Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto...
Transcript of Internets nyckelpiga - Eller dnssec i internets rotzon Anne-Marie … · 2019-02-15 · Crypto...
iis.se
Internets nyckelpiga- Eller dnssec i internets rotzonAnne-Marie Eklund Löwinder, [email protected] I @amelsec
Vem är jag?
Anne-Marie Eklund LöwinderChief Information Security Officer, IIS
[email protected]@amelsec
Invald i Internet Hall of Fame
Ledamot Kungliga Svenska Ingenjörsvetenskapsakademien (IVA), Avdelning XII,
Informationsteknik
Styrelseledamot institutet för rättsinformatik, IRI, Stockholms universitet
Medlem i MSB:s informationssäkerhetsråd
Kort om Internetstiftelsen i Sverige (IIS)
Oberoende allmännyttig stiftelse med två huvudsakliga verksamhetsområden:• Ansvar för drift och administration av toppdomänerna .se
och .nu• Främja utveckling och användning av internet i SverigeSom till exempel:• Federationsoperatör för Skolfederation och Sambi• Testorganisation för nya gTLD:er på internet• Bredbandskollen, Webbstjärnan, Internetdagarna,
Internetmuseum, Internetstatistik, Internetguider med mera….
We live on trust; ”we are the trustees for the delegateddomain, and have the duty to serve the community”. (RFC 1591)
Nya RFC:er publiceras (2005): RFC4033, RFC4034, RFC4035
EMILEGRAPHICS, FLICKR CREATIVE COMMONS
2005
Sverige (.se) inför DNSSEC som den första toppdomänen i världen
Karola Riegler, Flickr | CC-BY-ND | via Wylio
Key Ceremony # 1
2010• Juni
– Första nyckelceremonin i Culpeper, Virginia
• Juli– Ceremoni #2 i Los Angeles, Kalifornien– Nyckelmaterial från ceremony #1 kopieras
och lagras– Q4/2010 KSR hanterad
• Den signerade rotzonen publicerades i DNS avVeriSign
– Tillitsankare för rotzonen publiceras avIANA
Första Root DNSSEC Design Team
• Joe Abley• Mehmet Akcin• David Blacka• David Conrad• Richard Lamb• Matt Larson• Fredrik Ljunggren• Dave Knight• Tomofumi Okubo• Jakob Schlyter• Duane Wessels
Hantering av DNSSEC i rotzonen
• ICANN (IANA sköter operativ drift)– Kontrollerar nyckelsigneringsnyckeln (KSK), samma
nyckel sedan starten 2010– KSK signerar varje kvartal zonsigneringsnyckel i en
nyckelceremoni– Verifierar och genomför ändringsärenden
• Verisign (distribuerar den signerade rotzonen)– Hanterar zonsigneringsnyckeln som byts ut varje kvartal
• Skedde tidigare i enlighet med överenskommelse med US Department of Commerce NTIA, nu är det helt på ICANN:s ansvar
Nyckelgenerering och signeringsprocess av KSK för rotzonen
De vägledande principerna bakom den övergripande designen är att resultatet måste vara trovärdigt och pålitligt vid varje tidpunkt
Revision och uppföljning
Processer och rutiner ska revideras mot standarder som till exempel ISO/IEC 27002:2013, Information technology --Security techniques -- Code of practice for information security controls
Hög säkerhetsnivå
Systemen för rotzonen ska möta alla relevanta tekniska säkerhetskontroller enligt NIST SP 800-53 som krävs för ”HIGH IMPACT system”
Engagemang från internetkollektivet
Trovärdiga representanter från internetsamfundet har bjudits in och har en aktiv roll i nyckelhanteringsprocessen
iis.se
iis.se
Ansats för att skydda KSK
El Segundo, Los Angeles, CA
iis.se
Terramark Data Center, Culpeper, VA
iis.se
Fysisk säkerhet
Fysiska säkerhetskontroller
• Två i förening• Separation av arbetsuppgifter• Extern övervakning• Kameraövervakning• Rörelse-, seismiska och andra sensorer• …och mycket mer
iis.se
iis.se
iis.se
iis.se
iis.se
iis.se
iis.se
iis.se
iis.se
iis.se
iis.se
iis.se
ICANN-roller vid KSK-ceremonierna
• Ceremonimästare (CA) är den ICANN-medarbetaresom leder ceremonin via skriptet
• Interna vittnen (IW) är ICANN-medarbetare somobserverar och spelar in ceremonin och eventuellaavvikelser
• Systemadministratör (SA) är teknikmedarbetare somansvarar för IT-miljön
• Kassaskåpskontrollanter (Safe Security Controllers (SSC)) är medarbetare som hanterar kassaskåpen(öppnar och stänger)
DPS – DNSSEC Säkerhetsdeklaration
• Beskriver processer och rutiner som har införtsför signering respektive distribution av zonfilen– generera, hantera, byta och distribuera DNS-nycklar i
enlighet med fastställda krav
• Jämförbart med certificate practice statement (CPS) från en utfärdare (certification authority(CA)) av X.509-certifikat
• Följer strukturen i RFC 6841https://tools.ietf.org/html/rfc6841
Spårbarhet och transparens
• Tredjepartsrevisorer granskar att ICANN agerar i enlighet med DPS
• Andra externa vittnen har också möjlighet attdelta vid nyckelceremonierna
• En Systrust-granskning och -certifieringgenomförs varje år sedan 2010
ICANN is committed to ensuring the security and stability of the Internet's unique identifier systems. As the DNSSEC Root Zone Key Signing Key (RZ KSK) manager, we are pleased to announce that ICANN's RZ KSK System has achieved SysTrust certification — an audit by the international accounting firm, PricewaterhouseCoopers, LLP (PwC) to ensure we have appropriate internal controls in place to meet the availability, processing integrity and security objectives for our RZ KSK System.
