dosgruposdesietefuncionarioscriptográficoso  PersonasquenopertenecenalpersonaldeICANN

seleccionadasatravésdeunprocesoen2010,ubicadosentodoelmundo

o  UngrupoparaCulpeper,otroparaElSegundoo  SenecesitantresdesieteparainiciarunHSM

¤  Siete$tularesdecredencialesderecuperacióndellave

o  NopertenecientesalpersonaldelaICANN,comoarribao  Verificaciónanualdeposesióndetarjetainteligenteo  Cincodesiete$tularesdebensercongregadospara

reensamblarlallave

ProteccióndelaKSKdelaZonaRaíz

| 35

¤ AlmomentoenquelallaveKSK(privada)esu$lizadao  Lasfirmassegeneranparaelpróximotrimestrecalendarioo  Estopermite3meses(aproximadamente)de$empode

recuperaciónanteunafalla

¤  Esimportanteseñalaresto–paraevitarpánico

Recuperación

| 36

¤ HSMo  Existeunasuposicióndadadequeunabateríainternacrí$ca

dura5añoso  Alamarcade5añosserealizauna“actualizacióntécnica”

¤  KSKo  LaKSKnuncasehacambiadodesdesucreaciónen2010

Historialdecambios

| 37

¤ Alalarga,lossecretoso  seolvidan(todoslosHSM

puedenfallar)o  seexponen(lallaveprivadase

copiafueradelHSM)o  sedescubren(alguienhace

unaingenieríainversa)

¤  ¿Esosucederápronto?Probablementeno.

¤  Pero¿quésucedesiestopasa?o  Preparación/Prác$ca

¿PorquécambiarlaKSK?

| 38

¤ MantenerensecretolapartesecretaesfundamentalparaquelaKSKtengavalor

¤  Paraquetengavalor,lapartepúblicadelaKSKdebeseru$lizadao  Laexac$tudimporta(¡eviteerroresporcortarypegar!)o  Lalegi$midadimporta(asegúresedequeseala“real”)

PublicacióndelaKSK

| 39

¤ VíaDNSo  TanconfiablecomolosdatosenelDNSnoprotegidoo  Exac$tud,seguro,peropuedecues$onarsesu

legi$midad

¤ VíaWebo  hjps://www.iana.org/dnssec/fileso  Protegidaporfirmaycer$ficadoX.509

¤ Víaotrosmedioso  Presentaciones,amigos,códigoo  ¡Recuerdesiempreverificarlalegi$midad!

ObtencióndelallaveKSKpública

| 40

¤  Asep$embrede2016,éstaesunaformadeiden$ficarlallave:

<KeyDigestid="Kjqmt7v"validFrom="2010-07-15T00:00:00+00:00"><KeyTag>19036</KeyTag><Algorithm>8</Algorithm><DigestType>2</DigestType><Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest></KeyDigest>

Iden$ficacióndelaKSK

| 41

¤ Asep$embrede2016,éstaesotraformadeiden$ficarlallave:

OtraVistadelallaveKSKpública

. 172800 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=

| 42

¤ Nosebasesóloenelcontenidodeestasdiaposi$vas

¤ U$lícelasparaverificarloqueveatravésdeotrosmedios

¤  Yrecuerde,usteddecideenquéconfiar

Notadeadvertencia

| 43

¤ Únasealalistadecorreoelectrónico:o  hjps://mm.icann.org/mailman/lis$nfo/root-

dnssec-announce

¤  SíganosenTwijero  @ICANNtecho  Hashtag:#KeyRoll

¤ Visitelapáginaweb:o  hjps://www.icann.org/resources/pages/ksk-

rollover

Para más información

| 44

ContáctemeEmail:andres.pavez@icann.orgSi$oweb:icann.org

Graciasypreguntas

gplus.to/icann

weibo.com/ICANNorg

flickr.com/photos/icann

slideshare.net/icannpresenta$ons

twijer.com/icann

facebook.com/icannorg

linkedin.com/company/icann

youtube.com/user/icannnews

Par$cipeenICANN