Trusted Community Representatives (TCR)
• Aktiva roller i hanteringen av nyckelsigneringsnyckeln (KSK):– Crypto Officers vars uppgift är att aktivera KSK– Recovery Key Share Holders vars uppgift är att
skydda delar av den symmetriska nyckel som använtsför att kryptera en säkerhetskopia av KSK
Crypto Officer (CO)
• Har fysiska nycklar till säkerhetsboxar sominnehåller smarta kort somanvänds för att aktiveraHSM
• ICANN kan inte generera enny KSK eller signera ZSK:erutan närvaro från 3 av 7 CO
• Måste kunna resa till USA två gånger per år (per sajt)
Recovery Key Share Holder (RKSH)
• Har smarta kort som innehåller delar (M-of-N) avden nyckel som används för att kryptera KSK:nsom lagras i HSM.
• 5 av 7 RKSH-kort tillsammans med ett smart kort med den krypterade KSK:n kanrekonstruera KSK:n i en ny HSM
• Det smarta kortet med den krypteradesäkerhetskopian av KSK hanteras av ICANN.
• Måste kunna resa med kort framförhållning. Förhoppningsvis aldrig. Årlig inventering.
Community Representatives
• CO• Alain Aina, BJ• Nicolas Antoniello, UY• Fabian Arbogast, TZ• Anne-Marie Eklund Löwinder, SE• Christopher Griffiths, US• Frederico Neves, BR• Gaurab Upadhaya, NP • Olaf Kolkman, NL• Robert Seastrom, US• Vinton Cerf, US• Andy Linton, NZ• Carlos Martinez, UY• Dmitry Burkov, RU• Edward Lewis, US• João Luis Silva Damas, PT• Masato Minda, JP• Ólafur Guðmundsson, IS• Subramanian Moonesamy, MU
• CO Backup• Christopher Griffiths, US• Fabian Arbogast, TZ• John Curran, US• Nicolas Antoniello, UY• Rudolph Daniel, UK• Sarmad Hussain, PK• Ólafur Guðmundsson, IS
• RKSH• Bevil Wooding, TT• Dan Kaminsky, US• Jiankang Yao, CN• Moussa Guebre, BF• Norm Ritchie, CA• Ondřej Surý, CZ• Paul Kane, UK• (5 BKP)
iis.se
Jag har INTE nyckeln till Internet!
Typer av nyckelceremonier
• Nyckelgenerering– Generering av ny KSK
• Hantering av begäran om signering avZSK (ZSK Signing Request (KSR))– Signering av ZSK för nästa kvartal– Sker kvartalsvis– Ömsom på västkusten, ömsom på östkusten
Tillitsankare för rotzonen
• Publiceras av ICANN på en webbplatssom:– XML-kodad och textformaterad DS-post
• För att underlätta automatisk hantering– Signeringsbegäran av PKCS #10-certifikat (CSR)
• Som självsignerad publik nyckel
DNSSEC är idag en standardprocess
Nya aktiviteter
• ZSK ökade i storlek (1 oktober 2016)– Planerades för att ske före…
• Byte av KSK (nyckelrullning)• Separata med ändå koordinerade aktiviteter
iis.se
Viktiga datum!
• Nyckelceremonier– Q4 2016 (oktober): generera ny KSK – Q1 2017 (februari): KSK operationellt färdig
• Ändringar i DNS– Ny KSK i rotzonen juli 2017– Ny KSK signerar DKSKEY RRset med början oktober
2017– Nuvarande KSK revokeras januari 2018
iis.se
Ceremoni # XXVII
• En ny KSK genererades vid den ceremonin baserad på ICANNs noggranna planering
• Ceremonidatum: 27 oktober 2016 • Plats: ICANN Key Management Facility in
Culpeper, VA, USA• Alla detaljer om ceremonin och
videoinspelning finns tillgänglig på https://www.iana.org/dnssec/ceremonies/27
Det går åt tonvis med pop corn….!
https://www.iana.org/dnssec/ceremonies
iis.se
Varför byter man KSK i rotzonen?
• Primärt: beredskap och övning– KSK har inget bäst före-datum– Inga kända svagheter– Ingen nyckel ska leva för evigt: det är dålig
krypteringspraxis– Fördel att öva processer och rutiner för nyckelrullning
under normala och kontrollerade förhållanden• Till skillnad mot onormala förhållanden, som när en nyckel röjts
• Stor utmaning– Involverar oräkneliga deltagare– Ingen testmiljö kan täcka alla möjliga fall
iis.se
Byte av tillitsankare
• Tillitsankare konfigureras in direkt i validerare för DNSSEC– OM automatiska uppdateringar av tillitsankare för
DNSSEC (RFC 5011) är påslaget och fungerar så sker nyckelrullningen med automatik
– Annars krävs någon form av manuell hantering• Lägg till den nya KSK:n före den 11 oktober 2017 (förutsatt
att allt följer planen)• Ta bort den gamla KSK:n vid ett senare tillfälle
iis.se
Mer information om nyckelrullningen för rotzonen
• Mejllista:– https://mm.icann.org/listinfo/ksk-rollover
• Följ ICANN på Twitter– @ICANN Hashtag: #KeyRoll
• Webbplats:– https://www.icann.org/kskroll
iis.se
Användbara verktyg för DNSSEC
• Testa implementationen– DNSSEC Analyzer från Verisign Labs– DNSViz – A DNS Visualization Tool från Sandia National
Laboratories• Använda DNSSEC i lokala system
– DNSSEC-Trigger – lokal DNSSEC resolver för Windows, Mac OS X eller Linux
– DNSSEC Validator Add-on for Firefox– DNSSEC Validator Extension for Google Chrome
• Verktyg för att sätta upp egna namnservrar– OpenDNSSEC project– DNSSEC-Tools project
• Verktyg för att testa DANE implementationer– NIST’s TLSA test tool– DANE SMTP Validator
iis.se
Kan jag kontrollera om en domän är signerad? Jajamensan!
https://dnssec-name-and-shame.com/http://zonemaster.se/
Aktuell statistik för toppdomäner med DNSSEC (2017-03-03, 16:20)
• Totalt 1 530 toppdomäner i rotzonen– 1 385 TLD:er är signerade med DNSSEC– 1 375 TLD:er har sina tillitsankare publicerade som
DS-poster i rotzonen
http://stats.research.icann.org/dns/tld_report/
Färsk statistik…
http://www.internetsociety.org/deploy360/dnssec/
iis.se
DNSSEC tillväxt i .sehttps://www.iis.se/domaner/statistik/tillvaxt/?chart=per-type
iis.se
Andel resolvrar som validerar signaturer(per land)
TLD LandValiderar DNSSEC
Antal domäner
SESweden, NorthernEurope, Europe
82.97% 3 290 068
NONorway, Northern Europe,Europe
71,53% 1 455 481
DKDenmark, Northern Europe,Europé
53,48% 1 968 279
FIFinland, Northern Europe,Europé
5,82% 922 177
Källa: https://stats.labs.apnic.net/dnssec/XA
Att införa DNSSEC har ett pris
• Det kan vara potentiellt dödligt för online-existensen om man gör fel
• Kräver mer uppmärksamhet och merkunskap, framför allt för felsökning
iis.se
Kortsiktiga fördelar?
• Alltså som i JUST NU?– I princip alla svenska internetoperatörer validerar
dnssec-signaturer för sina kunder– Om det hanteras korrekt skapar DNSSEC-signerade
zoner högre säkerhet genom att förhindra mannen-i-mitten-attacker och cache-förgiftning
Långsiktiga fördelar
• Mer robust och mer pålitliginternetinfrastruktur
• Inga fler lögner i DNS• Vi drar nytta av tillitstjänster som bygger
på DNS• Här hjälper DNSSEC. Nu när vi kan
verifiera svar från en DNS-server kan vi också säkert lagra publika nycklar i DNS-poster
iis.se
Och så några ord om lösenord….
iis.se
Lösenordsparadoxen: Du vet att det är dåligtmen du gör det i alla fall
iis.se
Brukar du byta lösenord?
iis.se
Vilka lösenord är vanligast?
År
password password 123456 123456123456 123456 password password12345678 12345678 12345 12345678abc123 abc123 12345678 qwertyqwerty qwerty qwerty 12345monkey monkey 123456789 123456789letmein letmein 1234 footballdragon dragon baseball 1234111111 111111 dragon 1234567baseball baseball football baseball
Dåliga lösenord
• Alldeles för många använder samma• Det är enkelt att gissa för någon som
känner dig• Det är för kort och därmed enkelt att
gå igenom alla kombinationer
iis.se
Lösenord ska vara
• Unika per inloggning• Långa (10 tkn eller fler)• Komplexa• Ovanliga (undvik de 1000 vanligaste)
iis.se
Spara helst inte lösenord i webbläsare
iis.se
Använd en lösenordshanterare!
Är ditt lösenord röjt?
iis.se
Tack så mycket!Frågestund?@[email protected]